この文書は?
最近Emotetの感染リスクが急拡大している中、Microsoft365側メールセキュリティ設定の中で再確認しておくと良いポイントについて手順付きで記載したものです。
背景
日本マイクロソフトさんから「Exchange Online Protection ですぐにできる対策例」を教えてもらったのですが…。
- やるべきことは分かったがどうやったらいいんだっけ?
- メール対策なのにExchange 管理センターだけで設定完結しないの…?
- Docs読んでも手順にたどり着けない…。
ということでわかりにくい。同じように困っている人が3人ぐらいいそうなのでまとめてみました。
見直しておくと良いポイント
1. パスワード付添付ファイルをブロック
添付ファイルがパスワードで保護されていると中の確認ができずマルウェア検知ができないため、パスワード付添付ファイルをブロックするのがベストです。
ただし、まだパスワード保護のうえメールのやり取りをしている企業も多いため、その場合はファイル交換サービスの導入とセットで行うのが良いのではないでしょうか。
設定方法は次のとおりです。
- Exchange 管理センター → メールフロー → ルールを開く。
- +をクリックし、新規ルールを作成
- 新規ルール作成ウィンドウの下の方に、「その他のオプション」があるのでそれをクリック
- 添付ファイルのパスワード保護に関する設定が選べるようになるので図のように選択し、適宜その他の設定を決めて設定完了
注意:「その他のオプション」をクリックしないと、添付ファイルの暗号化に関する設定が出てきません。
2. ZAP(ゼロアワー消去)の有効化
ゼロアワーオートパージ(ZAP)は、既に配信された悪質なフィッシング・スパム・マルウェアのメッセージを遡って検出し、無効化する電子メール保護機能です。これまでに届いたものも無効化するため、設定しておいたほうが良いでしょう。
こちらはExchange 管理センターではなくMicrosoft 365 Defenderから設定することになります。デフォルト設定でマルウェアのゼロアワー消去は有効となっているようですので、管理者が設定したポリシーの中でうっかり無効になっていないか確認しておくのが良さそうです。
確認方法は次のとおりです。
-
Microsoft 365 Defender の ポリシーとルール → 脅威ポリシー → マルウェア対策と辿ってマルウェア対策のポリシー一覧を表示させます。Default (既定)のポリシーしかない場合はデフォルトでZAP(ゼロアワー消去)が有効化されています
-
設定したポリシーや・作成しようとするポリシーについて「マルウェアのゼロアワー自動消去を有効にする」にチェックが入っていることを確認します。