高度なスパムメール対策

Cloud App Security[コンテンツ検索] 機能を利用して、ユーザのメールゲートウェイで実行されるメール保護サービスを補完する高度なスパムメール対策を提供し、グレーメール、詐欺メール、ビジネスメール詐欺 (BEC)、ランサムウェア、高度なフィッシング、およびその他の一般的な攻撃からメールサービスユーザを保護します。次のコンポーネントを使用してヒューリスティックポリシーを適用し、不要なコンテンツを検出したりメールメッセージをブロックまたは許可したりします。

  • スパムメール対策エンジン

  • スパムメールパターンファイル

スパムメール対策エンジンは、スパムメールのシグネチャとヒューリスティックルールを使用してメールメッセージをフィルタします。メールメッセージを検索し、ルールやパターンファイル内のパターンにどれくらい近似しているかに基づいてスパムメールスコアを割り当てます。その後、スコアをユーザ指定のスパムメール検出レベルと比較し、結果をCloud App Securityに送信します。スコアが検出レベルを超えている場合、Cloud App Securityはメールメッセージが属するカテゴリに基づいて処理を実行します。スパムメール対策エンジンがスパムメールスコアを割り当てる方法は変更できませんが、Cloud App Securityがスパムメールを判別する検出レベルは調整できます。

さらにスパムメール対策エンジンは、Trend Micro Email Behaviour Analysis (EBA) モジュールを利用してグレーメールメッセージや詐欺メールを検出します。

  • グレーメール: 特定のユーザに大量に送信される、スパムメールメッセージの定義に当てはまらないメールメッセージです。ユーザによっては、スパムメールまたは安全なメールとみなす場合があります。

  • 詐欺メール: 架空の費用の前払いを要求するナイジェリア詐欺、宝くじ詐欺、およびビットコイン詐欺など、個人または団体から信用を得た上で金銭などをだまし取ろうとする試みです。

さらにCloud App Securityは、組織のユーザをBEC攻撃から保護するための追加レイヤとして、トレンドマイクロのWriting Style DNAを機能として提供します。詳細については、Writing Style DNAについてを参照してください。

Writing Style DNAについて

Cloud App Securityでは、組織のユーザをBEC攻撃から保護するための追加レイヤとして、トレンドマイクロのWriting Style DNAの技術を利用した機能を提供します。

Cloud App Securityでは、ライティングスタイルの分析機能により、偽装される可能性がある人物が書いたメールメッセージの検索を行い、その作成者特有のライティングスタイルをメールシステムで識別するためのモデルの生成とトレーニングを行います。このライティングスタイルモデルは一連の特性または特徴で、個人のメールメッセージの文体を自動化された方法で一意に識別して探索します。偽装される可能性がある人物からの受信メールメッセージは、モデルと比較されて作成者の識別が行われます。

注:

このリリースのライティングスタイル分析は、英語、日本語、ドイツ語、フランス語、スペイン語、スウェーデン語、デンマーク語、ノルウェー語、およびフィンランド語で作成されたメールメッセージに適用されます。

作成者の識別には、Cloud App Securityで各高プロファイルユーザのライティングスタイルモデルをトレーニングし、分析することが必要になります。ユーザのライティングスタイルモデルは時間の経過とともに変化する可能性があるため、それらを常に更新して、メールのフィルタ処理を調整することが必要です。この機能をいったん有効にすると、Cloud App Securityは高プロファイルユーザのライティングスタイルのトレーニングを開始して、使用可能なパーソナルモデルを構築し、新たなメールメッセージの作成にあわせてそれを改善します。

高度なスパムメール対策を設定する

  1. [高度なスパムメール対策を有効にする] を選択します。
  2. (オプション) [検出機能向上のため不審メール情報をトレンドマイクロに送信する] を同意できる場合は選択します。
  3. [ルール] を設定します。
    オプション 説明

    適用

    高度なスパムメール対策を適用するメールメッセージの範囲を選択します。

    • [すべてのメッセージ]: このポリシーが受信、送信、および内部メールメッセージに適用されることを意味します。

    • [受信メッセージ]: このポリシーが内部ドメイン以外から送信された受信メールメッセージにのみ適用されることを意味します。

    検出レベル

    検出レベルを選択します。オプションには次のものがあります。

    • [高]: 最も高いレベルです。Cloud App Securityは不審ファイルまたはテキストについてすべてのメールメッセージを監視しますが、誤検出の可能性も高くなります。誤検出とは、正規のメールメッセージがスパムメールとして検出されることを指します。

