MailData

Microsoft 検疫とは?

Microsoft 検疫とは?

検疫されたメールについて通知を得る方法

2024年4月28日
著者: Ahona Rudra
翻訳: 逆井 晶子

この記事はPowerDMARCのブログ記事 What is Microsoft Quarantine? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

メール攻撃からセキュリティを保護することは非常に複雑ですが、サイバーセキュリティ業界とメールサービスプロバイダーは状況を改善するために絶え間ない努力を続けています。
Microsoftの検疫機能は、スパムとしてマークされるだけの場合と異なり、受信者がメールの存在に気づかない可能性があります。
なぜなら、メールが検疫されると、受信者はそのメールが自分に送信されたこと自体を知らないためです。

メールを送ると、受信者に届き、開封され、必要なら返信されることを期待します。
しかし、メールが検疫されてしまうと、これらは何も起こりません。

Microsoftの検疫ポリシーは、マルウェアの拡散を抑えるために導入されました。
このポリシーでは、メールが検疫された理由に応じて、ユーザが実行可能な操作や制限が決まります。
管理者は、ユーザに対する制限をカスタマイズしたり、通知を有効化したりすることが可能です。

Microsoft Quarantineのアクセス方法

Microsoftの検疫されたメールにアクセスできるかどうかは、適用されている検疫ポリシーによって異なります。
以下の手順でアクセスすることができます。

  1. Microsoft 365 Defender ポータルにアクセスし、[メールとコラボレーション] > [確認] > [検疫] を選択します。
    または、検疫ページに直接アクセスすることもできます。
  2. 結果を整理するには、利用可能な列のヘッダーをクリックしてください。
    「列のカスタマイズ」をクリックすると、以下の列を変更することができます。

設定が完了したら、「適用」をクリックします。

検疫されたメールは削除されたことを意味するのか?

いいえ、検疫されたからといって削除されたわけではありません。
それは、スパムの可能性がある、または悪意のあるメールと判断され、安全な環境に検疫されます。
これにより、リスクなしでメールを開くことができます。

Microsoftは3日ごとに検疫通知を送信します。
検疫されたメールは、デフォルトで30日後に削除されます。
設定によっては、より短い期間で削除されることもあります。

なぜメールが検疫されるのか?

管理者は、ユーザが検疫されたフィッシングメールを操作することができないように、検疫ポリシーを設定することができます。
ポリシーによって、検疫されたすべてのメールへのアクセスを拒否することができます。
Microsoftの検疫が発生する主な理由は以下のとおりです。

検疫理由 デフォルトの保持期間 カスタマイズの可否 備考
スパムメール対策ポリシーによって検疫されたメール:スパムメール、高確度のスパムメール、フィッシング、高確度のフィッシング、またはバルク 15日(PowerShellで作成したスパム対策ポリシー)または30日(Defenderポータルで作成したスパム対策ポリシー) スパムメール対策ポリシーで値を下げることができる。
フィッシング対策ポリシーによって検疫されたメール:EOP(Exchange Online Protection)のなりすましインテリジェンス、ユーザなりすまし、ドメインなりすまし、Defender for Office 365のメールボックスインテリジェンス 30日 この保存期間は、スパムメール対策ポリシーの「検疫保持期間」設定によって決まり、受信者が適用される最初のスパム対策ポリシーの期間と一致します。
マルウェア対策ポリシーにより検疫されたメール(マルウェアを含むメール) 30日 不可 マルウェア対策ポリシーで一般的な添付ファイルのフィルタリングを有効にすると、特定のファイル拡張子を持つ添付ファイルが悪意のあるものと見なされる。
一般的に実行されるファイルの種類が事前定義されたリストがあるが、変更を加えることができる。
Defender for Office 365の安全な添付ファイルに関するポリシーにより検疫されたメール(マルウェアを含むメール) 30日 不可 -
メールフロールール(配信先を検疫と指定)により検疫されたメール 30日 不可 -
SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルに関するポリシーにより検疫されたファイル(マルウェアを含むファイル) 30日 不可 30日後にSharePointやOneDriveから削除される。
ただし、ブロックされたファイルは、SharePointまたはOneDriveにブロックされた状態で残る。

