メールセキュリティを強化したい vol.3 – 安全な添付ファイルポリシーを設定しよう

アイキャッチ (M365) E5 セキュリティ
2023.04.18
スポンサーリンク

はじめに

メールセキュリティを強化したいと題して、前回は偽装ドメイン対策として有効なフィッシング対策ポリシーを設定しました。

メールセキュリティを強化したい vol.2 – フィッシング対策ポリシーを設定しよう
メールセキュリティを強化したいと題して、今回は、偽装ドメイン対策として有効なフィッシング対策ポリシーを設定していきたいと思います。自社ドメインに加え、今回は outlook.jp の偽装ドメイン対策を例に紹介し、迷惑メールフォルダーに移動させる方法を紹介したいと思います。
smejpsec.com
2023.04.16

今回は、Microsoft 365 E5 で利用可能な安全な添付ファイルのポリシーを設定したいと思います。設定例として、マルウェアと判定された添付ファイルを含むメッセージそのものを検疫する「ブロック」と呼ばれる設定を紹介したいと思います。

検疫ポリシーを設定しよう

1. Microsoft 365 Defender (https://security.microsoft.com) にアクセスします。左ペインの [メールとコラボレーション]-[ポリシーとルール] をクリックします。

2. ポリシーとルールの画面が表示されるので、[脅威ポリシー] をクリックします。

3. 脅威ポリシーの画面が表示されるので、[ルール]-[検疫ポリシー] をクリックします。

4. 検疫ポリシーの画面が表示されたのち、[カスタムポリシーを追加] をクリックします。

5. ポリシー名を入力し [次へ] をクリックします。

6. 制限付きアクセスを選択し [次へ] をクリックします。今回はメッセージが検疫された場合、受信者が開放要求をするのか、それとも受信拒否をするのか、もしくは削除するのかを選択できるようにしています。

7. 検疫された場合の通知は有効にしておきます。

8. ポリシーを確認する画面が表示されるので [送信] をクリックします。

9. 検疫ポリシーのカスタムポリシーが作成できたので、[完了] をクリックします。

安全な添付ファイルポリシーを設定しよう

1. 続いて、パンくずリストの [脅威ポリシー] をクリックします。

2. 脅威ポリシーの画面に戻るので [ポリシー]-[安全な添付ファイル] をクリックします。Microsoft 365 E5 では安全な添付ファイルのポリシーが編集可能となっています。EMS E5 では Microsoft Defender for Office 365 の追加オプション購入が必要です。

3. 安全な添付ファイルの画面が表示されるので [作成] をクリックします。

4. ポリシー名を入力し [次へ] をクリックします。

5. ドメインに所属するユーザーに対してポリシーを適用したいので、ドメイン欄に対象ドメインを入力し、表示される候補をクリックします。その後 [次へ] をクリックします。

6. 設定画面で [ブロック] を選択します。検疫ポリシーは先ほど作成したカスタムポリシーを選択します。その後 [次へ] をクリックします。

7. レビュー画面が表示されるので [送信] をクリックします。

8. ポリシー作成が完了したので [完了] をクリックします。

【検証方法模索中】EICAR テストファイルをメール添付しよう

EICAR テストファイルとは

EICAR テストファイルは、脅威(ウイルス / マルウェア)ではなく、ウイルス対策ソフト上で脅威の検知を模擬するために作成された、拡張子が .COM 形式の 68 バイトのファイルです。

EICAR テストファイルとは? (kaspersky.co.jp)

脅威検知のためにダミーとして使用されるのが EICAR テストファイルです。

EICAR テストファイルの作成とメール送信

作成される EICAR ファイルは次のようになります:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
EICAR テストファイルとは? (kaspersky.co.jp)

上記文字列に倣って、テキストエディタで com ファイルとして保存します。この時、ウイルス対策ソフトによって検疫されるため、検疫された場合はウイルス対策ソフトで復元する必要があります。下記の eicar.com ファイルをメール添付して送信すれば受信側で検疫される想定でしたが、送信側でファイルが無効化されたり、別の文字列に置換されるため、意図して EICAR ファイルを送信することができません。eicar.com.txt にしたり、zip 化しても同様です。

EICAR ダウンロード実行ファイルの作成とメール送信

ならば、EICAR ファイルをダウンロードさせるような実行ファイルを作ってみましたが、状況は変わりません。下図では、pyinstaller を用いて実行ファイル形式にしたもので、実行ファイル形式のままメール添付しても、送信側で無効化されます。

実行ファイル形式を Zip 化してメール送信するもマルウェア判定されず

実行ファイル形式を zip 化した場合は、添付ファイルが無効化されず送信することに成功しましたが、マルウェア判定とならず、受信側のメールボックスに添付ファイル付きで配信されてしまいました。

マルウェアを使用せず検疫させるための最適解については模索中です。

終わりに

今回は、Microsoft 365 E5 に含まれる Microsoft Defender for Office 365 の機能の一つ「安全な添付ファイル」ポリシーの設定について紹介しました。次回は、「安全な添付ファイル」にならぶ「安全なリンク」についても紹介していきたいと思います。

メールセキュリティを強化したい vol.4 – 安全なリンクを設定しよう
メールセキュリティを強化したいと題して、今回は、Microsoft 365 E5 で利用可能な安全なリンクのポリシーを設定していきたいと思います。設定例は、基本デフォルトの設定を採用していきたいと思います。動作確認については今回割愛とさせてください。
smejpsec.com
2023.04.21

コメント

タイトルとURLをコピーしました