    • [中]: Cloud App Securityは高いレベルでスパムメールを検出し、誤検出の可能性は中程度です。

    • [低]: 最も低いレベルです。Cloud App Securityは明らかで一般的なスパムメールメッセージのみをフィルタし、誤検出の可能性は低くなります。

    表示名のスプーフィング検知

    (オプション) チェックボックスをオンにして、表示名のスプーフィング検知を有効にします。このオプションは初期設定で無効になっています。

    Cloud App Securityは、外部送信者の表示名を確認し、その名前が組織内で使用されている名前に類似または一致するかどうかを検出した後、その送信者からのメールメッセージを分析して、メッセージが詐欺メール、フィッシング、ビジネスメール詐欺 (BEC)、またはランサムウェアの攻撃かどうかを判断します。Cloud App Securityは、検出された脅威のカテゴリに基づいて設定された処理を実行し、表示名のスプーフィングを利用したメールのなりすまし攻撃から組織のユーザを保護します。

    注:

    特定の外部送信者を検出から除外するには、[運用管理] > [グローバル設定] > [表示名のスプーフィング検知の除外リスト] の順に選択して、送信者のメールアドレスを除外リストに追加します。

    高度なBEC検出設定

    [運用管理] > [グローバル設定] > [高プロファイルユーザ] または [内部ドメイン] または [高プロファイルドメイン] の順に選択し、必要に応じて高プロファイルユーザ、外部ドメイン、または内部ドメインを指定します。

    注:

    これにより、頻繁に偽装されるユーザやドメインからのメールメッセージをCloud App Securityで詳細に確認し、詐欺メールの確認条件を適用して偽装メッセージを特定することで、BEC攻撃に対処できるようになります。

  4. (Exchange Onlineのみ) [グレーメール検出] を設定します。
    1. [グレーメール検出を有効にする] を選択します。

      Cloud App Securityは、次のものをグレーメールメッセージとして検出します。

      • マーケティングメッセージとニュースレター

      • ソーシャルネットワーク通知

      • フォーラム通知

      • バルクメッセージ

    2. グレーメールのカテゴリを1つ以上選択します。

  5. [ライティングスタイル分析によるBEC検出] を設定します。
    注:

    この機能は、Cloud App Securityが高プロファイルユーザのライティングスタイルモデルにトレーニングした内容を蓄積して、BEC攻撃を検出するための高度な手段を提供します。追加の設定が必要になります。

    ライティングスタイル分析を設定する前に、[運用管理] > [グローバル設定] に移動して以下を設定します。

    ライティングスタイル分析によるBEC検出を設定します。詳細については、ライティングスタイル分析によるBEC検出を設定するを参照してください。

  6. [承認済み/ブロックする送信者リスト] を設定します。
    1. [承認済み送信者リストを有効にする] を選択します。
    2. 検索から除外する送信者のメールアドレスを指定し、[追加] をクリックします。
      注:

      個々のメールアドレスではワイルドカード文字と正規表現はサポートされません。

      1つのドメインのすべての送信者を承認するには、「*@example.com」のように「*@example」の形式で入力します。この機能はスパムメール検索にのみ適用されます。

    3. オプションで [インポート] をクリックして、送信者のメールアドレスを一括インポートします。
    4. [ブロックする送信者リストを有効にする] を選択します。
    5. 検索をせずにブロックしたい送信者のメールアドレスを指定し、[追加] をクリックします。
      注:

      個々のメールアドレスではワイルドカード文字と正規表現はサポートされません。

      1つのドメインのすべての送信者をブロックするには、「*@example.com」のように「*@example」の形式で入力します。この機能はスパムメール検索にのみ適用されます。

    6. オプションで [インポート] をクリックして、送信者のメールアドレスを一括インポートします。
    7. [処理] に移動して、ブロックする送信者リストに対する処理を設定します。
    • Gmailでは [メールにラベル付け][削除] を選択できます。

