マルウェア対策保護に関する FAQAnti-malware protection FAQ

ここでは、マルウェア対策保護に関するよく寄せられる質問と回答について説明します。回答は Exchange Online および Exchange Online Protection のお客様を対象としています。This section provides frequently asked questions and answers about antimalware protection. Answers are applicable for Exchange Online and Exchange Online Protection customers.

Q. マルウェアに対抗するサービスを構成および使用する際の推奨されるベスト プラクティスについて教えてください。Q. What are best practice recommendations for configuring and using the service to combat malware?

A.A. EOP の構成に関するベストプラクティスについては、「マルウェア対策オプションを設定する」を参照してください。See "Set anti-malware options" in Best practices for configuring EOP.

Q. マルウェア定義はどのくらいの頻度で更新されますか?Q. How often are the malware definitions updated?

A. 各サーバーは 1 時間間隔でマルウェア対策パートナーからの新しいマルウェア定義の有無を確認しています。A. Each server checks for new malware definitions from our anti-malware partners every hour.

Q. マルウェア対策パートナーは何社ありますか?使用するマルウェア エンジンを選択することはできますか?Q. How many anti-malware partners do you have? Can I choose which malware engines we use?

A. 優れたマルウェア対策テクノロジを持つ複数のプロバイダと提携しています。提携パートナーの数は変わる可能性がありますが、お客様は全員、常に複数のマルウェア対策パートナーによって自動的に保護されます。ただし、1 つだけを選択することはできません。A. We have partnerships with multiple best-of-breed providers of anti-malware technologies. The number of partners we have is subject to change, but all of our customers are automatically protected by multiple anti-malware partners at all times. There is no way to choose one engine over another.

Q. マルウェア スキャンが実行される場所はどこですか?Q. Where does malware scanning occur?

A. マルウェア スキャンは、メールボックスで送受信されたメールボックスに対して実行されます。メールボックスからアクセスされたメッセージはすでにスキャンされているため、マルウェア スキャンは、これらのメッセージに対して実行されません。メールボックスからメッセージが再送信された場合は、メッセージが再スキャンされます。A. Malware scanning is performed on messages sent to or received from a mailbox. Malware scanning is not performed on a message accessed from a mailbox because it should have already been scanned. If a message is re-sent from a mailbox, it's rescanned.

Q. マルウェア対策ポリシーを変更した場合、変更を保存してからその変更が反映されるまで、どれ位かかりますか?Q. If I make a change to an anti-malware policy, how long does it take after I save my changes for them to take effect?

A. 変更が有効になるまで最大 1 時間かかります。A. It may take up to 1 hour for the changes to take effect.

Q. このサービスは、マルウェアを検出するために、内部メッセージをスキャンしますか?Q. Does the service scan internal messages for malware?

Exchange Online Protection スタンドアロンのお客様の場合、このサービスは、サービスがルーティングする送信メッセージと受信メッセージだけをスキャンし、組織内の送信者が組織内の受信者に送信するメッセージはスキャンしません。しかし、もう 1 つの防御層として、Exchange Server 2013 に組み込まれているマルウェア対策機能をサービスと組み合わせることができます。このマルウェア対策機能は、マルウェアを検出するために、内部メッセージをスキャンします。A. For Exchange Online Protection standalone customers, the service only scans inbound and outbound messages that are routed by the service, and does not scan messages sent from a sender in your organization to a recipient in your organization. However, for another layer of defense, you can pair the service with the built-in anti-malware protection capabilities of Exchange Server 2013, which scans internal messages for malware.

Exchange Online および Exchange Enterprise CAL とサービス のお客様の場合、このサービスは、サービスがルーティングする送信メッセージと受信メッセージ、および組織内の送信者が組織内の受信者に送信するメッセージをスキャンします。For Exchange Online and Exchange Enterprise CAL with Services customers, the service scans inbound and outbound messages that are routed by the service, as well as internal messages sent from a sender in your organization to a recipient in your organization.

