マルウェア対策保護に関する FAQ

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

適用対象

この記事では、Exchange Onlineにメールボックスがある Microsoft 365 組織、またはメールボックスのないスタンドアロン Exchange Online Protection (EOP) 組織に対するマルウェア対策保護についてよく寄せられる質問と回答Exchange Online提供します。

検疫に関する質問と回答については、「検疫に関する FAQ」を参照してください。

スパム対策保護に関する質問と回答については、「 スパム対策の FAQ」を参照してください。

なりすまし対策保護に関する質問と回答については、「 なりすまし対策保護に関する FAQ」を参照してください。

マルウェアに対抗するサービスを構成および使用する際の推奨されるベスト プラクティスについて教えてください。

マルウェア定義はどのくらいの頻度で更新されますか?

各サーバーは 1 時間間隔でマルウェア対策パートナーからの新しいマルウェア定義の有無を確認しています。

マルウェア対策パートナーの数はいくつですか? 使用するマルウェア エンジンを選択できますか?

2024 年 7 月の時点で、メッセージは Microsoft マルウェア対策エンジンでのみスキャンされます。

マルウェア スキャンが実行される場所はどこですか?

メールボックス (転送中のメッセージ) との間で送受信されるメッセージ内のマルウェアをスキャンします。 Exchange Onlineメールボックスの場合、マルウェアが既に配信されているメッセージをスキャンするための 0 時間の自動消去 (ZAP) もあります。 メールボックスからメッセージを再送信した場合は、もう一度スキャンされます (転送中のため)。

マルウェア対策ポリシーを変更した場合、変更を保存してからその変更が反映されるまで、どれ位かかりますか?

変更が有効になるまでに最大 1 時間かかる場合があります。

このサービスは、マルウェアを検出するために、内部メッセージをスキャンしますか?

Exchange Onlineメールボックスを持つ組織の場合、サービスは、内部受信者間で送信されたメッセージを含むすべての受信メッセージと送信メッセージのマルウェアをスキャンします。

スタンドアロン EOP サブスクリプションは、オンプレミスの電子メール organizationを入力または退出するメッセージをスキャンします。 内部オンプレミスの受信者間で送信されたメッセージは、マルウェアのスキャンを行いません。 ただし、Exchange Serverの組み込みのマルウェア対策スキャン機能を使用できます。 詳細については、「Exchange Serverのマルウェア対策保護」を参照してください。

ヒューリスティック スキャンは有効になっていますか?

はい。 ヒューリスティック スキャンは、既知の (署名の一致) と不明な (疑わしい) マルウェアの両方をスキャンします。

サービスは、圧縮ファイル (.zip ファイル) などをスキャンできますか。

はい。 マルウェア対策は、圧縮 (アーカイブ) ファイルにドリルインできます。

圧縮された添付ファイルスキャンは再帰的 (.zip 内の .zip 内の .zip) をサポートしており、その場合はどのくらいの深さになりますか?

はい。圧縮ファイルの再帰的スキャンでは、多くのレイヤーが深くスキャンされます。

サービスは従来の Exchange バージョンと Exchange 以外の環境で動作しますか?

はい、サービスはサーバーに依存しません。

ゼロデイ ウイルスとは何ですか。また、サービスによってどのように処理されますか?

ゼロデイ ウイルスは、最初の世代で、以前は未知のマルウェアのバリアントであり、キャプチャまたは分析されることは一度もありません。

0 日間のウイルス サンプルがキャプチャされ、マルウェア対策エンジンによって分析された後、マルウェアを検出するための定義と一意の署名が作成されます。

マルウェアの定義または署名が存在する場合、0 日とは見なされなくなります。

マルウェアが含まれている可能性がある特定の実行可能ファイル (\*.exe など) をブロックするようにサービスを構成するにはどうすればよいですか?

