マルウェア対策保護に関する FAQ

EOP マルウェア対策ポリシー設定に関するページを参照してください。

各サーバーは 1 時間間隔でマルウェア対策パートナーからの新しいマルウェア定義の有無を確認しています。

2024 年 7 月の時点で、メッセージは Microsoft マルウェア対策エンジンでのみスキャンされます。

メールボックス (転送中のメッセージ) との間で送受信されるメッセージ内のマルウェアをスキャンします。 Exchange Online メールボックスの場合、マルウェアが既に配信されているメッセージをスキャンするための 0 時間の自動消去 (ZAP) もあります。 メールボックスからメッセージを再送信した場合は、もう一度スキャンされます (転送中のため)。

変更が有効になるまでに最大 1 時間かかる場合があります。

Exchange Online メールボックスを持つ組織の場合、サービスは、内部受信者間で送信されたメッセージを含むすべての受信メッセージと送信メッセージのマルウェアをスキャンします。

スタンドアロン EOP サブスクリプションは、オンプレミスの電子メール組織に入ったり、退出したりすると、メッセージをスキャンします。 内部オンプレミスの受信者間で送信されたメッセージは、マルウェアのスキャンを行いません。 ただし、Exchange Server の組み込みのマルウェア対策スキャン機能を使用できます。 詳細については、「 Exchange Server でのマルウェア対策保護」を参照してください。

はい。 ヒューリスティック スキャンは、既知の (署名の一致) と不明な (疑わしい) マルウェアの両方をスキャンします。

はい。 マルウェア対策は、圧縮 (アーカイブ) ファイルにドリルインできます。

はい。圧縮ファイルの再帰的スキャンでは、多くのレイヤーが深くスキャンされます。

はい、サービスはサーバーに依存しません。

ゼロデイ ウイルスは、最初の世代で、以前は未知のマルウェアのバリアントであり、キャプチャまたは分析されることは一度もありません。

0 日間のウイルス サンプルがキャプチャされ、マルウェア対策エンジンによって分析された後、マルウェアを検出するための定義と一意の署名が作成されます。

マルウェアの定義または署名が存在する場合、0 日とは見なされなくなります。

マルウェア対策ポリシーの 一般的な添付ファイル フィルター の説明に従って、 一般的な添付ファイル フィルター (一般的な添付ファイルのブロックとも呼ばれます) を有効 にして構成できます。

また、実行可能なコンテンツを含む電子メールの添付ファイルをブロックする Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) を作成することもできます。

「Exchange Online Protection で添付ファイルのブロックを通じてマルウェアの脅威を軽減する方法」の手順に従って、「Exchange Online でのメール フロー ルールのコンテンツ検査でサポートされているファイルの種類」に記載されているファイルの種類をブロックします。

保護を強化するために、 任意の添付ファイル拡張子 を使用して、次の拡張機能の一部またはすべてをブロックするために、メール フロー ルールにこれらの単語の条件が含まれています: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh。

受け取ったマルウェアは新しいバリアントです ( 「ゼロデイ ウイルスとは」を参照し、サービスによってどのように処理されるかを参照してください)。 マルウェア定義の更新にかかる時間は、マルウェア対策パートナーによって異なります。

ユーザーまたは管理者が構成可能な設定では、マルウェア対策保護によって電子メールの添付ファイルがスキャンされるのを除外できないことに注意してください。

「メッセージとファイルを Microsoft に報告する」を参照してください。

認識できない添付ファイルは開かないことを強くお勧めします。 添付ファイルを調査する場合は、 ファイルを Microsoft に報告してください。

メッセージにはアクティブな悪意のあるコードが含まれているため、これらのメッセージへのアクセスは許可されません。 これらは無意識に削除されます。

いいえ。 Exchange メール フロー ルールを使用してマルウェアのフィルター処理をスキップすることはできません。 受信者のマルウェア フィルター処理をスキップする唯一の方法は、メールボックスを SecOps メールボックスとして識別することです。 詳細については、「 Microsoft Defender ポータルを使用して高度な配信ポリシーで SecOps メールボックスを構成する」を参照してください。

はい。レポートには Microsoft Defender ポータルでアクセスできます。 詳細については、「 Microsoft Defender ポータルで電子メール セキュリティ レポートを表示する」を参照してください。

はい。メッセージ トレース ツールを使用すると、サービスを通過するときに電子メール メッセージに従うことができます。 メッセージ トレース ツールを使用して、メッセージにマルウェアが含まれていることが検出された理由を確認する方法の詳細については、 最新の Exchange 管理センターのメッセージ トレースに関するページを参照してください。

はい。 ほとんどの場合、MX レコードを EOP にポイントすることをお勧めします (つまり、電子メールを直接配信する)。 最初にメールをルーティングする必要がある場合は、 コネクタの拡張フィルター処理を 有効にして、EOP が真のメッセージ ソースをフィルター処理の決定に使用できるようにする必要があります。

サービスの中心はスパムやマルウェアの検出と除去ですが、特に危険で破壊力が大きい一連のスパムまたは攻撃については、加害者を調査および追跡する場合があります。

多くの場合、法的およびデジタル犯罪部門と協力して、次のアクションを実行します。

• スパム ボットネットを取り下げる。
• 攻撃者がサービスを使用できないようにブロックします。
• 情報を法執行機関に渡して、刑事訴追を受けます。

マルウェア対策ポリシーを構成する

マルウェア対策保護