Q. サービスにより使用されるすべてのマルウェア対策エンジンでは、ヒューリスティック スキャンが有効になっていますか?Q. Do all anti-malware engines used by the service have heuristic scanning enabled?

はい。これにより、マルウェア対策エンジンは、既知の (署名が一致する) マルウェアと不明な (挙動不審な) マルウェアの両方をスキャンできます。Yes. This enables the anti-malware engines to scan for both known (signature match) and unknown (suspicious) malware.

Q. サービスは、圧縮ファイル (.zip ファイル) などをスキャンできますか。Q. Can the service scan compressed files (such as .zip files)?

はい。マルウェア対策エンジンは、アーカイブ (圧縮済み) ファイル (.zip ファイルなど) を精査できます。Yes. The anti-malware engines can drill into archive (compressed) files (such as .zip files).

Q. 圧縮された添付ファイルのスキャン サポートは再帰的 (.zip 内の .zip 内の .zip) ですか? 再帰的な場合の深さはどのくらいですか?Q. Is the compressed attachment scanning support recursive (.zip within a .zip within a .zip) and if so, how deep does it go?

圧縮ファイルの再帰的スキャンは深層部までスキャンできます。Yes, recursive scanning of compressed files can be scanned many layers deep.

Q. このサービスは従来の Exchange バージョン (Exchange Server 2010 など) および Exchange 以外の環境で動作しますか?Q. Does the service work with legacy Exchange versions (such as Exchange Server 2010) and non-Exchange environments?

A. はい、サービスはサーバーに依存しません。A. Yes, the service is server agnostic.

Q. ゼロデイ ウイルスとは何ですか? サービスはどのようにそれを処理しますか?Q. What's a zero-day virus and how is it handled by the service?

A. ゼロデイ ウイルスは、第 1 世代の、捕獲されて分析されたことのない、以前には知られていなかったマルウェアの変種です。したがって、マルウェア対策エンジンにはそれを検出するための定義が備わっていません。ゼロデイ ウイルスのサンプルがマルウェア対策エンジンによって捕獲されて分析されると、マルウェアの固有の署名に基づいて検出用の定義が作成されるので、「ゼロデイ」とはみなされなくなります。A. A zero-day virus is a first generation, previously unknown variant of malware that's never been captured or analyzed, so our anti-malware engines don't yet have any definitions available for detecting it. After a zero-day virus sample is captured and analyzed by our anti-malware engines, a definition is created to detect it based on the unique signature of the malware, and it's no longer considered "zero-day."

Q. マルウェアを含む可能性のある特定の実行可能ファイル (*.exe など) をブロックするようにサービスを構成するにはどうすればよいですか?Q. How can I configure the service to block specific executable files (such as *.exe) that I fear may contain malware?

A.A. EAC の一般的な添付ファイルの種類フィルターを使用できます。You can use the Common Attachment Types Filter in the EAC. [保護] > [マルウェア フィルター] と選択します。Select protection > malware filters. 実行可能なコンテンツを含むすべての電子メール添付ファイルをブロックする Exchange メールフロールール (トランスポートルールとも呼ばれます) を作成できます。You can create an Exchange mail flow rule (also known as transport rule) that blocks any email attachment that has executable content. メールフロールールコンテンツ検査でサポートされるファイルの種類」に一覧表示されているファイルの種類をブロックするには、「 Exchange Online Protection でのファイル添付のブロックによってマルウェアの脅威を軽減する方法」の手順に従います。Follow the steps in How to reduce malware threats through file attachment blocking in Exchange Online Protection in order to block the file types listed in Supported file types for mail flow rule content inspection.

