参考: Cloudflare Area 1 Email Security とは
クラウド型のメールゲートウェイです。
フィッシング攻撃を阻止し、クラウドメールを保護します
受信トレイを信用しないでください:最もよく使われるビジネスアプリケーションである、メールを狙った攻撃から組織を保護しましょう。Cloudflare Area 1は攻撃サイクルの最も早い段階でフィッシングを阻止して、洗練された脅威から徹底的に防御します。
Zero Trust保護を取得して、マルウェアレス業務メール漏洩、マルチチャンネルフィッシング、クレデンシャルハーベスティング、その他の標的型フィッシングなどの、広範な脅威から保護しましょう。そのすべては数分でデプロイできるクラウドネイティブサービスに含まれ、ご使用のMicrosoft 365およびGmailユーザーの安全が確保されます。
PhishNet for Office 365 アドインインストール
以下のドキュメントに沿って設定します。
Area 1 のダッシュボードからインストールリンクを確認
Area 1 のダッシュボードから PhishNet for Office 365 アドインインストールに必要なリンクをコピーします。
Office 365 設定
先ほど取得したリンクを使って、以下の手順でカスタムアドインをインストールします。
展開完了後に、メールの「その他の操作」メニューから PhishNet を使って不審なメールを報告できるようになります。
アドインを実行するための要件はこちらです。
報告してみる
例えば、以下のようにフィッシング報告対応を有効化した上で「悪意のある」メール報告を検知した場合に「ジャンクメール」への自動振り分け対応がされるかを確認します。
macOS のデスクトップアプリを使った場合では、ユーザ側は以下のような数クリックの操作でフィッシング報告が可能です。
送信済みフォルダを確認すると、実際にはアドインによってフィッシング報告メールファイル .eml が添付された以下のようなメールが送信されます。
Area 1 ダッシュボードでは、ユーザからの報告による提出で「悪意のある」メールと検知され「振り分けされました」と処理がおこなわれたことがわかります。
検索パラメータとしては、 phish_submission_response, user_submission などが使えます。
Area 1 の API から確認できる詳細なメールトレースでは、alertId を指定した検索等で以下のような内容が確認できます。
- API · Cloudflare Area 1 Email Security docs
- Service accounts · Cloudflare Area 1 Email Security docs
alias area1='curl -s -u "service_account_public_key:service_account_private_key"'
area1 'https://api.area1security.com/mailtrace?alertId=4T0Nls2hlGz25h0n' | jq
以下の JSON では "phish_submission": true となっているため、ユーザ報告による検知と確認できます。
また、redressed_actions により振り分け処理の詳細が確認できます。(検知から少し遅れてフィールドがアップデートされます。)
検知時刻が "ts": "2023-12-27T07:38:01"(UTC)で、"operation": "RETRACTION" 処理の開始時刻 "started_timestamp": "2023-12-27T07:53:44" と完了時刻 "completed_timestamp": "2023-12-27T07:53:46" でステータス "status": "OK" が確認できます。
ログを見る限りでは、検知から完了まで 15 分程度となります。
{
"query_time": 1703744383424,
"data": [
{
"ts": "2023-12-27T07:38:01",
"final_disposition": "MALICIOUS",
"envelope_to": [
"admin@exmaple.jp"
],
"client_recipients": [
"admin@exmaple.jp"
],
"subject": "EXTERNAL MALICIOUS Hello Quishing",
"message_id": "<CAP1nN9xDEbNSyFiyyLb+AeQNzsBOOcq69D6pCzjWmnJafZjDSQ@mail.gmail.com>",
"postfix_ident": "4T0Nls2hlGz25h0n",
"postfix_ident_outbound": null,
"client_name": "exmaplejp",
"phish_submission": true,
"properties": {},
"redressed_actions": [
{
"recipient": "admin@exmaple.jp",
"destination": "JunkEmail",
"message_id": "cap1nn9xdebnsyfiyylb+aeqnzsboocq69d6pczjwmnjafzjdsq@mail.gmail.com",
"properties": {
"findings": [
{
"name": "blackbox_link",
"detection": "MALICIOUS",
"field": "links",
"portion": "ATTACHMENT",
"attachment": null,
"value": "https://fortify.support/",
"reason": "Attachment: Email Body malicious link 'hxxps://fortify[dot]support/'",
"version": null,
"action": "PROMOTE",
"score": 0.0,
