Defender for Office 365 でフィッシングをブロックする方法

Defender for Office 365 でフィッシングをブロックする方法

2024 年 4 月 14 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアがフィッシング攻撃を効果的にブロックするために Microsoft Defender for Office 365 (MDO) を構成および最適化する方法をガイドすることを目的としています。フィッシングは依然として最も蔓延している危険なサイバー脅威の 1 つであり、資格情報を盗んだり、マルウェアをインストールしたり、被害者をだまして機密情報を漏らしたりすることを目的としています。 MDO は、基本的な Exchange Online Protection (EOP) 保護を超える強力なフィッシング対策機能スイートを提供し、高度な攻撃に対する高度な防御を提供します [1]。

はじめに

フィッシング攻撃は、一般的な電子メールから、スピア フィッシング、捕鯨、ビジネス電子メール侵害 (BEC) として知られる、ターゲットを絞った説得力のあるキャンペーンへと進化しました。これらの戦術は人間の信頼を悪用し、従来の防御を回避することができます。 Microsoft Defender for Office 365 は、人工知能、機械学習、動作分析を使用して、悪意のある電子メールがユーザーの受信トレイに届く前に検出してブロックすることで、これらの高度な脅威に対抗するように設計されています [2]。

この実用的なガイドでは、スプーフィング保護、メールボックス インテリジェンス、偽装保護、安全なリンクと添付ファイルなど、MDO でのフィッシング対策ポリシーの構成について説明します。読者がフィッシング攻撃に対する組織の防御を強化し、ベスト プラクティスについてユーザーを教育できるように、段階的な手順、設定例、および検証方法が提供されます。

Defender for Office 365 がフィッシングに対して不可欠であるのはなぜですか?

  • 高度な保護: EOP を超え、ゼロデイ脅威やポリモーフィック攻撃の検出を提供します。
  • 脅威インテリジェンス: Microsoft の膨大な脅威インテリジェンスを利用して、新たな攻撃ベクトルとパターンを特定します。
  • 動作分析: 電子メールと URL の動作を分析して、フィッシングを示す異常を特定します。
  • なりすまし保護: 信頼できる経営陣、ブランド、またはパートナーになりすまそうとする電子メールを防御します。
  • 安全なリンクと添付ファイル: クリックまたは開くときに URL と添付ファイルをリアルタイムでスキャンし、悪意のあるコンテンツから保護します。
  • 可視性とレポート: フィッシング攻撃を理解し、対応するための詳細なレポートおよび調査ツールを提供します。

前提条件

Microsoft Defender for Office 365 でフィッシング対策ポリシーを構成および最適化するには、次のものが必要です。

  1. ライセンス: Microsoft Defender for Office 365 Plan 1 または Plan 2 を含むライセンス。これは通常、Microsoft 365 E5 Security、Microsoft 365 E5、Office 365 E5 などのパッケージの一部であるか、アドオンとして購入できます [3]。
  2. 管理アクセス: Microsoft 365 Defender ポータル (https://security.microsoft.com) のセキュリティ管理者またはコンプライアンス管理者のアクセス許可を持つアカウント。
  3. 検証済みドメイン: 電子メール ドメインは Microsoft 365 で構成および検証されている必要があります。
  4. 電子メール DNS レコード: SPF (Sender Policy Framework)、DKIM (DomainKeys Identified Mail)、および DMARC (Domain-based Message Authentication, Reporting, and Conformance) がドメインに対して正しく構成されている必要があります。これは、なりすましやなりすましを防ぐために重要です。

ステップバイステップ: MDO でのフィッシング対策ポリシーの構成

ユーザーを保護するためにカスタムのフィッシング対策ポリシーを構成しましょう。

1. Microsoft 365 Defender ポータルへのアクセス

  1. ブラウザを開いて「https://security.microsoft.com」に移動します。
  2. 必要な権限を持つアカウントでログインします。

2. カスタムのフィッシング対策ポリシーの作成

MDO にはデフォルトのフィッシング対策ポリシーがありますが、特定のユーザー グループ (役員、リスクの高いユーザーなど) に対してカスタム ポリシーを作成し、保護設定を調整することを強くお勧めします。

  1. 左側のナビゲーション ペインで、電子メールとコラボレーション > ポリシーとルール > 脅威ポリシー を選択します。
  2. [ポリシー] セクションで、[フィッシング対策] をクリックします。
  3. [作成] をクリックして、新しいポリシー ウィザードを起動します。

ステップ 1: ポリシーに名前を付ける

  1. 名前: 「フィッシング対策ポリシー」カスタム - エグゼクティブ` (またはターゲット グループを説明する名前)。
  2. 説明: 「経営幹部やリスクの高いユーザー向けの高度なフィッシング保護。」
  3. [次へ] をクリックします。

