EOP のスプーフィング対策保護

Exchange Online のメールボックスを使用している Microsoft 365 組織または Exchange Online のメールボックスを使用していないスタンドアロンの Exchange Online Protection (EOP) 組織では、なりすましの (偽装) 送信者から組織を保護するための機能が EOP に含まれています。

ユーザーの保護について、Microsoft はフィッシングの脅威を重大視しています。 スプーフィングは、攻撃者が一般的に使用する手法です。 スプーフィングされたメッセージは、実際の送信元とは異なるユーザーまたは場所から発信されたように見えます。 この手法は、ユーザーの資格情報を取得するように設計されたフィッシング キャンペーンでよく使用されます。 EOP のなりすまし対策テクノロジでは、特にメッセージ本文の From ヘッダーの偽造が調べられます。これは、そのヘッダー値が電子メール クライアントに表示されるメッセージ送信者であるためです。 EOP が From へッダーが偽造されていると判断する場合、メッセージはスプーフィングされたものとして識別されます。

EOP では、次のスプーフィング対策テクノロジを使用できます。

• メール認証: スプーフィング対策の不可欠な部分は、DNS のSPF、DKIM、DMARC レコードによるメール認証 (メール検証とも呼ばれます) を使用することです。 ドメインのこれらのレコードを構成して、送信先のメール システムがドメインの送信者からのものであると主張するメッセージの有効性をチェックできるようにすることができます。 受信メッセージの場合、Microsoft 365 では送信者のドメインのメール認証が必要です。 詳細については、「Microsoft 365 でのメール認証」をご覧ください。

  EOP は、標準の電子メール認証方法と送信者評判手法の組み合わせに基づいてメッセージを分析およびブロックします。

  

• スプーフィング インテリジェンスの分析情報: 過去 7 日間に内部ドメインと外部ドメインの送信者から検出されたなりすましメッセージを確認します。 詳細については、「EOP でのスプーフィング インテリジェンス分析」を参照してください。

• テナント許可/ブロック リストでなりすまし送信者を許可またはブロックする: スプーフィング インテリジェンス分析情報で判定をオーバーライドすると、スプーフィングされた送信者は、https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemの [テナント許可/ブロック リスト] ページの [なりすまし送信者] タブにのみ表示される手動の許可またはブロックエントリになります。 また、スプーフィング インテリジェンスで検出される前に、手動でなりすまし送信者の許可またはブロック エントリを作成することもできます。 詳細については、「 テナント許可/ブロック リストのなりすまし送信者」を参照してください。

• フィッシング詐欺対策ポリシー: EOP と Microsoft Defender for Office 365 では、フィッシング詐欺対策ポリシーに以下のなりすまし対策の設定が含まれます。

  • スプーフィング インテリジェンスのオン/オフを切り替える。
  • Outlook で認証されていない送信者インジケーターをオンまたはオフにします。
  • なりすまし送信者をブロックするアクションを指定する。

  詳細については、「フィッシング詐欺対策ポリシーでのなりすまし設定」を参照してください。

  Defender for Office 365 のフィッシング対策ポリシーには、偽装保護を含む追加の保護 が 含まれています。 詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーにおける排他的な設定」を参照してください。

• スプーフィング検出レポート: 詳細については、「スプーフィング検出レポート」を参照してください。

  Defender for Office 365 組織は、リアルタイム検出 (プラン 1) または脅威エクスプローラー (プラン 2) を使用して、フィッシングの試行に関する情報を表示することもできます。 詳細については、「Microsoft 365 脅威の調査と対応」をご覧ください。

フィッシング攻撃でスプーフィングが使用される方法

メッセージ内のスプーフィングされた送信者は、ユーザーに次のような悪影響を及ぼします。

• 詐欺: なりすまし送信者からのメッセージは、受信者をだましてリンクを選択し、資格情報を破棄したり、マルウェアをダウンロードしたり、機密性の高いコンテンツ (ビジネス メールの侵害または BEC と呼ばれる) を含むメッセージに返信したりする可能性があります。

  以下のメッセージは、なりすましの差出人 msoutlook94@service.outlook.com を使ったフィッシングの例です。

  

  このメッセージは service.outlook.com から送信されていまでしたが、攻撃者は From ヘッダー フィールドをスプーフィングして、そこから送信されたように見せかけていました。 送信者は、受信者をだまして パスワードの変更 リンクを選択し、資格情報を提供しようとしました。

  次のメッセージは、スプーフィングされたメールドメイン contoso.com を使用する BEC の例です。

  

  メッセージは正当なものに見えますが、送信者はスプーフィングされています。

• 混乱: フィッシングについて知っているユーザーでも、実際のメッセージとなりすまし送信者からのメッセージの違いが見えにくい可能性があります。

  次のメッセージは、Microsoft Security アカウントからの実際のパスワード リセット メッセージの例です。

  

  メッセージは実際には Microsoft から送信されたものですが、ユーザーは疑っています。 本物と偽物のパスワード リセット メッセージを見分けることが難しいため、ユーザーは、メッセージを無視したり、スパムとして報告したり、フィッシング詐欺として Microsoft に不要な報告を返したりすることがあります。