検疫済みメールの処理方法

検疫されたメールを選択し、詳細パネルで以下のいずれかのアクションを実行することができます。

1. メールをリリース

以下のオプションを設定してからリリースを実行してください。

1. 送信者を組織の許可リストに追加
これを有効にすると、同じ送信者からのメールがMicrosoftによって検疫されるのを防ぎます。
2. リリース方法を選択
  • すべての受信者にリリース
  • 特定の受信者にのみリリース: 受信者ボックスに追加する受信者を選択します。
3. メールのコピーを他の受信者と共有
このオプションを選択し、受信者を追加します。
4. 誤検知報告(Microsoftへ送信)
誤って検疫されたメール(誤検知)を報告し、検出精度を向上させます。
スパム、フィッシング、マルウェアメールは、Microsoftのスパム分析チームにも報告されます。
5. 類似メールの許可
このオプションはデフォルトで無効になっていますが、有効にすると、類似のURL、添付ファイル、その他の特性を持つメールが誤ってMicrosoftによって検疫されるのを一時的に停止することができます。
次の2つのオプションが表示されます。
  • 許可の有効期間: 一時的に許可する期間を設定することができます。
    デフォルト値は30日間です。
  • オプションのメモ: 許可に関する関連する説明を追加します。

すべて設定が完了したら、「リリース」ボタンをクリックしてください。

2. メールを共有

1人以上の受信者を入力すると、そのメールのコピーが送信されます。
受信者のメールアドレスを追加し、「共有(Share)」をクリックしてください。

3. その他のアクション

メールヘッダーの表示
クリックすると、メールヘッダーテキストが表示されます。
その下に次のオプションがあります。
  1. メールヘッダーのコピー
  2. Microsoftメールヘッダーアナライザー: ヘッダーフィールドと値を分析するには、リンクをクリックし、メールヘッダーを貼り付けて、ヘッダーの分析をクリックします。
メールのプレビュー
次のいずれかのタブを選択します。
  1. ソース:すべてのリンクが無効になっているHTMLバージョンが表示されます。
  2. プレーンテキスト: メッセージ本文がプレーンテキストで表示されます。
検疫から削除
「はい」をクリックすると、メッセージは元の受信者に送信されずに完全に削除されます。
メールのダウンロード
以下を設定します。
  1. ファイルのダウンロード理由
  2. パスワードの作成
送信者のブロック
受信トレイの受信拒否リストに送信者を追加します。
送信のみ
メッセージを分析のためにMicrosoftに報告します。
その下にいくつかのオプションが表示されます。

DMARCの「Quarantine」と「Reject」の違い

DMARCポリシーを長期間p=noneに設定されている場合、p=rejectまたはp=quarantineへ切り替えましょう。
これらのより厳格なポリシーは、フィッシングや詐欺の試みを防ぐのに役立ちます。
ただし、適用前に両者の違いを理解することが重要です。

DMARC Quarantine(隔離ポリシー)

p=quarantineを設定すると、受信サーバに対し、認証されていないメールの処理方法を指示することができます。
検疫するか、スパムに配信するか、積極的なスパムフィルタリングを受けるかを選択することができます。

このポリシーは、テスト運用として推奨されます。
まずはp=quarantineを設定し、正当なメールが誤って検疫されないか確認しながら、慎重にDMARCの適用範囲を広げるのがベストです。

DMARC Reject(拒否ポリシー)

p=rejectを設定すると、認証されていないメールを完全にブロックすることができます。
不正メールが受信者のメールボックスに届くことはなく、フィッシングのリスクを完全に排除することができます。

ただし、誤判定により正当なメールも拒否される可能性があります。
DMARCレポートを定期的に監視しない場合、重要なメールが届いていないことに数ヶ月気づかないこともあり、業務の生産性低下、クライアントとの連絡障害、営業・マーケティング活動への悪影響といった問題が発生する可能性があります。