ステップ 2: ユーザー、グループ、ドメイン

  1. ユーザー、グループ、またはドメイン: このポリシーを適用するユーザーまたはグループを選択します。この例では、幹部が含まれるセキュリティ グループを選択します。
    • ヒント: 組織全体に適用する前に、小さなテスト グループから始めてください。
  2. これらのユーザー、グループ、およびドメインを除外します: (オプション) このポリシーから除外する必要があるエンティティを追加します。
  3. [次へ] をクリックします。

ステップ 3: フィッシングのしきい値となりすましのしきい値

このセクションでは、フィッシングやなりすましに対する保護レベルを構成できます。

  1. フィッシングしきい値: 値「3」または「4」を設定することをお勧めします (デフォルトは 1)。値が大きいほど保護は強化されますが、誤検知が増加する可能性があります。
  2. ユーザーの保護を有効にする: [ユーザーの追加] をクリックし、なりすましから保護したい幹部または主要人物 (CEO、CFO など) の電子メール アドレスを追加します。 MDO は、これらの人物になりすまそうとする電子メールを積極的に監視します。
  3. 保護するドメインを有効にする: [ドメインの追加] をクリックし、独自のドメイン (例: 「yourcompany.com」) を追加します。これにより、内部および外部のドメイン スプーフィングから保護されます。
  4. アクション: なりすましとして検出されたメッセージに対するアクションを設定します。
    • メッセージがユーザーのなりすましとして検出された場合: 「メッセージを隔離」または「メッセージを受信者の迷惑メール フォルダーに移動」。
    • メッセージがドメイン偽装として検出された場合: メッセージを隔離
    • ヒント: 正規の電子メールが失われないようにするには、まず「メッセージを受信者の迷惑メールに移動」または「隔離」フォルダーに移動します。
  5. メールボックス インテリジェンス: オンであることを確認します。これにより、MDO は機械学習インテリジェンスを使用して、各ユーザーの通常の通信パターンを判断し、異常を検出できるようになります。
  6. スプーフィング保護: オンであることを確認し、認証されていないスプーフィング メッセージに対するアクションを「メッセージを受信者の迷惑メール フォルダーに移動」または「メッセージを隔離」に設定します。
  7. [次へ] をクリックします。

ステップ 4: 確認する

  1. すべてのポリシー設定を確認します。
  2. [作成] をクリックします。

3. 安全な添付ファイルの構成

Secure Attachments は、添付ファイルをユーザーに配信する前に仮想化環境 (サンドボックス) で開くことで、ゼロデイ マルウェアから保護します。

  1. 左側のナビゲーション ペインで、電子メールとコラボレーション > ポリシーとルール > 脅威ポリシー を選択します。
  2. [ポリシー] セクションで、[安全な添付ファイル] をクリックします。
  3. [作成] をクリックします。
  4. 名前: 「安全な添付ファイル ポリシー」。
  5. 説明: `サンドボックス化された電子メールの添付ファイルをスキャンして、ゼロデイ マルウェアから保護します。
  6. 安全な添付ファイルのマルウェア対応アクション: 「ブロック」を選択します。
  7. 検出された添付ファイルをリダイレクト: (オプション) 詳細な分析のために添付ファイルをセキュリティ メールボックスにリダイレクトできます。
  8. 適用先: ユーザー、グループ、またはドメインを選択し、関連するユーザーまたはグループを追加します。
  9. [作成] をクリックします。

4. 安全なリンクの構成

Safe Links は、電子メールやドキュメント内の URL を書き換えて、クリック時にリアルタイムで評価をチェックし、悪意のあるリンクから保護します。

  1. 左側のナビゲーション ペインで、電子メールとコラボレーション > ポリシーとルール > 脅威ポリシー を選択します。
  2. [ポリシー] セクションで、[安全なリンク] をクリックします。
  3. [作成] をクリックします。
  4. 名前: 「安全なリンク ポリシー」。
  5. 説明: 「電子メールやドキュメント内の悪意のある URL から保護します。」
  6. 電子メール メッセージに安全なリンクを適用: これが有効であることを確認してください。
  7. Office 365 アプリのコンテンツに安全なリンクを適用: これが有効であることを確認してください。
  8. アクション: ブロックされた URL に対するアクションを設定します (例: 「悪意のある URL をブロック」)。
  9. 次の URL は書き換えないでください: (オプション) 書き換えるべきではない内部 URL または信頼できる URL を追加します。
  10. 適用先: ユーザー、グループ、またはドメインを選択し、関連するユーザーまたはグループを追加します。
  11. [作成] をクリックします。

