未知の脅威から保護するための Exchange Online Protection (EOP) の進化


(この記事は 2014 年 10 月 15 日に Office Blogs に投稿された記事 Evolving Exchange Online Protection (EOP) to protect against tomorrow’s threats の翻訳です。最新情報については、翻訳元の記事をご参照ください。)

今回は、Exchange Online Protection チームの Shobhit Sahay (@ShobhitSahay88)、Levon Esibov、および Terry Zink の記事をご紹介します。

現在、インターネット上では膨大な数のスパム メールが出回っており、マイクロソフトでは平均すると 1 分間に 1,000 万通をブロックしています。また、世界中に存在する攻撃者はその手法を日々進化させていて、正体不明のスパム攻撃、未知のマルウェア、まったく新しいウイルスなど、多種多様に形を変えています。このような攻撃は絶えず拡大を続けており、変化がやむことはありません。このため、マイクロソフトは電子メールをより強力に保護できるように、Exchange Online Protection を常に進化させています。

スパム攻撃は恒常的に変化

スパム攻撃は、年々その種類が増加しており、全世界の企業がさまざまな種類のスパム攻撃により生産性に影響を受けることを懸念しています。スパム攻撃の手法は、攻撃を防止する複数のフィルタリング プログラムを通過するように進化してきました。新しいブロック機能やフィルターが開発されると、スパム攻撃者はそれを回避する方法をすばやく見つけ、新たな送信方法を作成します。現在、スパム攻撃の手法は主に次の 2 つが使用されています。

  1. フィッシング攻撃。企業の従業員の資格情報を流出させ、企業のリソースの制御権限を取得するものです。一般的なフィッシング攻撃の種類としては、企業内の非常に重要度の高いアカウントに狙いを絞ったスピア型フィッシングがあります。
  2. バルク メール (グレイメール)受信を希望していないにもかかわらず誤って購読した可能性のある広告メールなどです。

スパム攻撃の手法は常に変化しているため、今日届いたスパム メールは前日のものとは別の種類であるということも起こり得ます。似たようなメッセージに見えたとしても、その内容はまったく同一ではなく、シグネチャが異なっていたり、フィルターを回避するように作られていたりするなど、少しずつ (または大きく) 異なることがあります。スパム攻撃の期間は、数分程度のものから数時間に及ぶものまであり、マイクロソフトでは、数分間に数千通から数百万通の大量のスパム メッセージを送信する攻撃を観測したことがあります。

EOP では、システムが異常なパターンを検出したり、ユーザーが未検出のスパムのサンプルの送信を開始したりすると、即座に防御機構が調整されます。EOP の防御機構が新しい攻撃からの防御を行うための調整には多少の時間が必要で、その間に少数のスパム メッセージが EOP のフィルタリング機構を通過し、ユーザーの受信トレイに到達してしまうこともあります。しかし、EOP のフィルターは迅速に追随し、その後の攻撃はスパム対策テクノロジによりスパムとしてブロックされます。EOP の即時検出により、スパム攻撃は非常に早い段階でブロックされます。はっきりとわかるほどのスパム メールを受信した一部のユーザーは EOP がそのメッセージを見逃したことに気付きますが、EOP の防御機構はほぼリアルタイムで調整されるため、ほとんどのユーザーはまったくスパム攻撃があったことに気が付きません。

EOP の保護機能は高度なもので、多層型のフィルタリング機構を使用しています。その 1 層目は接続フィルタリングで、評価の低い IP アドレスからの電子メールをブロックします。2 層目には送信者の評価に基づくフィルタリングが含まれています。これには、自社開発のものとサードパーティから提供されるものがあり、送信元のユーザーやドメインに基づいてメッセージをブロックします。最後に、EOP は多数のフィルタリング機構により残りのスパム メッセージを捕捉します。このときには、より複雑な調査により得られた結果が適用され、内容、ヘッダー、メッセージの言語、メッセージ内で参照されている URL、添付ファイルなどの条件に基づいてメッセージをブロックします。さらに、EOP ではバルク メールの制御や海外からのスパムなどの種類に応じて異なるスパム フィルタリングを実施し、より精度の高い保護を実現しています。他にも、業界最先端の 3 種類のウイルス対策 (AV) エンジンを使用して、マルウェアやウイルスに対する包括的なフィルタリングを行っています。

未知の脅威に対する EOP の進化

Exchange Online Protection (EOP) は Office 365 のリリース サイクルに従っていて、18 か月前のサービス開始以来、多数の新機能を継続的に提供しています。このプロセスの中で、Forefront Online Protection for Exchange (FOPE) の全ユーザーが EOP に移行しました。しかし、これは EOP のサービスの始まりに過ぎず、現在、Exchange Online Protection による脅威からの高度な保護について、これまでにない大規模な開発を進めています。EOP は、Office 365 のメールボックスのみではなく、お客様のオンプレミスの電子メール サーバーに存在する数千万のメールボックスも保護する、マイクロソフトの長期的なソリューションです。

