アカウントを乗っ取られた際の対応について

Office 365 をご利用いただいているお客様からよく寄せられるご質問のひとつとして、アカウントが乗っ取られた(ハッキングされた)際にどう対処すればよいかという質問があります。 最も一般的なシナリオは、組織のメンバーがフィッシング詐欺の被害者になり、攻撃者にアカウントのパスワードを取得されてしまったというものです。 このブログではアカウント乗っ取りの発覚から、乗っ取りが確定した場合の対応、そして再びアカウントを乗っ取られないようにするための予防策についてご紹介したいと思います。   1. 問題の発覚 アカウントが乗っ取られた際によく見られるアクションとしては、例えば以下のようなものがあります。   メッセージがなくなっている、もしくは削除されている 乗っとられたアカウントからメールを受け取ったユーザーがいるが、乗っ取られたアカウントの送信済みフォルダーには送信済みのメールがない 管理者やユーザーが設定した覚えのない受信トレイ ルールや転送ルールが設定されており、内容としては、見知らぬアドレスへ転送するものや、[メモ]/[迷惑メール]/[RSS フィード] フォルダーへアイテムを移動するようなルールが設定されている Global Address List 上のユーザー名が変更されている 乗っ取られたユーザーの外部へのメール送信がブロックされており、メールを送信すると “550 5.1.8 Access denied, bad outbound sender AS(XXXXXXX)” という NDR を受信する   ユーザーから上記のような報告があがった場合、管理者はアカウントが乗っ取られた可能性を疑い、対象のアカウントでどのようなアクティビティが行われたか調査を開始するべきです。 ※※重要※※ アカウント乗っ取りが疑われた時点で、速やかに対象のアカウントのパスワードを変更することを推奨します。 なお管理者が変更した場合は、新パスワードをメールでユーザーに通知しないでください(乗っ取った人物も確認できる可能性があるため)。   2. 管理者による調査 Security & Compliance Center や Azure ポータルから、対象のアカウントのアクティビティの詳細を確認し、アカウントが想定していない動きをしていないかを確認します。 一般的な確認項目を以下に記載します。   <Azure ポータル> 対象のアカウントにログインしているアクセス元 IP/サインインの場所 サインインに成功/失敗した回数  …


Exchange 2013 OWA におけるリダイレクト ルールの作成について

現象 OWA の受信トレイのルールにて、リダイレクト先に [個人の連絡先] を設定した場合、設定した [個人の連絡先] の “「姓」「名」“と同様の cn 値を持つ受信者が AD 上に存在すると、リダイレクト先が AD 上の受信者に置き換わる事象が発生します。 例えば以下のようなメールボックスおよび連絡先アイテムが存在する環境において、リダイレクト先として連絡先アイテム “test 01” を選択すると、リダイレクト先の SMTP アドレスは AD 上のメールボックスに設定された user1@mt.local となります。   – 連絡先アイテム   – AD 上のメールボックス   – ルールの設定画面 以下の通り、実際に保存されたルールの編集画面においても、AD 上の受信者がリダイレクト先として保存されていることを確認可能です。   回避策 本事象はルール保存の際に GAL 上でオブジェクトの検索が行われることに起因し発生しますが、以下のいずれかの方法で回避することが可能です。 1) Outlook でルールを作成する 2) リダイレクト先の指定時に連絡先アイテムを使用するのではなく、SMTP アドレス (上記例では user2@contoso.com) を直接入力する 3) 管理者が Exchange 管理シェルより New-InboxRule…


Windows Server 2016 上にインストールした Exchange 2016 でバックアップのリストアが成功しない

現象 Windows Server 2016 上にインストールした Exchange 2016 環境において、Windows Server Backup で取得したバックアップから以下の条件でリストアを行うと、エラーが発生します。   [回復の種類の選択] ページで、[アプリケーション] を選択   [回復オプションの指定] ページで、[元の場所に回復する] を選択   リストアを行うとエラーが発生     原因 現在弊社にて調査中です。   回避策 現在弊社にて調査中です。   その他 [回復オプションの指定] ページで、[別の場所に回復する] を選択すれば、リストアが可能です。 Windows Server 2012 R2 上にインストールした Exchange 2016 では [元の場所に回復する] でもリストアは可能です。 情報のアップデートや修正が確定いたしましたら本 Blog でも情報を更新いたします。   ※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。


