Hosted Email Securityでは、ソーシャルエンジニアリング攻撃の可能性ありとして検出されたメールメッセージについて詳しい情報が得られます。ソーシャルエンジニアリング攻撃の詳細情報を表示するときは、[メール追跡の詳細] 画面の [ソーシャルエンジニアリング攻撃] の横にある [詳細] リンクをクリックしてください。
これらのログを利用できるのは、該当するメールを受信しており、アクティブポリシーの検索条件で [ソーシャルエンジニアリング攻撃] オプションが選択済み、かつ [仮想アナライザを有効にする] オプションが未選択の場合のみです。これらのオプションが両方選択されている場合、仮想アナライザのレポートを受信します。このレポートには、ソーシャルエンジニアリング攻撃に関する情報を含む情報が含まれています。
以下の表では、ソーシャルエンジニアリング攻撃の検出について考えられる理由を記載しています。
|
メールの特徴 |
説明 |
|---|---|
|
送信ホスト名の不一致 |
Message-ID (<domain>) とFrom (<domain>) で送信ホスト名が一致していません。 |
|
メールルーティングパスの切断 |
ホップ (<IP_address>) からホップ (<IP_address>) へのメールルーティングパスが切断されています。 |
|
メールルーティングパスに低いIPレピュテーションのメールサーバが含まれる |
メールルーティングパスに、低いIPレピュテーションのメールサーバ (<IP_address>) が含まれています。 |
|
メールメッセージ送信中の大幅な時間差 |
(<date_time>) から (<date_time>) までの間に、ホップ間 (<source> & <destination>) でのメールメッセージ送信で、大幅な時間差 (<duration>) が検出されました。 |
|
受信者アカウントの不一致 |
エンベロープ受信者 (<email_address>) がヘッダ受信者 (<email_address>) と一致しません。 |
|
送信者アカウントの偽造または予期しないリレー/転送 |
ASN (<ASN_list>) が送信者ASN (<ASN_list>) と一致しないホスト/IP (<host_address>) を使用して、偽造の可能性がある送信者アカウント (<email_address>) からメールメッセージが送信されています。または予期しないサーバ側リレー/転送です。 |
|
複数のタイムゾーンを経由したメールメッセージ |
メールメッセージが複数のタイムゾーン (<time_zone_list>) を経由して送信されています。 |
|
ソーシャルエンジニアリング攻撃の可能性 (メールエンティティに疑わしい文字コードあり) |
疑わしい文字コード (<character_set_list>) が1件のメールメッセージ内で検出されました。メールが海外から送信されたことを示唆しており、ソーシャルエンジニアリング攻撃の疑いがあります。 |
|
タイムヘッダ違反 |
1件のメッセージに複数のタイムヘッダ (<date_time>, <date_time>) が含まれています。これはRFC5322セクション3.6に違反します。 |
|
送信者偽造の可能性 (Yahoo) |
Yahoo (<email_address>) からと主張するメールメッセージに、必要なヘッダがありません。 |
|
拡張子名が変更された実行可能ファイルの添付 |
圧縮された添付ファイル (<file_name>) 内の実行可能ファイルは、拡張子を変更して一般のファイルのように偽装されています。 |
|
送信者/受信者関連のメールヘッダの変則的な関係 |
送信者/受信者関連のメールヘッダ (<email_address>) 間の関係が変則的です。 |
|
暗号化された添付ファイルによる不正プログラム対策検索エンジンのバイパス |
メールにパスワード (<password>) が記載された暗号化された添付ファイル (<file_name>) は、不正プログラム対策検索エンジンをバイパスしようとしている可能性があります。 |
|
悪用の可能性があるメール添付ファイル |
メール添付ファイル (<file_name>) は悪用される可能性があります。 |
|
ソフトウェアにより自動的に生成されたメールメッセージの可能性 (メールエンティティ内に異常な転送エンコードあり) |
このメールメッセージは、ソフトウェアにより自動的に生成された可能性があります。 |
|
意味のある単語を含まないメールメッセージ |
メールメッセージには、テキスト本文内/HTML本文内に文字がほとんど含まれていません (<character_count>)。 |
|
メールスプーフィングの可能性 |
メールメッセージの件名に転送または返信メッセージであることを示すタグ (<email_subject>) が含まれていますが、対応するメールヘッダが含まれていません (RFC 5322)。 |
|
複数のASNを経由したメールメッセージ |
メールメッセージが複数のASN (<ASN_list>) を経由して送信されています。 |
|
複数の国を経由したメールメッセージ |
メールメッセージが複数の国 (<country_code_list>) を経由して送信されています。 |
|
メールメッセージ内のコンテンツタイプが無効な値 |
メールのContent-typeの属性 (<attribute_list>) は無効な値です。 |
|
実行可能ファイルがアーカイブされた圧縮ファイルの添付 |
圧縮された添付ファイル (<file_name>) に実行可能ファイルがアーカイブされています。 |
|
悪用可能なファイルタイプを含む圧縮された添付ファイル |
悪用可能なファイルタイプが、圧縮された添付ファイル (<file_name>) で検出されました。 |
|
修正された可能性がある送信者アカウントのヘッダ |
送信者のアドレスやニックネームの変更を許可するメールクライアントまたはサービスプロバイダ (<user_agent>) からメールが送信されました。 |
|
メール本文内の通信履歴 |
このメールには (<email_account>) さんと (<email_account>) さんとの間の通信履歴が含まれており、中間者攻撃の一部である可能性があります。 |
|
偽装reply-toドメインの内部メッセージ |
このreply-toドメイン (<domain_name>) は送信者や受信者のドメイン (domain_name) に似せて偽装しています。このメールは内部メールに偽装している可能性があります。 |
|
パブリックreply-toドメインの内部メッセージ |
このreply-toドメイン (<domain_name>) はパブリックメッセージサービスに属していますが、送信者と受信者のドメインが同じ (<domain_name>) です。このメールは内部メールに偽装している可能性があります。 |
|
パブリックドメインアドレスを持つ会社役員のニックネーム |
送信者のヘッダ (<sender_header>) に、会社役員と思われるニックネームと、パブリックメッセージサービスのメールアドレスが含まれています。 |
|
送信者アカウントに似せて偽装したreply-toアカウント |
このreply-toアカウント (<email_account>) は送信者アカウント (<email_account>) に類似した別のドメインを使用しており、2つのアカウントが同じ個人のものであるかのように偽装しています。 |
|
標的型攻撃に関連付けられている可能性がある送信者アカウント |
送信者アカウント (<email_account>) が1つ以上の標的型攻撃に関連しているか、あるいは標的型攻撃と共通の動作を行いました。 |
|
受信者のドメインに似せて偽装した送信者のドメイン |
送信者のドメイン (<domain_name>) は受信者のドメイン (<domain_name>) と似ていますが別物です。このメールは内部メールに偽装している可能性があります。 |
|
標的型攻撃に関連付けられている可能性がある送信者ホスト名 |
送信者ホスト名 (<host_name>) が1つ以上の標的型攻撃に関連しているか、あるいは標的型攻撃と共通の動作を行いました。 |
|
標的型攻撃に関連付けられている可能性がある送信者IPアドレス |
送信者IPアドレス (<ip_address>) が1つ以上の標的型攻撃に関連しているか、あるいは標的型攻撃と共通の動作を行いました。 |