サイバー攻撃の手法としてメールが使われるケースは非常に多く、日々多くのフィッシングメールやマルウェアメールが送信されています。Exchange Online には標準でExchange Online Protection というメールフィルタリングがありますが、それをすり抜けてしまうメールも存在します。
一体どれだけの悪意あるメールが組織内に送信され、受信トレイに配信されてしまっているのか、Microsoft 365 のあるライセンスがあれば確認することができますので、その確認方法についてご紹介します。
確認に必要なライセンス
以下ライセンスもしくはそれを含むライセンスが必要です。
- Microsoft Defender for Office365 P1
- Microsoft Defender for Office365 P2
不審メール受信の確認方法
- Microsoft 365 Defender ポータル (https://security.microsoft.com) にアクセスします。
2. 以下画面に遷移します。
※ライセンスによって遷移方法が異なります。
・Defender for Office365 P1の場合
左側メニュー[メールとコラボレーション]を展開し、[リアルタイム検出]をクリックします。
・Defender for Office365 P2の場合
左側メニュー[メールとコラボレーション]を展開し、[エクスプローラー]をクリックします。
3. 画面上部の[フィッシング詐欺]を選択します。
※マルウェアメールの状況を確認したい場合は[マルウェア]を選択します。
4. 確認する期間を選択し、画面右の[更新]をクリックします。
※過去1か月の間で指定ができます。
5. 結果が画面内に表示されますが、確認がしやすいように [メールリストのエクスポート] をクリックし csvファイルで出力します。
ファイル名は [Phish-List_xxxxx-xx-xx_xxxx-xx-xx_UTC.csv] となります。
6.出力したcsvファイルを開くことで様々な情報が分かります。
特に重要な情報はA列~H列にまとまっていて、日付ごとにどの送信者がどの受信者に向けてメールを送っているか確認できます。また、H列 [最新の配信場所] ではそのメールが受信トレイに配信されてしまっているのか、検疫や迷惑メールフォルダにあるのかを確認できます。
不審メール対策を強化するには
・Microsoft Defender for Office365
メール内の URL や添付ファイルを事前に AI がサンドボックス環境で検査し、問題ないことを確認したうえで URL を開いたり添付ファイルを受信することができます。
解説記事:https://live-style.jp/security-overview/#DO365
・Microsoft Defender for Endpoint
メールフィルターなどをすり抜けてしまった未知のマルウェアを検知して状況の確認や対処をすることが可能です。設定によっては自動で対処をすることも可能です。
解説記事:https://live-style.jp/security-overview/#MDE