Export-Office365LicenseStatus のご紹介

今回は Office 365 の管理者の皆様に、ライセンス付与状況を出力する PowerShell スクリプトをご紹介します。 Office 365 のライセンスを確認する場合、GUI ツールとしては Office 365 管理センターが利用できます。また、CUI ツールとしては MSOnline (Azure AD v1) モジュールの Get-MsolUser コマンドも利用できます。しかしながらどちらを利用しても、ライセンスに含まれる各サービス プランのステータスまで含めて一覧表示する機能が標準では用意されていません。 Get-MsolUser コマンドの出力内容を整形する PowerShell スクリプトを書くことで実現が可能ですが、Get-MsolUser コマンドの出力は複雑な構造となっているため、スクリプティングに慣れていないと実装が難しい状況です。例えば Get-MsolUser コマンドの Licenses 属性は、ユーザーに複数のライセンスが割り当てられていれば値が配列になっています。さらに Licenses 属性の子属性として ServiceStatus 属性があり、当該ライセンスに含まれている各サービス プランのステータスに関する情報が入れ子になっています。 このようなスクリプティングに関するお問い合わせを頻繁にお客様より頂くため、これまでのお問い合わせでのお客様のご要望を基に、私たちは Export-Office365LicenseStatus を GitHub に公開しました。この PowerShell スクリプトを使用すると、Office 365 の各ユーザーに割り当てられているライセンスや、ライセンスに含まれている各サービス プランのステータスを一覧表示することができます。CSV 出力機能も備えており、出力された CSV ファイルを Excel で開いてさらなる集計を行うことも可能です。 実行例を交えながら使い方をご紹介します。 ダウンロード方法 スクリプトは GitHub…


セキュリティ コンプライアンス センターで設定する保持ポリシーのメールボックスへの適用状況を確認する方法

日本マイクロソフト Exchange サポート チームの山崎です。 本ブログ記事ではセキュリティ コンプライアンス センターの、データガバナンスで設定するアイテム保持ポリシー (Office 365 のアイテム保持ポリシー) が Exchange Online のメールボックスに適用されている状況を確認する方法をお伝えします。 コンテンツの適用を Exchange メールを選択した際に、ポリシーが複数存在する場合は、実際にどのポリシーが Exchange Online のメールボックスに適用されているか確認したい場合があるかと思います。 PowerShell コマンドを使った確認方法でございますので、手順をおまとめしております。 (2018 年 4 月 17 日時点での確認方法となります)   セキュリティ コンプライアンスの PowerShell 接続手順 ==================================== Exchange への適用状況を確認するまえに、アイテム保持ポリシーの情報 (GUID) を取得する必要がございます。 1. 管理者にて Powershell を起動し、セキュリティ コンプライアンス センター に接続します。詳細な手順は、以下の技術情報をご参照ください。 Title: Connect to Office 365 Security & Compliance Center PowerShell…


Office 365 タイルの非表示方法

こんにちは。いつも Office 365 を利用いただきまして、ありがとうございます。 今回は、Office 365 タイルの非表示方法について、ご紹介いたします。 Office 365 ポータルにアクセスしますと、トップページやアプリランチャーに各サービスのタイルが表示されます。 管理者側で指定したサービスのみユーザーに使用させるには、不要なタイルを非表示に設定することが有効です。 タイルを非表示にするには、基本的には、ユーザーに付与されたライセンスの中でサービスプランを無効化する方法となりますが、 「ストア」のみ Office 365 管理センターのメニュー(サービスとアドイン)にて設定を行います。 下記では、2018/4/3時点の Office 365 Enterprise E5 を使用している環境を元に手順をご案内いたします。 各サービスごとにブログが公開しておりますので、今回の投稿は、まとめページとして参照いただけますと幸いです。   ——————————————————————————————– Exchange Online 関連 ——————————————————————————————– ▼Outlook、予定表、連絡先、タスク、MyAnalytics Exchange Online 製品群である上記のタイルは Exchange Online 製品のライセンスを削除することで、非表示にすることが可能です。 ※下記のサービスは、Exchange Online と依存関係があるため、サービスプランの追加 / 削除を行う際は、一緒に操作する必要があります。 MyAnalytics(EXCHANGE_ANALYTICS) Office 365 Threat Intelligence(THREAT_INTELLIGENCE)   ——————————————————————————————– Platform 関連 ——————————————————————————————– ▼ストア Office 365 管理センターの設定メニュー …