保護を強化するために、メール フロー ルールを使用して、以下の拡張子のすべてまたは一部をブロックすることもお勧めします。ade、adp、ani、bas、bat、chm、cmd、com、cpl、crt、hlp、ht、hta、inf、ins、isp、job、js、jse、lnk、mda、mdb、mde、mdz、msc、msi、msp、mst、pcd、reg、scr、sct、shs、url、vb、vbe、vbs、wsc、wsf、wsh。これは、[任意の添付ファイルの拡張子に次の単語が含まれる場合] の条件を使用して行うことができます。For increased protection, we also recommend using mail flow rules to block some or all of the following extensions: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh. This can be done by using the Any attachment file extension includes these words condition.

Q. このマルウェアがフィルターを通過したのはなぜですか?Q. Why did this malware make it past the filters?

A. マルウェアを受信した理由として 2 つの可能性が考えられます。A. There are two possible reasons why you may have received malware.

1 つ目は、より可能性の高いケースとして、受信した添付ファイルにアクティブな悪意のあるコードが含まれていない場合があります。このケースでは、コンピューター上で稼働している一部のマルウェア対策エンジンが、より活動的に対処することがあり、ペイロードが切り捨てられたメッセージをブロックします。The first, and more likely scenario, is that the attachment received does not contain any active malicious code. In these situations, some anti-malware engines that run on computers may be more aggressive and stop messages with truncated payloads.

2 つ目は、受け取ったマルウェアが新しい変種で、マルウェア対策パートナーから展開するサービス用のパターン ファイルがまだリリースされていないケースです。更新プログラムがリリースされるまでの時間は、マルウェア対策パートナーによって異なります。The second is that the malware you received is a new variant and our anti-malware partners have not yet released a pattern file for the service to deploy. The time it takes for an update to be released is dependent on the anti-malware partners.

Q. フィルターを通過したマルウェアは、どのように Microsoft に送信できますか? また、マルウェアとして誤って検出されたと思われるファイルは、どのような方法で送信できますか?Q. How can I submit malware that made it past the filters to Microsoft? Also, how can I submit a file that I believe was incorrectly detected as malware?

A. 「マルウェアおよびマルウェアでないファイルを分析のために Microsoft に提出する」を参照してください。A. See Submitting malware and non-malware to Microsoft for analysis.

Q. 正体不明のファイルが添付された電子メールを受信しました。これはマルウェアですか? このような添付ファイルは無視しても構わないでしょうか?Q. I received an email with an attachment that I am not familiar with. Is this malware or can I disregard this attachment?

A. 内容のわからない添付ファイルは開かないことを強くお勧めします。弊社による添付ファイルの調査が必要な場合は、「Malware Protection Center」(マルウェア保護センター) にアクセスし、前述の説明に従って、可能性のあるマルウェアを弊社に送信してください。A. We strongly advise that you do not open any attachments that you do not recognize. If you would like us to investigate the attachment, go to the Malware Protection Center and submit the possible malware to us as described previously.

Q. マルウェア フィルターによって削除されたメッセージはどこで確認できますか?Q. Where can I get the messages that have been deleted by the malware filters?

A. メッセージにはアクティブな悪意あるコードが含まれているため、このようなメッセージにはアクセスできないようになっています。メッセージは単に削除されます。A. The messages contain active malicious code and therefore we do not allow access to these messages. They are simply deleted.

Q: マルウェアフィルターによって誤ってフィルター処理されているため、特定の添付ファイルを受信できません。メールフロールールを使用してこの添付ファイルを許可することはできますか?Q. I am not able to receive a specific attachment because it is being falsely filtered by the malware filters. Can I allow this attachment through via mail flow rules?

A.A. いいえ。No. メールフロールール (トランスポートルールとも呼ばれます) を使用して、マルウェアフィルターをバイパスすることはできません。Mail flow rules (also known as transport rules) cannot be used to bypass the malware filters. マルウェア フィルターをバイパスする必要がある場合は、添付ファイルをパスワード保護された .zip ファイル形式にして目的の受信者に送信します。If you would like this attachment to bypass the malware filters, send the attachment to the intended recipient within a password protected .zip file. パスワード保護されたファイルは、マルウェア フィルター処理でバイパスします。Any password protected file is bypassed by malware filtering.