    • 他のアプリケーションおよびサービスでは [隔離][削除] を選択できます。

  7. (Exchange Onlineのみ) [承認済みヘッダフィールドリスト] を設定します。
    1. [承認済みヘッダフィールドリストを有効にする] を選択します。
    2. ヘッダフィールドの名前を [フィールドの名前] に、そのフィールドの値を [値] に指定し、必要に応じて [次の値を含む] または [次に等しい] を選択します。
    3. [追加] をクリックします。

      指定したエントリが下の領域に表示されます。

      [次の値を含む] または [次に等しい] が選択されているかどうかに応じて、メールメッセージの指定したヘッダフィールドに指定した値が含まれるか、ヘッダフィールドと指定した値が完全に一致する場合、そのメッセージは高度なスパムメール対策で検索されなくなりますが、ポリシー内の他のセキュリティフィルタの検索対象にはなります。

      注:

      [フィールドの名前][値] では大文字と小文字が区別され、ワイルドカード文字と正規表現はサポートされません。

      ヘッダフィールドの名前と値は128文字以下で指定する必要があります。

    4. (オプション) 必要に応じて手順bcを繰り返し、別のヘッダフィールドを追加します。

      指定した任意のエントリとヘッダフィールドが一致するメールメッセージは、高度なスパムメール対策によって検索されません。

      注:

      最大10個のヘッダフィールドを指定できます。

    5. 指定したヘッダフィールドを削除するには、リストから選択して [削除] をクリックします。

    ここで指定された承認済みヘッダフィールドリストは、現在のポリシーにのみ適用されます。有効化されたExchange Onlineのポリシーすべてに適用される承認済みヘッダフィールドリストを作成することもできます。詳細については、Exchange Onlineの承認済みヘッダフィールドリストを設定するを参照してください。

  8. 各カテゴリの [処理] を設定します。
    • Exchange Onlineのポリシー

    オプション 説明

    件名にタグを挿入

    メールメッセージの件名の前にキーワードを追加して (スパムメール: <件名>)、処理が実行されたことをユーザに知らせます。対象の受信者にはメールメッセージが配信されますが、このタグによって、元のメールにセキュリティリスクが存在することを受信者に通知します。

    削除

    メールメッセージ全体を削除します。

    隔離

    メールメッセージを隔離専用のフォルダに移動し、保護対象サービスへのセキュリティリスクを除きます。

    放置

    検出をログに記録して、メッセージは変更しません。

    迷惑メールフォルダに移動

    メールメッセージをユーザの迷惑メールフォルダに移動します。

    • Gmailのポリシー

    オプション 説明

    削除

    メールメッセージ全体を削除します。

    スパムメールに移動

    Gmailのシステムラベルの「スパム」をメールメッセージに適用して、ユーザのスパムラベルでのみ表示します。

    メールにラベル付け

    メールボックス内のメールメッセージの先頭に [Risky (by Trend Micro)] というラベルを表示します。

    放置

    検出をログに記録して、メッセージは変更しません。

    Cloud App Securityでは、次のカテゴリ別に処理を設定できます。

    • (Exchange Onlineのみ) グレーメール

    • (Exchange Onlineのみ) 詐欺サイト: ナイジェリア詐欺、宝くじ詐欺、およびビットコイン詐欺など。

    • BEC

    • フィッシング

    • ランサムウェア

    • 不正なスパムメール: コマンドアンドコントロール (C&C)、不正プログラム、バンキング型トロイの木馬など、その他の種類の不正な攻撃を仕掛けるスパムメールメッセージです。

    • その他のスパムメール: 不要な商用メールメッセージや不特定多数のユーザに送信される迷惑メールなどが含まれます。

      注:

      オプションで [内部ドメインから送信されたメッセージが、その他のスパムメールとして検出された場合は放置する] を選択すると、組織のセキュリティポリシーに基づいて正常として処理される内部メールメッセージが、Cloud App Securityによってその他のスパムメールとして処理されます。

