今回は、個人で管理しているMicrosoft 365環境(ライセンスはMicrosoft 365 E5です)のDefender セキュアスコアを高めるために取り組んだ記録の第2弾を投稿します。
具体的には、Microsoft Defender for Office 365(以下、MDO)ライセンスの機能であるフィッシング対策ポリシー(一部機能はExchange Online Protection(以下、EOP)ライセンスでも制御可能です)について設定強化を行い、セキュアスコアを改善していきます。
ご参考までに、第1弾として以下記事を投稿していますので、こちらも良ければご参照ください。
概要
Microsoft 365 Defenderには、Microsoft 365のID、アプリ、デバイス、データの状態を監視して、現在のセキュリティ状態を評価するセキュアスコアと呼ばれる機能がございます。評価結果を基に推奨されるセキュリティアクション(おすすめの操作)を確認できる仕様になっており、それらを改善していくことでセキュリティ脅威からの保護を強化することができます。
早速ですが、現在のセキュアスコアは以下の通りでした。こちらは Microsoft 365 Defender ポータル にアクセスして確認することができます。
私の環境では「アプリ」カテゴリのスコアが最も低い状態になっていたため、アプリ関連の設定を改善するための推奨アクションを確認していきます。おすすめの操作タブを表示して「カテゴリ:アプリ」でフィルターします。
上画像の通り、要対処である項目が画面に収まらないぐらい沢山でてきました。。
ここからは大変な作業なのですが、ポイントを獲得するためには一つずつ内容を確認して対処しなければいけません。ということで、上から順番に内容の確認を進めていきました。
項目が多く結構な時間を要したのですが、確認の結果より以下記載のおすすめの操作は全て「フィッシング対策ポリシー」に関する設定が不十分であるためにポイントを喪失していることが判明しました。
| No | おすすめの操作 |
|---|---|
| 1 | 偽装保護のインテリジェンスが有効になっていることを確認する |
| 2 | メールボックス インテリジェンスにより偽装されたユーザーとして検出されたメッセージを移動する |
| 3 | Ensure that an anti-phishing policy has been created |
| 4 | 偽装されたユーザーから検出されたメッセージを検疫する |
| 5 | ユーザー偽装に関する安全性のヒントを有効にする |
ということで、「フィッシング対策ポリシー」について設定強化を行い、上記5つのポイントを獲得していきたいと思います。
Microsoft 365のフィッシング対策ポリシーについて
実際に設定を行う前に、まずはMicrosoft 365のフィッシング対策ポリシーについて仕様を調べていきたいと思います。
そもそも「フィッシングとは?」ですが、正当または信頼された送信者から送られたように見えるメッセージで機密情報を盗もうとする電子メールの攻撃になります。データを暗号化して、暗号化を解除するための支払いを要求するようなランサムウェアについてもフィッシング攻撃から始まる場合が多くあり、組織をフィッシング攻撃から保護するための対策は必要不可欠です。
Microsoft 365のメールサービスであるExchange Onlineでは、標準で利用できるEOPライセンスの機能としてフィッシング対策を実現することが可能です。また、MDOライセンスを追加で契約することで、より高度な保護を実現することが可能になっています。
EOPとMDOのフィッシング対策ポリシーの大まかな機能の違いは以下画像(Microsoftのドキュメント参照)の通りです。
Microsoft のドキュメントを参照して、具体的にフィッシング対策ポリシーの設定内容について確認していきたいと思います。
EOPのフィッシング対策ポリシー
まずは、EOPライセンスで利用できる設定内容を記載します。もちろん、MDOライセンスでも制御可能です。
①スプーフィング設定
スプーフィングとは、メールメッセージ内の差出人アドレスがメールソースのアドレスと一致していない様な、送信元アドレスを詐称したなりすましメールを指します。
EOPでは、フィッシング対策ポリシーの保護設定メニュー内にある「スプーフィングインテリジェンスを有効にする」にチェックを入れることで、スプーフィング対策を行うことが可能です。
上画像のチェックを入れることで、具体的に以下の制御を使用できるようになります。
- 「明示的な電子メール認証」、「暗黙的な電子メール認証」によるなりすまし送信者の特定
- 「スプーフィングインテリジェンスの分析情報」にて自動検出されたなりすまし送信者の表示
- 「テナントの許可/ブロックリスト」にてなりすまし送信者の手動の許可・ブロック
- 「アクション」にてなりすまし送信者を検出した場合のアクションを設定
- 「認証されていない送信者のインジケーター」による受信者への警告メッセージの表示
- 「送信者のDMARCポリシーを適用」により、明示的な電子メール認証で特定された場合のアクションの個別設定
ざっくりですが順番に解説させて頂きます。
「明示的な電子メール認証」、「暗黙的な電子メール認証」によるなりすまし送信者の特定
スプーフィングインテリジェンスを有効にした場合、電子メール認証を使用してスプーフィング対策を実施します。Microsoftでは受信メールをチェックするために、明示的な電子メール認証と暗黙的な電子メール認証を使用しております。