Q. マルウェアの検出に関するレポート データを取得できますか?Q. Can I obtain reporting data about malware detections?

A.A. はい。管理センターでレポートにアクセスするか、Excel レポートブックをダウンロードすることができます。Yes, you can access reports in the admin center or by downloading an Excel reporting workbook. レポートの詳細については、次のリンクを参照してください。For more information about reporting, see the following links:

Exchange Online のお客様: Exchange online での監視、レポート、メッセージ追跡Exchange Online customers: Monitoring, Reporting, and Message Tracing in Exchange Online

Exchange Online Protection のお客様: Exchange Online protection でのレポート作成とメッセージ追跡Exchange Online Protection customers: Reporting and message trace in Exchange Online Protection

Q. サービスで、マルウェアが検出されたメッセージを追跡するのに使用できるツールはありますか?Q. Is there a tool that I can use to follow a malware-detected message through the service?

はい。メッセージ追跡機能を使用して、サービスを経由するメール メッセージを追跡できます。メッセージ追跡ツールを使用して、マルウェアを含むメッセージが検出された理由を明らかにする方法の詳細については、「メッセージにマルウェアが含まれていることが検出されましたか?」を参照してくださいYes, the message trace tool enables you to follow email messages as they pass through the service. For more information about how to use the message trace tool to find out why a message was detected to contain malware, see Was a message detected to contain malware?

Q. Exchange Online とサードパーティのスパム対策プロバイダーやマルウェア対策プロバイダーを併用することは可能ですか?Q. Can I use a third-party anti-spam and anti-malware provider in conjunction with Exchange Online?

A. できます。Exchange Online のメールボックスを保護するために、別のスパムおよびマルウェア フィルタリング サービスを構成できます。着信メールに対してこれを構成するには、MX レコードをサードパーティ プロバイダーを指すように変更して電子メール メッセージをサードパーティ プロバイダーにリダイレクトし、その後そのメッセージを EOP にリダイレクトしてさらに処理を行う必要があります。送信メールに対して構成するには、Scenario: Outbound Smart Hosting に示すように、メッセージの配信先をサードパーティ プロバイダー (スマート ホスト) に設定してください。A. Yes, you may configure another spam and malware filtering service to protect your Exchange Online mailboxes. To do this for inbound mail, you should redirect your email messages to the third-party provider by changing your MX records to point to the third-party provider, and then redirect the messages to EOP for additional processing. To do this for outbound mail, please configure the message delivery destination to the third-party provider (smart host), as shown in Scenario: Outbound Smart Hosting.

Q. スパム メッセージおよびマルウェア メッセージの送信元に関する調査や、法執行機関への転送は行っていますか?Q. Are spam and malware messages being investigated as to who sent them, or being transferred to law enforcement entities?

A. サービスの中心はスパムやマルウェアの検出と除去ですが、特に危険で破壊力が大きい一連のスパムまたは攻撃については、加害者を調査および追跡する場合があります。 たとえば、Microsoft の法律部門やデジタル犯罪対策部門と連携して悪意のあるボットネットを削除したり、加害者がサービスを使用できないようにしたり (そのサービスが外部への電子メール送信に使用されている場合)、刑事告発のために法執行機関に情報を提供したりします。A. The service focuses on spam and malware detection and removal, though we may occasionally investigate especially dangerous or damaging spam or attack campaigns and pursue the perpetrators. This may involve working with our legal and digital crime units to take down a spammer botnet, blocking the spammer from using the service (if they're using it for sending outbound email), and passing the information on to law enforcement for criminal prosecution.

関連情報For more information

マルウェア対策ポリシーを構成するConfigure anti-malware policies

マルウェア対策保護Anti-malware protection