    高度なスパムメール対策フィルタ処理の適用方法の詳細については、高度なスパムメール対策フィルタの処理条件を参照してください。

  9. [通知] を設定します。
    オプション 説明

    管理者に通知する

    セキュリティリスクが検出され、メールメッセージ、添付ファイル、またはファイルに対して処理が実行されたことを管理者に通知するメッセージの詳細を指定します。

    通知のしきい値により、送信するメッセージに制限が設定されます。しきい値には次のものがあります。

    • 一括通知を次の間隔で送信する: 特定期間のすべての通知をまとめたメールメッセージを送信します。ボックスに数字を入力して期間を指定し、時間または日を選択します。

    • 一括通知を次の件数ごとに送信する: 設定したフィルタ処理数の通知をまとめたメールメッセージを送信します。ボックスに数字を入力して、ウイルス/不正プログラムの出現頻度を指定します。

    • 個別通知を送信する: フィルタ処理を実行するたびにメールメッセージ通知を送信します。

    ユーザに通知する

    セキュリティリスクが検出され、メールメッセージまたは添付ファイルに対して処理が実行されたことを受信者に通知するメッセージの詳細を指定します。

    注:

    通知メッセージは、通知する情報のトークンの要否を含め、目的に応じてカスタマイズできます。トークンの詳細については、トークン変数リストを参照してください。

  10. [保存] をクリックするか、左側のナビゲーションで別のポリシー設定を選択して追加のルールを設定します。

ライティングスタイル分析によるBEC検出を設定する

  1. [ライティングスタイル分析を有効にする] を選択します。

    Cloud App Securityは自動的に、設定したメールアドレスから高プロファイルユーザが作成したメールメッセージの取得を開始し、それらを分析して各ユーザのライティングスタイルモデルのトレーニングを行います。トレーニングの状況を表示するには、[運用管理] > [グローバル設定] > [高プロファイルユーザ] の順に選択します。

    Exchange OnlineやGmailなどのメールサービスに追加された各高プロファイルユーザのライティングスタイルモデルをトレーニングするには、そのサービスの少なくとも1つの高度な脅威対策ポリシーでライティングスタイル分析を有効にする必要があります。このトレーニングのプロセスは、そのサービスのすべてのポリシーでライティングスタイル分析を無効にすると一時停止され、少なくとも1つのポリシーでライティングスタイル分析を有効にすると再開されます。

    重要:

    Cloud App Securityでは、各高プロファイルユーザの特定のライティングスタイルモデルをトレーニングするためにのみメールメッセージが検索され、実際のメールメッセージまたはその内容が収集されることはありません。

  2. 処理を選択します。
    • Exchange Onlineのポリシー

    オプション 説明

    件名にタグを挿入

    メールメッセージの件名の前にキーワードを追加して (推定されるBEC攻撃: <件名>)、処理が実行されたことを受信者に知らせます。対象の受信者にはメールメッセージが配信されますが、このタグによって、元のメールがBEC攻撃の可能性があることを受信者に通知します。

    ディスクレーマーの追加

    メール本文の冒頭にディスクレーマーメッセージを追加して、処理が実行されたことを受信者に知らせます。対象の受信者にはメールメッセージが配信されますが、このディスクレーマーによって、元のメールがBEC攻撃の可能性があることを受信者に通知します。

    ディスクレーマーは512文字以下で指定する必要があります。

    ディスクレーマーのトークンの詳細については、トークン変数リストを参照してください。

    放置

    検出をログに記録して、メッセージは変更しません。

    削除

    メールメッセージ全体を削除します。

    隔離

    メールメッセージを隔離専用のフォルダに移動し、保護対象サービスへのセキュリティリスクを除きます。

    迷惑メールフォルダに移動

    メールメッセージをユーザの迷惑メールフォルダに移動します。

    • Gmailのポリシー

    オプション 説明

    メールにラベル付け

    メールボックス内のメールメッセージの先頭に [Risky (by Trend Micro)] というラベルを表示します。

    放置

    検出をログに記録して、メッセージは変更しません。

    削除

    メールメッセージ全体を削除します。

    スパムメールに移動

    Gmailのシステムラベルの「スパム」をメールメッセージに適用して、ユーザのスパムラベルでのみ表示します。

    ライティングスタイル分析の条件に一致する受信メールメッセージは、[処理] のBECに対する設定に関わらず、ここで指定された処理に従います。

    ライティングスタイル分析が1つのメールサービスの複数のポリシーで有効にされている場合は、より優先度の高いポリシーに設定された処理が適用されます。

    ライティングスタイルを検証するための検索から高プロファイルユーザに関連するメールアドレスを除外するには、[高プロファイルユーザの除外リスト] にメールアドレスを追加します。

