ユーザー影響を最小限に抑える標的型攻撃対策/マルウェア対策の新アクション (動的配信/Dynamic Delivery)

  • Article

こんにちは、プロダクティビティ担当の杉山 卓弥です。

先日以下のブログ記事において、Office 365 E5 のセキュリティ コンポーネントである Advanced Threat Protection (ATP) の標的型攻撃対策 (未知のマルウェア対策) についてご紹介しました。

 

Title: Advanced Threat Protection (ATP) の Safe Attachments によりマルウェアが検知された場合の挙動
URL: https://blogs.technet.microsoft.com/office365-tech-japan/2017/01/26/advanced-threat-protection-safe-attachments/

 

上記記事でご紹介した「置換」アクションは、ユーザーに添付ファイル メッセージを配信する前にサンドボックス環境で添付ファイルをスキャンする動作をしますが、スキャン時間分のメッセージ配信遅延 (5 – 7 分程度) が発生することが課題となっていました。もちろん、弊社ではスキャン時間を削減するための機能改善にも取り組んでおりますが、このたびユーザー影響を最小限に抑える新しいアクション “動的配信/Dynamic Delivery” が展開されました。

「動的配信」 アクションは、サンドボックス環境で添付ファイルをスキャンする点は「置換」アクションと変わりませんが、添付ファイル以外のメッセージを優先してユーザーに配信することが大きなポイントとなります。その後、添付ファイルが安全と判断されれば配信済みの受信メッセージにファイルをマージします。

これにより、ユーザーは受信遅延を感じることなく添付ファイル以外の内容を確認することができます。

注意 : 「動的配信」アクションは Exchange Online メールボックスに配信されるメッセージのみ対象となります。

 

「動的配信」アクションの設定画面例 10
「動的配信」 アクションの挙動の詳細は以下の通りです。

注意 : 以下の挙動は記事執筆時点のものであり、今後動作が変更される場合もございます。

添付ファイルのスキャン中
ユーザーが受信したメッセージには添付ファイルがスキャンされていることを示すメール アイテムが別途添付されます。

4

添付メッセージの内容例

5

 

スキャン完了後 (マルウェアとして検出された場合)
ユーザーが受信したメッセージにはマルウェアとして検知されたことを示すメール アイテムが添付されます。(マルウェアとして検知されない場合は元のファイルがマージされます。)

6

 添付メッセージの内容例

7

 

ATP により削除された未知のマルウェアを独自に調査したい場合や元のメッセージを保管しておきたい場合は、Exchange 管理センターの Safe Attachments ポリシーの [設定] にて [リダイレクトを有効にする] を有効にしてください。有効にすると、指定したメールアドレスに対して、以下のようにシステムからの通知メールの添付として元メッセージを確認することができます。確認の際は、マルウェアに感染しないよう十分にご注意ください。

未知のマルウェア検出時の通知メール例 8

 

また、ATP の Safe Attachments によりスキャンされた場合は、Exchange 管理センターの [メール フロー] - [メッセージ追跡] で該当メッセージを調査すると、動的メール配信/Advanced Threat Protection イベントが記録されていることが確認できます。以下は、添付ファイルがマルウェアとして検知された一例となります。

9

 

「動的配信」アクションの設定により、ユーザー影響を少なくした上で、可能な限り未知のマルウェアの流入を防ぐことができますので、是非 Office 365 Advanced Threat Protection または Office 365 E5 の導入をご検討ください。

Title: Office 365 Advanced Threat Protection
URL: https://products.office.com/ja-jp/exchange/online-email-threat-protection

Title: Office 365 Enterprise E5
URL: https://products.office.com/ja-jp/business/office-365-enterprise-e5-business-software

 

最後に、ATP などのセキュリティ コンポーネントで検出された Office 365 テナントに対する脅威の情報は Threat Intelligence と呼ばれる新機能によってダッシュボード形式で可視化することもできます。これにより、検出されたマルウェアの傾向やマルウェア ファミリのグラフ、どのユーザーが標的になっているかなど様々な視点から調査、報告を行なうことが可能です。

ダッシュボード画面例 capture20170518105352184
脅威エクスプローラー画面例 capture20170516021023423
Threat Intelligence の詳細は、また別の機会にご紹介します。

Title: Office 365 Threat Intelligence の概要
URL: https://support.office.com/ja-jp/article/32405DA5-BEE1-4A4B-82E5-8399DF94C512