まず、明示的な電子メール認証とは、SPF、DKIM、DMARCのステータスをチェックすることでスプーフィングを防止する一般的な対策になります。
次に暗黙的な電子メール認証ですが、こちらは明示的な電子メール認証の拡張機能に位置しており、送信者評価、送信者の履歴、受信者の履歴、行動分析、他の高度な手法を使用してなりすまし送信者を特定します。
明示的な電子メール認証では、メール送信者側で必要なDNSレコードが登録されていない場合、メール認証チェックに失敗してしまったり正しく評価ができない可能性が考えられます。それを補うためにMicrosoftが開発したアルゴリズムで制御する仕組みが暗黙的な電子メール認証になります。
認証判定に使用されるAuthentication-Resultsヘッダー内のcompauthというフィールドの値で判定を行うのですが、詳細に知りたい方は以下のMicrosoft公式ドキュメントをご参照ください。
「スプーフィングインテリジェンスの分析情報」にて自動検出されたなりすまし送信者の表示
スプーフィングインテリジェンスの分析情報とは、過去7日間になりすましとして自動検出されたメッセージを表示する機能です。スプーフィングインテリジェンスの判定で誤検知が発生した場合に、手動で許可およびブロックするかどうかオーバーライドすることが可能です。
以下は、私の環境で実際に確認した画面イメージになります。1件のユーザーがなりすましとして検出されていました。
「テナントの許可/ブロックリスト」にてなりすまし送信者の手動の許可・ブロック
テナントの許可/ブロックリストとは、Microsoft 365テナントにて常に許可またはブロックするなりすましのドメインのペアを手動で登録できる機能になります。以下は、画面イメージになります。
「アクション」にてなりすまし送信者を検出した場合のアクションを設定
アクションは、フィッシング対策ポリシーのアクションメニューになります。以下の画像はスプーフィングインテリジェンスとして検出された場合の設定箇所になります。「受信したメッセージを迷惑メールフォルダに移動する」か「メッセージを検疫する」を選択できる様になっています。また、検疫する場合は検疫ポリシーを追加で指定する必要がございます。
「認証されていない送信者のインジケーター」による受信者への警告メッセージの表示
認証されていない送信者のインジケーターとは、スプーフィングインテリジェンスが有効な場合に使用できる受信者に対して警告メッセージを表示する機能です。以下の2つあります。
- 偽装した認証されていない送信者に(?)を表示
- viaタグの表示
設定箇所の画面イメージは以下の通りです。チェックを入れることで有効になります。
「送信者のDMARCポリシーを適用」により、明示的な電子メール認証で特定された場合のアクションの個別設定
送信者のDMARCポリシーを適当とは、暗黙的な電子メール認証と明示的な電子メール認証の各エラーに対するアクションを分離するための機能になります。以下は設定箇所の画面イメージです。
スプーフィングインテリジェンスを有効にしており、明示的な電子メール認証でエラーを検出した場合に、送信者側のDMARC設定がp=quarantineもしくはp=rejectだった場合に個別でアクションを指定することが可能になっています。
②最初の接触安全チップ
こちらの設定は、スプーフィングインテリジェンスやこの後紹介するMDOの機能である偽装設定などに依存しない機能になります。
偽装攻撃の可能性に対する保護を強化する機能であり、具体的には「送信者から初めてメールを受信した場合」「送信者からメールをよく受信する場合」のシナリオ時に、受信者に対して警告メッセージを表示します。
フィッシング対策ポリシーのアクションメニュー内にある「最初の連絡先に関する安全性のヒントを表示する」にチェックを入れることで有効にすることができます。
MDOの追加のフィッシング対策ポリシー
続いて、MDOライセンスで追加で利用できる設定内容を記載します。
①偽装設定
偽装とは、メッセージ内の送信者または送信者のメールドメインが実際の送信者またはドメインと似ている場合を指します。例えば、ドメイン「contoso.com」のなりすまし例は、「óntoso.com」といった具合です。偽装されたドメインは、電子メール認証のDNSレコードが正しく構成されている場合などでは、受信者側で正当と見なされる可能性がございます。
MDOでは、偽装保護として以下の機能を設定することができます。
- ユーザー偽装保護
- ドメイン偽装保護
- メールボックスインテリジェンス偽装保護
- 偽装の安全性に関するヒント
- 信頼できる送信者とドメイン
Microsoft Defender for Office 365のフィッシング対策ポリシーの偽装設定
ざっくりですが順番に解説させて頂きます。
ユーザー偽装保護
ユーザー偽装保護とは、特定の内部または外部の電子メールアドレスを管理者にて事前に登録しておくことで、メッセージの送信者として偽装されることを防止する機能になります。
フィッシング対策ポリシーごとに最大350人のユーザーを指定することが可能になっています。設定画面イメージは以下画像の通りです。
送信者の偽装が検出された場合、偽装されたユーザーのアクションがメッセージに適用されます。アクションの設定は以下のどれかを指定します。
- アクションを適用しない