マルウェア対策ポリシーの 一般的な添付ファイル フィルター の説明に従って、 一般的な添付ファイル フィルター (一般的な添付ファイルのブロックとも呼ばれます) を有効 して構成できます。

また、実行可能なコンテンツを含む電子メールの添付ファイルをブロックする Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) を作成することもできます。

「Exchange Online Protectionの添付ファイル のブロックを通じてマルウェアの脅威を軽減する方法」の手順に従って、「Exchange Onlineのメール フロー ルールコンテンツ検査でサポートされているファイルの種類」に記載されているファイルの種類をブロックします。

保護を強化するために、 任意の添付ファイル拡張子 を使用して、次の拡張機能の一部またはすべてをブロックするために、メール フロー ルールにこれらの単語の条件が含まれています: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh

特定のマルウェアがフィルターを越えたのはなぜですか?

受け取ったマルウェアは新しいバリアントです ( 「ゼロデイ ウイルスとは」を参照し、サービスによってどのように処理されるかを参照してください)。 マルウェア定義の更新にかかる時間は、マルウェア対策パートナーによって異なります。

ユーザーまたは管理者が構成可能な設定では、マルウェア対策保護によって電子メールの添付ファイルがスキャンされるのを除外できないことに注意してください。

フィルターを超えたマルウェアを Microsoft に送信するにはどうすればよいですか? また、マルウェアとして誤って検出されたと思われるファイルは、どのような方法で送信できますか?

見慣れない添付ファイルが記載されたメール メッセージを受け取った。 このマルウェアですか、それともこの添付ファイルを無視できますか?

認識できない添付ファイルは開かないことを強くお勧めします。 添付ファイルを調査する場合は、 ファイルを Microsoft に報告してください

マルウェア フィルターによって削除されたメッセージはどこで取得できますか?

メッセージにはアクティブな悪意のあるコードが含まれているため、これらのメッセージへのアクセスは許可されません。 これらは無意識に削除されます。

特定の添付ファイルがマルウェアとして誤って識別されているため、受信できません。 メール フロー ルール経由でこの添付ファイルを許可できますか?

いいえ。 Exchange メール フロー ルールを使用してマルウェアのフィルター処理をスキップすることはできません。 受信者のマルウェア フィルター処理をスキップする唯一の方法は、メールボックスを SecOps メールボックスとして識別することです。 詳細については、「Microsoft Defender ポータルを使用して高度な配信ポリシーで SecOps メールボックスを構成する」を参照してください。

マルウェア検出に関するレポート データを取得できますか?

はい。Microsoft Defender ポータルでレポートにアクセスできます。 詳細については、「Microsoft Defender ポータルで電子メール セキュリティ レポートを表示する」を参照してください。

サービスで、マルウェアが検出されたメッセージを追跡するのに使用できるツールはありますか?

はい。メッセージ トレース ツールを使用すると、サービスを通過するときに電子メール メッセージに従うことができます。 メッセージ トレース ツールを使用して、メッセージにマルウェアが含まれていることが検出された理由を確認する方法の詳細については、 最新の Exchange 管理センターのメッセージ トレースに関するページを参照してください。

サード パーティのスパム対策およびマルウェア対策プロバイダーをExchange Onlineで使用できますか?

はい。 ほとんどの場合、MX レコードを EOP にポイントすることをお勧めします (つまり、電子メールを直接配信する)。 最初にメールをルーティングする必要がある場合は、 コネクタの拡張フィルター処理を 有効にして、EOP が真のメッセージ ソースをフィルター処理の決定に使用できるようにする必要があります。

スパム メッセージおよびマルウェア メッセージの送信元に関する調査や、法執行機関への転送は行っていますか?

サービスの中心はスパムやマルウェアの検出と除去ですが、特に危険で破壊力が大きい一連のスパムまたは攻撃については、加害者を調査および追跡する場合があります。

多くの場合、法的およびデジタル犯罪部門と協力して、次のアクションを実行します。

  • スパム ボットネットを取り下げる。
  • 攻撃者がサービスを使用できないようにブロックします。
  • 情報を法執行機関に渡して、刑事訴追を受けます。

詳細情報