"detail": null
},
{
"name": "yara_hit_finding",
"detection": "MALICIOUS",
"field": null,
"portion": "MESSAGE",
"attachment": null,
"value": "Link.BadReputation",
"reason": "Message matched malicious signature 'Link.BadReputation'",
"version": null,
"action": "PROMOTE",
"score": 0.0,
"detail": "ThreatType_Link"
},
{
"name": "phish_submission_response",
"detection": "MALICIOUS",
"field": null,
"portion": null,
"attachment": null,
"value": "Phish Submission Response",
"reason": "Message detected as malicious by 'Phish Submission Response'",
"version": null,
"action": "PROMOTE",
"score": 0.0,
"detail": "post_delivery"
}
],
"requested_by": "apr_psr@area1security.com",
"folder": "JunkEmail",
"requested_disposition": "MALICIOUS"
},
"completed_timestamp": "2023-12-27T07:53:46",
"started_timestamp": "2023-12-27T07:53:44",
"operation": "RETRACTION",
"status": "OK"
}
],
"postfix_id": "4T0Nls2hlGz25h0n",
"from": "test@exmaple.jp"
}
]
}
また、API で "phish_submission": true の一覧を取得したい場合には、以下のコマンドが便利です。
area1 'https://api.area1security.com/mailtrace?limit=100' | \
jq '.data[] | select(.phish_submission == true) |[.postfix_ident,.ts,.final_disposition,.subject,.redressed_actions[0].destination,.redressed_actions[0].completed_timestamp,.redressed_actions[0].operation,.redressed_actions[0].status]|@csv' | column -t -s,
"\"4T0Nls2hlGz25h0n\" "\"2023-12-27T07:38:01\" \"MALICIOUS\" \"EXTERNAL MALICIOUS Hello Quishing\" \"JunkEmail\" \"2023-12-27T07:53:46\" \"RETRACTION\" \"OK\""
"\"4T0NlL1ssgz29dgZ\" "\"2023-12-27T07:37:34\" \"MALICIOUS\" \"test13\" \"JunkEmail\" \"2023-12-27T07:52:47\" \"RETRACTION\" \"OK\""
"\"4T0NlF4GwyzlVvQ\" "\"2023-12-27T07:37:29\" \"MALICIOUS\" \"test12\" \"JunkEmail\" \"2023-12-27T07:53:01\" \"RETRACTION\" \"OK\""
"\"4T0Nl80tk8z25h18\" "\"2023-12-27T07:37:24\" \"MALICIOUS\" \"test8\" \"JunkEmail\" \"2023-12-27T07:53:00\" \"RETRACTION\" \"OK\""
"\"4T0Nl36zvszlVyB\" "\"2023-12-27T07:37:20\" \"MALICIOUS\" \"test7\" \"JunkEmail\" \"2023-12-27T07:52:43\" \"RETRACTION\" \"OK\""
"\"4T0NLy2X0VzrSHp\" "\"2023-12-27T07:20:16\" \"MALICIOUS\" \"EXTERNAL MALICIOUS Soft Delete 1\" \"JunkEmail\" \"2023-12-27T07:35:49\" \"RETRACTION\" \"OK\""
まとめ
アドインを使ってユーザ側でも簡単にフィッシング報告、自動振り分け対応ができることを確認しました。
組織全体に展開し、メールセキュリティを強化していくことは重要です。
情シスのみならず、ユーザ側でもアクションを起こして適時対処できる形にするためには、こういった機能を使っておきたいところです。
参考:アドインを使わない場合
以下のリンク先で表示されるアカウントごとのサービスアドレスを宛先にメールファイルを添付して提出することができます。
Outlook では以下の手順で対象のメールメッセージを添付ファイルとして転送できます。
参考:フィッシング対策協議会への報告
上記手順と同様に info[at]antiphishing[.]jp にメールを添付ファイルとして転送して報告できます。
フィッシング対策協議会では、フィッシングメールやフィッシングサイトに関する情報提供を受け付けています。
Webフォームでご報告される場合は「Webフォームで報告」、メールでの報告を希望される場合は、「電子メールで報告」をご参考にご連絡ください。
なお、ご報告頂いた情報は、法執行機関(警察等)及び関係組織(騙られた被害組織等)へ提供する場合があります。