- メッセージを他のメールアドレスにリダイレクトする
- 受信者の迷惑メールフォルダに移動する
- メッセージを検疫する
- メッセージを配信し、他のアドレスをBccに追加する
- 配信される前にメッセージを削除する
ドメイン偽装保護
ドメイン偽装保護とは、送信者のメールアドレス内の特定のドメインが偽装されることを防止する機能です。保護対象のドメインは、自分が所有するすべてのドメインもしくはカスタムドメイン(フィルターごとに最大50個まで)を事前に登録しておきます。設定画面イメージは以下画像の通りです。
送信者の偽装が検出された場合、偽装されたドメインのアクションがメッセージに適用されます。アクションの設定はユーザー偽装保護と同様になります。
メールボックスインテリジェンス偽装保護
メールボックスインテリジェンスは、人工知能(AI)を使用してユーザーが頻繁に連絡を取り合う電子メールのパターンから、潜在的な偽装の試みを特定して正当な送信者と偽装された送信者のメッセージを区別するのに役立つ機能です。以下の2つの設定項目があります。
- メールボックスインテリジェンスを有効にする
- 偽装保護のインテリジェンスを有効にする
メールボックスインテリジェンスにて検出されたメッセージに対するアクションを指定するには両方とも有効にする必要があり、本機能を使用する場合はどちらも有効にすることを推奨します。設定画面のイメージは以下画像の通りです。
メールボックスインテリジェンスのアクション設定についてもユーザー偽装保護と同様になります。
偽装の安全性に関するヒント
偽装の安全性に関するヒントとは、受信したメッセージが偽装の可能性がある場合にユーザーに対して警告メッセージを表示する機能になります。設定画面のイメージは以下画像の通りです。
信頼できる送信者とドメイン
信頼できる送信者とドメインとは、偽装保護設定をバイパスする設定になります。指定した送信者と送信者ドメインからのメッセージは偽装メースの攻撃として分類されなくなります。登録できるリストの上限は1024エントリになっています。設定画面のイメージは以下画像の通りです。
②高度なフィッシングのしきい値
高度なフィッシングのしきい値とは、メッセージに機械学習を適用してフィッシング判定を決定するための感度を制御する設定になります。設定値は以下の1~4より選択することができます。なお、この設定値を大きくすると誤検知が発生する可能性が高くなるため注意が必要です。
- 1 – 標準(既定値です)
- 2 – 積極的
- 3 – より積極的
- 4 – 最も積極的
以下は設定箇所のイメージになります。
Microsoft 365のフィッシング対策ポリシーを設定
設定内容の説明が長くなってしまいましたが、ここから実際にMicrosoft 365 Defenderポータルへアクセスして、フィッシング対策ポリシーの設定を実施していきます。
設定箇所は、[Microsoft 365 Defenderポータル > メールとコラボレーションメニューのポリシーとルール > 脅威ポリシー > フィッシング対策]の順に遷移した以下画面になります。
既定で「Office365 AntiPhish Default(既定)」という名前のポリシーが存在しており、すべてのユーザーが本ポリシーの制御対象になっています。また、こちらのポリシーは削除することはできません。
特定のユーザーまたはグループに対して適用したい場合は新規でカスタムポリシーを作成することで実現可能です。上記画像ですと、「フィッシング対策ポリシー(カスタム設定)」という名前のポリシーが個別で作成したものになります。
それではポリシーの詳細を設定していきます。(検証のためカスタムポリシーを作成していますが、設定内容は同一のため既定のポリシーを編集したケースのみ記載します。)
フィッシング対策ポリシーの設定は大きく保護設定とアクション設定の2つに分かれています。
まずは保護設定を行います。今回は、セキュアスコアを向上したいという目的があるため、すべての項目を有効化して保存しました。(ユーザー保護偽装およびドメイン保護偽装で個別エントリの登録は行っておりません。)
続いてアクションの設定になります。今回はすべてのアクションに対して「メッセージを検疫する」を指定しました。
また、アクション設定の中に「安全のヒント&インジケーター」の設定があります。こちらも全ての項目にチェックを入れて保存しました。
以上でフィッシング対策ポリシーの設定は完了になります。
セキュアスコアのポイント獲得結果を確認
最後に、Microsoft 365 Defenderのセキュア スコアがどの程度改善されたのか確認していきます。(セキュアスコアが更新されるまでに24時間程度かかりました。)
結果は以下の通りでした、アプリのスコアが59.72%⇒67.2%へ改善されたことを確認できました!
さいごに
いかがでしょうか?今回はMicrosoft 365 Defenderのセキュアスコア向上の取り組み第2弾として、アプリ(メール)セキュリティのフィッシング対策ポリシーについて設定内容を確認し、実際に設定強化を実施しました。
セキュアスコアのポイントは、アカウントの追加や管理者ロールの付与、デバイスの追加等々、日々の状態変化に応じて変動します。これからも定期的にポイントをウォッチしつつ、更なるポイント獲得のために継続して取り組んでいく予定ですので、第3弾以降も引き続き記事化していきたいと思います。次回はIDカテゴリのポイントが前回より下がっているため、そちらの改善を検討しております。