スプーフィングのさまざまな種類

Microsoft では、メッセージ内の 2 種類のスプーフィングされた送信者を区別します。

• 組織内スプーフィング: 自己完結型スプーフィングとも呼ばれます。 以下に例を示します。

  • 送信者と受信者は同じドメインにあります。

    差出人: chris@contoso.com
    宛先: michelle@contoso.com

  • 送信者と受信者は同じドメインのサブドメインにあります。

    差出人: laura@marketing.fabrikam.com
    宛先: julia@engineering.fabrikam.com

  • 送信者と受信者は同じ組織に属する異なるドメインに属しています (つまり、両方のドメインが同じ組織内の承認済みドメインとして構成されています)。

    From: sender @ microsoft.com
    To: recipient @ bing.com

    スパムボットの収集活動を阻止するために、メールアドレスにスペースが使用されます。

  組織内のスプーフィングのために複合認証に失敗したメッセージには、次のヘッダー値が含まれます。

  Authentication-Results: ... compauth=fail reason=6xx

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

  • reason=6xx は組織内スプーフィングを示します。

  • SFTY はメッセージの安全レベルです。 9 はフィッシングを示し、 .11 は組織内のスプーフィングを示します。

• クロスドメイン スプーフィング: 送信者ドメインと受信者ドメインは異なり、互いに関係がありません (外部ドメインとも呼ばれます)。 以下に例を示します。

  差出人: chris@contoso.com
  宛先: michelle@tailspintoys.com

  クロスドメイン スプーフィングのために複合認証に失敗したメッセージには、次のヘッダー値が含まれます。

  Authentication-Results: ... compauth=fail reason=000/001

  X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

  • reason=000 は、メッセージが明示的なメール認証に失敗したことを示します。 reason=001 は、メッセージが暗黙的なメール認証に失敗したことを示します。

  • SFTY はメッセージの安全レベルです。 9 はフィッシングを示し、 .22 はクロスドメイン スプーフィングを示します。

  認証結果とcompauth値の詳細については、「認証結果メッセージ ヘッダー フィールド」を参照してください。

スプーフィング対策保護の問題

メーリング リスト (ディスカッション リストとも呼ばれます) は、メッセージの転送方法や変更方法が原因で、なりすまし対策保護に問題があることがわかっている。

たとえば、Gabriela Laureano (glaureano@contoso.com) はバード ウォッチングに関心があり、メーリング リスト birdwatchers@fabrikam.comに参加し、次のメッセージをリストに送信します。

差出人: "Gabriela Laureano" <glaureano@contoso.com>
宛先: Birdwatcher のディスカッション リスト<birdwatchers@fabrikam.com>
件名: 今週、レーニア山からアオカケス を見ることができます

今週、レーニア山からの風景を 眺めてみませんか?

メーリングリスト サーバーはメッセージを受信し、その内容を変更して、リストのメンバーにリプレイします。 再生されたメッセージの From アドレス (glaureano@contoso.com) は同じですが、件名行にタグが追加され、フッターがメッセージの下部に追加されます。 この種の変更は、メーリング リストでは一般的なものですが、スプーフィングの誤検出の原因になることがあります。

差出人: "Gabriela Laureano" <glaureano@contoso.com>
宛先: Birdwatcher のディスカッション リスト<birdwatchers@fabrikam.com>
件名: [BIRDWATCHERS] 今週、レーニア山からアオカケス を見ることができます

今週、レーニア山からの風景を 眺めてみませんか?

このメッセージは、Birdwatchers ディスカッション リストに送信されました。 いつでも購読を解除できます。

メーリング リストのメッセージがスプーフィング対策チェックにパスできるようにするには、メーリングリストを制御するかどうかに応じて、次の手順を実行します。

• organizationはメーリング リストを所有しています。

  • DMARC.org で次のよくある質問を確認してください: I operate a mailing list and I want to interoperate with DMARC, what should I do?。
  • 次のブログ記事の手順を参照してください: DMARC との相互運用で失敗を回避するためのメーリング リスト運営者向けのヒント。
  • ARC をサポートするために、メーリング リスト サーバーに更新プログラムをインストールすることを検討してください。 詳細については、http://arc-spec.orgを参照してください。

• organizationはメーリング リストを所有していません。

  • メーリング リストの管理者に、メーリング リストがリレーしているドメインのメール認証を構成するように依頼します。 所有者は、十分なメンバーが電子メール認証を設定するように求められた場合に行動する可能性が高くなります。 Microsoft は必要なレコードを公開するためにドメインの所有者と協力しますが、個々のユーザーの要求が大きな支援になります。
  • メール クライアントで受信トレイ ルールを作成して、メッセージを受信トレイに移動します。
  • テナント許可/ブロック リストを使用して、メーリング リストを正当なものとして扱う許可エントリを作成します。 詳細については、「 なりすまし送信者の許可エントリを作成する」を参照してください。

他のすべてが失敗した場合は、Microsoft に対してメッセージを誤検知として報告できます。 詳細については、「メッセージとファイルを Microsoft に報告する」を参照してください。

スプーフィング対策保護に関する考慮事項

現在、Microsoft 365 にメッセージを送信している管理者である場合は、メールが正しく認証されていることを確認する必要があります。 それ以外の場合は、スパムまたはフィッシング詐欺としてマークされる可能性があります。 詳細については、「 Microsoft 365 にメールを送信するときに電子メール認証エラーを回避する方法」を参照してください。

個々のユーザー (または管理者) の差出人セーフ センダーリストは、スプーフィング保護を含むフィルター 処理スタックの一部をバイパスします。 詳細については、「Outlook の信頼できる差出人」を参照してください。

可能であれば、管理者はスパム対策ポリシーで許可された送信者リストまたは許可されたドメイン リストの使用を避ける必要があります。 これらの送信者は、フィルター 処理スタックの大部分をバイパスします (信頼度の高いフィッシングメッセージとマルウェア メッセージは常に検疫されます)。 詳細については、「許可された送信者リストまたは許可されたドメイン リストを使用する」を参照してください。