ATP AntiSpoofingについて

E5なくても使えるようになったやつについてです。

Set up Office 365 ATP anti-phishing policies | Microsoft Docs

ATP Anti Spoofingとは

f:id:teraco:20181018003633j:plain

新GUI(セキュリティ&コンプライアンスセンター)で新たに設定可能となったATP フィッシング対策機能となります。

動作ポイント

f:id:teraco:20181018003630j:plain

今までのスパムフィルターの位置で動作します。名前は"ATP"とついていますが、動作ベースで理解するならEOPの一部として理解したほうがいいかもしれません。

設定検討項目

  • 偽装対策(Anti-phishing protection)
  • なりすまし対策(Anti-spoofing protection)
  • フィッシング対策(Anti-phishing protection)

の3つを設定します。設定箇所は3つですが、英語ページだと、Anti-phishing protectionとAnti-spoofing protectionの2種類と定義されています。

docs.microsoft.com docs.microsoft.com

偽装対策(Anti-phishing protection)設定項目

機能 説明 入力可能な値
保護対象のユーザー 攻撃者による偽装から保護する内部と外部のユーザーを最大で 60 人追加します。成り済まされる可能性の高いユーザー、例えばシステム管理者や役員を追加することをお勧めします。 内部ユーザー(最大60名)
保護対象のドメイン 攻撃者による偽装から保護する外部のドメインを追加します。例えば、よくメールのやり取りをする関連会社など。 外部ドメイン
保護対象のユーザー 攻撃者による偽装から保護する内部と外部のユーザーを最大で 60 人追加します。成り済まされる可能性の高いユーザー、例えばシステム管理者や役員を追加することをお勧めします。 内部ユーザー(最大60名)
保護対象のドメイン 攻撃者による偽装から保護する外部のドメインを追加します。例えば、よくメールのやり取りをする関連会社など。 外部ドメイン
処理 偽装ユーザー、偽装ドメインが発見された際のアクションを、それぞれで指定できます メッセージを他のメールアドレスにリダイレクトする/メッセージを受信者の迷惑メールフォルダーに移動する/メッセージを検疫する/メッセージの配信と[BCC]行への他のアドレスの追加を行う/配信される前にメッセージを削除する/処理を何も適用しない
偽装ユーザーに関するヒントを表示 偽装ユーザーと判断した場合にヒントを表示します。 有効/無効
偽装ドメインに関するヒントを表示 偽装ドメインと判断した場合にヒントを表示します。 有効/無効
通常とは異なる文字に関するヒントを表示 保護対象かどうかにかかわらず、例えばaDmIn@c0ntos0.comというユーザーからメールが送信された際に、ヒントを表示します。 有効/無効
メールボックス インテリジェンス ユーザー毎にメール送受信状況をチェックし、ユーザーがよくやり取りするユーザーを保護ユーザーと定義します。 有効/無効
信頼できる送信者とドメイン ここで指定したユーザー、ドメインには本ポリシーを適用しません 内部ユーザーまたは外部ドメイン

なりすまし対策(Anti-spoofing protection)設定項目

機能 説明 入力可能な値
なりすましフィルターの設定 なりすまし対策による保護の有効化の選択をします オン/オフ
処理 なりすましを検知した際の処理を選択します メッセージを受信者の迷惑メールフォルダーに異動する/メッセージを検疫する

フィッシング対策(Anti-phishing protection)設定項目

機能 説明 入力可能な値
高度なフィッシングのしきい値 フィッシング攻撃の可能性があるメッセージを Office 365 がどの程度積極的に処理するかを制御します。 1-標準/2-積極的/3-より積極的/4-もっとも積極的

利用方針

いろいろいじって楽しむ分には問題ないですが、世の中的な実績が少ないためエンタープライズ向けの適用は慎重に行うのが良いと思います。ポリシーを限定したユーザーに適用する事が出来るので、まずはそこから試すのがいいでしょう。

余談

呼び名 セキュリティリスク 定義
スパムメール なし ユーザーが受信登録していないにもかかわらず、送信されてくるメール。ランダムなエイリアス + ドメイン名を宛先に送られる、あるいは名簿業者などからメールアドレスが漏れ、勝手に送られてくるもの。
バルクメール なし ユーザーが受信登録行為を行い、結果として送信されてくるメールのうち、”迷惑”と感じるメールの事。どこまでが”有用”であり、”どこからが”迷惑”であるかはユーザーの主観によるが、Exchange Onlineではバルクメールの閾値を1~9の9段階で定義し、閾値以上のメールを”スパム”と扱うことが出来る
迷惑メール なし スパムメール、バルクメールの総称。迷惑メールはマルウェア、フィッシングメールと違い、ユーザーを騙して金銭を奪うような意図はない
マルウェア あり 悪意のある添付ファイルやHTML形式の埋め込みが行われ、セキュリティの甘いPCで開くことによって、PCに悪影響を与えるもの。主にバックドアやキーロガーなどを仕掛け、最終的にはクレデンシャルの取得、金銭・データの取得につなげようとする意図のメール
フィッシング あり 悪意のある添付ファイルの代わりに悪意のあるリンクが文中に存在し、リンクにアクセスする事でマルウェアと同じような結果を得ようとする意図のメール。
スプーフィング あり 送信者アドレスと送信した人物が本当に一致しているのか、確認できないメール。システム的な事象であり、悪意のあり,なしは関係ない。ほとんどが悪意があり送信者を偽っているものであるが、社内システムからExchange Onlineに送信され、SPFが登録されていないものなどが”スプーフィング”扱いとなり、結果としてフィッシングスコアが上がり、マルウェアメールと判定されてしまう場合がある。

分かりやすくセキュリティリスクあり・なしで語りましたが、必ずしも"なし"なわけではありませんので注意。