Emotet は過去に広く流行したマルウェアであり、
Exchange Online ではマルウェアフィルターにより基本的な対策が講じられています。
しかしながら、亜種の出現やフィルター回避の可能性を踏まえ、
トランスポートルールによるブロックや注意喚起の構成が推奨されます。
本記事では、Exchange Online で Emotet と疑わしき添付ファイルをブロックする方法 について
紹介します。
不審なメールを受信した場合は IT部門へ検知漏れの報告をお勧めします。
■ トランスポートルールによりブロックする
- Exchange 管理センターにアクセスし、[メールフロー] > [ルール] をクリックします。
- [+ (新規作成)] をクリックし、[ルールの新規作成…] を選択します。
- 以下の設定でルールを構成します。
- [名前]:任意のルール名を入力
- [その他のオプション] をクリック
- [このルールを適用する条件…]:
[件名または本文] > [件名または本文が次のテキストパターンと一致する]
→
https://contoso.comなど、拒否対象の文字列を入力し、[+] > [OK] - [実行する処理…]:
[メッセージをブロックする…] > [だれにも通知せずにメッセージを削除する]
- [保存] をクリックします。
このルールにより、指定された件名や本文を含むメールはサーバー側で削除され、送信者への通知も行われません。
■ 外部からの添付ファイル付きメールについて注意喚起を促すトランスポートルールの設定
- Exchange 管理センターの [メールフロー] > [ルール] を開きます。
- [+ (新規作成)] をクリックし、[ルールの新規作成…] を選択します。
- 以下のように設定します。
- [名前]:任意のルール名
- [その他のオプション] をクリック
- [このルールを適用する条件…]:
[送信者] > [外部/内部である] → [組織外]
- [条件の追加]:
[任意の添付ファイル(いずれかのファイル)] > [ファイル拡張子が次の単語を含む] →
zipを追加 - [実行する処理…]:
[メッセージの件名の先頭に追加する] → 「【注意】Zip 添付ファイルを受信しました」などを入力
- [保存] をクリックします。
■ ヘッダー情報の確認方法
上記のルールが適用されたメールについて、以下の手順でヘッダー情報を確認してください。
- Outlook on the Web:
- 対象メールを選択
- […] > [メッセージの詳細の表示] をクリック
- Outlook クライアント:
- メールをダブルクリック
- [ファイル] > [情報] > [プロパティ] を選択
- [インターネットヘッダー] をコピー
■ 検知漏れ報告の手順
- Office 365 セキュリティ/コンプライアンスにアクセス(Defender Security & Compliance)
- [脅威の管理] > [報告] をクリック
- [+新規の報告] を選択
- [オブジェクトの種類]:添付ファイル を選び、対象ファイルを添付
- [報告の理由]:「ブロックが必要だった」を選択
- [送信] をクリック
不審な添付ファイルを見かけた際は、迅速に報告し、組織全体のセキュリティ向上に貢献しましょう️
参考情報:
Exchange Online のメール フロー ルール (トランスポート ルール)
Exchange Online のメール フロー ルールについて説明します。
learn.microsoft.com
コメント