EOP の新機能は定期的にリリースされていて、今後も多数の新機能が予定されています。

マイクロソフトでは、今後 6 ~ 12 か月の間に、新しい防御機構や機能のリリースを予定しており、これまでにないほど多数のエンジニアがそのサポートに携わっています。

今後 6 ~ 12 か月の間にリリースが予定されている EOP の機能強化について、主要なものをご紹介します。

  • 「クリック ジャック攻撃」や「ゼロデイ攻撃」などに対する高度な保護
  • 不正な URL の対応範囲を強化
  • DKIM や DMARC などの主要な送信元認証テクノロジを実装
  • バルク メールに対する保護を強化
  • 詳細なレポートの生成およびメッセージ追跡を強化
  • メッセージの検疫を強化
  • 引き続き EOP データ センターを各リージョンに拡大し、お客様の電子メールを同一リージョン内で処理するというコミットメントの適用範囲を拡大

近いうちにリリースが予定されている機能の詳細については、企業向け Office 365 のロードマップ (英語) をご覧ください。

エクスペリエンスを改良する方法

次のような操作を実行すると、EOP の保護機能を調整できます。

  • マイクロソフトにスパム レポートを送信する。電子メールに添付する、または Outlook 用迷惑メール報告アドインを使用して、スパム レポートを送信することができます。他に、Outlook または Outlook Web App (OWA) で [mark as junk] および [mark as not junk] コマンドを使用するだけでもレポートを送信できます。スパム解析チームは、レポートを受け取るとお客様と直接のやり取りを開始し、以降同様のメッセージをブロックするようにシステムを調整します。
  • マイクロソフトにマルウェア レポートを送信する (英語)。EOP では、3 つの異なるエンジンを組み合わせて使用することでマルウェアに対する保護を行っていて、それぞれのエンジンを単体で使用する場合よりも高い強度が得られています。これらのエンジンはすべて VirusTotal でご利用いただけます。マルウェアに関するレポートは、Microsoft マルウェア プロテクション センター (英語) から送信できます。
  • バルク メールのフィルタリングを有効化する。バルク メールは、通常、繰り返し送られてくるわけではない広告メッセージまたはマーケティング メッセージで構成されます。一部のユーザーはバルク メールの受信を意図的に申し込んでいますが、その他のユーザーにとってはこのようなメッセージをスパム メールと見なしています。EOP では、企業で受信するバルク メールの量を管理者の手で減少させることができます。バルク メールを積極的に減少させることで、スパムと感じられるバルク メールに対するユーザーの不満がより大幅に緩和されます。
  • ユーザーを指導する。テクノロジは電子メール保護の主要なコンポーネントの 1 つですが、ユーザーがリスクを認識することも大切です。米国政府のフィッシング対策ページ (英語)Anti-Phishing Working Group (英語)PhishMe (英語)PhishGuru (英語) のサイトなどの無料または有料の資料を利用してユーザーに指導やアドバイスを行い、フィッシング詐欺に対抗します。また、セーフ リストや禁止リストの使用、エンドユーザーによる検疫など、EOP でスパムを管理するための方法についての教育も必要です。
  • ユーザーがスパムの標的にならないようにする。ユーザー自身が実施できる予防措置には、次のようなものがあります。
    • ニュースレターや製品の更新通知を購読するときに、フォームの最後にある一見すると問題のなさそうなテキストに必ず目を通します。この部分に、第三者に電子メール アドレスを渡すことへの承諾を求める文言が含まれている場合があります。また、提供者が交代で順番にユーザーを勧誘する場合もあるため、文面をよく確認して適切に対応します。
    • 無料のソフトウェアをインストールするときには、プラグインがバンドルされている場合や、他のアプリケーションが同時にインストールされる場合があるため、必ずカスタム オプションを選択します。カスタム インストール オプションでは、通常、このような不要な物を避けて必要な物だけをインストールするための手順が含まれています。無料ソフトウェアに含まれるプラグインは、多くの場合、スパム攻撃者に販売する目的で、ユーザーのインターネットに関する操作や電子メール アドレスなどの情報を収集しています。
    • 個人情報を共有するときには細心の注意を払います。一般に公開されている Web ページに電子メール アドレスを掲載しないようにしましょう。スパム攻撃者はインターネットを巡回し、有効な電子メール アドレスを探しています。Web サイトに電子メール アドレスを掲載すると、スパム攻撃者に販売されるリストにそのアドレスが追加される可能性が高まります。

この他にも EOP のエクスペリエンスを向上する方法がありますので、「EOP を構成するためのベスト プラクティス」の記事をお読みください。皆様に EOP の魅力的な新機能をご活用いただけますと幸いです。上記の機能はその一例で、他にもさまざまな機能がリリースされます。EOP をまだご利用でないお客様は、EOP の試用版を 90 日間無料でご利用いただけますので、ぜひお試しください。

—Shobhit Sahay (@ShobhitSahay88)、Levon Esibov、Terry Zink (EOP チーム)

Skip to main content