Office 365 のライセンス管理

こんにちは。いつも Office 365 を利用いただきまして、ありがとうございます。 今回は、Office 365 のライセンス管理について、ご紹介いたします。   Office 365 でユーザーにライセンスを付与するには、GUI(Office 365 管理センター)で操作する方法と、PowerShell で操作する方法があります。 少人数の作業であれば前者で問題ありませんが、ユーザーが多い場合や、スクリプトとして実行したいような場合は後者の方法が有効です。   よくあるお問い合わせのシナリオに沿って、ライセンス管理の PowerShell コマンドをご案内いたします。 ライセンス名やサービスプランを変更することによって応用が可能です。   ——————————————————————————————– 事前準備(必須) ——————————————————————————————– 下記の作業は、どのシナリオにおいても共通です。   ▼Office 365 に PowerShell 接続します。 下記の公開情報に従って Azure Active Directory の PowerShell モジュール(MSOnline)をインストールします。   Azure Active Directory の PowerShell モジュール https://blogs.technet.microsoft.com/jpazureid/2017/12/04/aad-powershell/ Office 365 PowerShell への接続 https://docs.microsoft.com/ja-jp/office365/enterprise/powershell/connect-to-office-365-powershell   その後、Connect-MsolService コマンドを実行し、管理者権限で Office…


予定表アイテムの取得終了日に日本時間 3 月 1 日 (UTC 2 月 29 日) を指定する際の注意点

こんにちは。Exchange サポートの小間です。今回は EWS Managed API で「うるう日」の翌日 3 月 1 日までの予定表アイテムを取得する際の注意点について紹介します。 本ブログ執筆時点の次のうるう日は 2020/02/29 なので、例として 2018/03/01 からうるう日の翌日の 2020/03/01 までの 2 年分の予定表アイテムを取得するシナリオを考えます。C# と EWS Managed API で実装する場合は、以下のようなコードがまずは思い浮かびます。     ExchangeService service = new ExchangeService(ExchangeVersion.Exchange2013_SP1);     service.Credentials = new WebCredentials(“UPN”, “password”);     service.Url = new Uri(“https://outlook.office365.com/EWS/Exchange.asmx”);     DateTime startDate = new DateTime(2018, 3, 1, 0, 0, 0);     DateTime endDate = startDate.AddYears(2);     const int NUM_APPTS…


Exchange 2013 OWA から写真の変更を制御する方法について

いつも Exchange Server をご利用いただきありがとうございます。 今回は、Exchange 2013 の Outlook Web App (OWA) 上で、ユーザーの写真を登録、変更する操作を有効化または無効化する方法と、その設定方法に関する TechNet 上の記載についてご案内します。 Exchange 2013 の OWA では、ユーザーの写真を登録する方法として以下の 2 つの操作方法が実装されています。  操作 A: OWA 右上のユーザー名をクリックして変更する方法  操作 B: OWA 右上の歯車アイコンをクリックしてオプション画面より変更する方法 これらの操作は、Exchange 2013 ではそれぞれ独立した処理として実装されており、操作 A が OWA 仮想ディレクトリの設定により制御され、操作 B は OWA メールボックス ポリシーにより制御されます。 このため、Set-OwaVirtualDirectory コマンドによりクライアント アクセス サーバーの OWA 仮想ディレクトリの SetPhotoEnabled パラメーターを False に設定した場合、操作 A による写真の変更操作が無効化されますが、操作 Bによる写真の変更操作は無効化されません。 その逆に、Set-OwaMailboxPolicy…


ディレクトリ ベースのエッジ ブロックによってメールが有効なパブリック フォルダーを利用する際の注意点

いつも Office 365 をご利用いただきありがとうございます。 今回は、ディレクトリ ベースのエッジ ブロック (DBEB) によってメールが有効なパブリック フォルダー (PF) を利用する際の注意点をご案内します。 Exchange Online や Exchange Online Protection では DBEB と呼ばれる機能があり、Office 365 内に存在しないメール アドレス (※ 1) に送信されたすべてのメッセージをブロックしたりすることができます。 ※ 1 Office 365 内に存在しないメール アドレスとは Azure Active Directory (AAD) 上に存在しないアドレスを意味します。 アドレスが存在しない場合、フィルター処理の前にサービスによりメッセージがブロックされ、メッセージが配信されなかったことを通知する配信不能レポート (NDR) が送信元に送信されます。 具体的な NDR の内容は次のようになります。   ‘550 5.4.1 [<存在しないアドレス>@<ドメイン名>]:Recipient address rejected:Access denied’.   メールが有効な PF を作成すると、メールが受信できるように…