検証とテスト

保護が期待どおりに機能していることを確認するには、フィッシング対策ポリシーの有効性を検証することが重要です。

1. 攻撃シミュレーション トレーニングの使用

MDO には、ユーザーの回復力とポリシーの有効性をテストできるフィッシング攻撃シミュレーション ツールが含まれています。

  1. Microsoft 365 Defender ポータルで、電子メールとコラボレーション > トレーニング攻撃シミュレーション に移動します。
  2. [シミュレーションの開始] をクリックします。
  3. ウィザードに従って、シミュレートされたフィッシング キャンペーンを作成し、テスト ユーザーのグループに対して開始します。
  4. 結果を監視して、侵害されたユーザーの数と、シミュレートされたフィッシングメールが MDO ポリシーによって傍受されたかどうかを確認します。

2. 保護ログの確認

  1. Microsoft 365 Defender ポータルで、電子メールとコラボレーション > エクスプローラー に移動します。
  2. フィルタを使用して「フィッシング」、「スプーフ」、または「マルウェア」と判定された電子メールを検索し、ポリシーが悪意のある電子メールを検出しているかどうかを確認します。

3. 安全なリンクと添付ファイルのテスト

既知の悪意のあるリンク (安全なフィッシング テスト サイトなどから) またはマルウェア テスト ファイル (EICAR など) を含むテスト電子メールを保護されたユーザーに送信し、MDO がリンクを書き換えるか添付ファイルをブロックするかを確認します。

セキュリティのヒントとベスト プラクティス

  • ユーザー教育: 最も重要な防御線。フィッシングメールを認識して報告できるようにユーザーを定期的にトレーニングします。トレーニング攻撃シミュレーションを使用して学習を強化します。
  • SPF、DKIM、および DMARC を設定します: これらの DNS レコードは、電子メール認証とスプーフィング保護にとって重要です。すべてのドメインに対してそれらが正しく構成されていることを確認してください。
  • 詳細なポリシー: さまざまなユーザー グループ、特にリスクの高いユーザー (役員、財務など) 向けにパーソナライズされたフィッシング対策ポリシーを作成します。
  • フィッシングしきい値を増やす: 誤検知を監視して保護を強化するには、カスタム ポリシーでフィッシングしきい値を 3 または 4 に増やすことを検討してください。
  • レポートの監視: MDO の脅威保護レポートを定期的に確認して、傾向、標的型攻撃、保護を改善できる領域を特定します。
  • Defender for Endpoint との統合: 電子メール保護とエンドポイント保護は連携して多層防御を実現します。ユーザーが悪意のあるリンクをクリックした場合、Defender for Endpoint はデバイス上の脅威の検出と修復に役立ちます。

一般的なトラブルシューティング

  • 正規のフィッシングメールが通過している: フィッシング対策ポリシーの設定、特にフィッシングのしきい値と、なりすましやなりすましに対するアクションを確認してください。 SPF、DKIM、および DMARC が正しく構成されていることを確認してください。脅威エクスプローラーでログを確認します。
  • 誤検知 (正規の電子メールがブロックされる): フィッシングのしきい値をより低い値に調整します。なりすましやなりすましの設定を確認してください。信頼できる送信者またはドメインを例外リストに追加します (必要な場合は注意してください)。
  • 書き換えられていないリンクまたは未確認の添付ファイル: 安全なリンクと安全な添付ファイルのポリシーが有効になっていて、正しいユーザーに割り当てられていることを確認します。電子メールが MDO 経由でルーティングされていることを確認します。
  • トレーニング攻撃シミュレーションの問題: テスト ユーザーが正しいグループに含まれていること、およびシミュレーション電子メールがユーザーに届く前にブロックしている可能性があるポリシーがないことを確認します。

結論

Microsoft Defender for Office 365 は、フィッシングとの戦いにおいて強力かつ不可欠なツールです。フィッシング対策、安全な添付ファイル、および安全なリンクのポリシーを構成および最適化することで、組織は広範な悪意のある電子メール攻撃に対する堅牢な防御を確立できます。高度なテクノロジーと継続的なユーザー教育を組み合わせることで、企業のアイデンティティ、データ、評判を効果的に保護する多層的なセキュリティ戦略が作成されます。進化し続けるフィッシング戦術に対して効果を維持するには、継続的な警戒とポリシーの適応が不可欠です。

参考文献:

[1] Microsoft Learn。 Office 365 用 Microsoft Defender。入手可能場所: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mic]rosoft-defender-for-office-365?view=o365-worldwide](https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide) [2] Microsoft Learn。 Microsoft Defender for Office 365 のフィッシング対策ポリシー。入手可能場所: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3] Microsoft Learn。 Microsoft Defender for Office 365 のライセンス要件。入手可能場所: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)