  3. (オプション) メールメッセージの実際の送信者であると考えられる高プロファイルユーザに通知メッセージを送信するには、[偽装された可能性のある送信者] を選択します。
    • (オプション) 偽装された可能性のある送信者に通知する際、元のメールメッセージを添付ファイルとして追加するには、[元のメールメッセージを添付する] を選択します。

      注:

      [処理][削除] または [隔離] に設定されている場合、このオプションは適用されません。

    • (オプション) 通知メッセージにフィードバックオプションを追加するには、[フィードバックの送信を許可する] を選択します。

      偽装された可能性のある送信者は、[はい] または [いいえ] をクリックすることで、自分が実際にメールメッセージを送信したかどうかの裏付けを行うことができます。この操作は、メールメッセージに対して実行するよう設定された処理には影響しませんが、ライティングスタイル分析の機能向上に役立ちます。

  4. (オプション) [管理者に通知する] を選択します。

    推定されるBEC攻撃を狙うメールが検出され、そのメールメッセージに対して処理が実行されたことを管理者に通知する、ライティングスタイル分析違反用に特別に設計されたメッセージが送信されます。管理者が通知メッセージを受信するかどうかは、[通知] の設定に関わらず、ここで指定された設定に従います。

    • (オプション) [通知の編集] をクリックし、メッセージの内容を必要に応じて変更します。トークンの詳細については、トークン変数リストを参照してください。

    • (オプション) 管理者に通知する際、元のメールメッセージを添付ファイルとして追加するには、[元のメールメッセージを添付する] を選択します。

      注:

      [処理][削除] または [隔離] に設定されている場合、このオプションは適用されません。

高度なスパムメール対策フィルタの処理条件

[Exchange Online] の高度なスパムメール対策フィルタの処理条件は次のとおりです。

  • 詐欺サイト、BEC、フィッシング、ランサムウェア、および不正なスパムメールのカテゴリに対する初期設定の処理は [隔離]、グレーメールに対する処理は [放置]、その他のスパムメールに対する処理は [迷惑メールフォルダに移動] です。

  • Cloud App Security[迷惑メールフォルダに移動] 処理が、高度なスパムメール対策またはその他の検索フィルタが選択されている場合でも、Cloud App Securityは他の検索フィルタでの検索を続けて実行できます。

  • メールメッセージが複数のカテゴリで検出された場合、Cloud App Securityは各カテゴリに設定された処理を組み合わせ、優先度が最も高い処理を実行します。処理の優先度は高い順から、[削除][隔離][迷惑メールフォルダに移動][件名にタグを挿入][放置] になります。

  • メールメッセージの検索が開始された後にユーザによって迷惑メールフォルダに移動、または迷惑メールフォルダから受信トレイに戻された場合、Cloud App Securityは新しい手動検索の開始時にそのメッセージを検索して処理します。

  • [迷惑メールフォルダに移動] 処理の実行後にCloud App Securityによって迷惑メールフォルダに移動されたメールメッセージは、Cloud App Securityによって再度検索および処理されることはありません。

  • メールメッセージがExchange Onlineによって迷惑メールフォルダに移動された場合、Cloud App Securityは対応するスパムメールカテゴリに設定された処理の優先度が [迷惑メールフォルダに移動] より高い場合のみ、そのメールメッセージに対して処理を実行します。

[Gmail] の高度なスパムメール対策フィルタの処理条件は次のとおりです。

  • BEC、フィッシング、ランサムウェア、および不正なスパムメールのカテゴリに対する初期設定の処理は [メールにラベル付け]、その他のスパムメールに対する処理は [スパムメールに移動] です。

  • Cloud App Security[スパムメールに移動] 処理が、高度なスパムメール対策またはその他の検索フィルタが選択されている場合でも、Cloud App Securityは他の検索フィルタでの検索を続けて実行できます。

  • メールメッセージが複数のスパムカテゴリで検出された場合、Cloud App Securityは各カテゴリに設定された処理を組み合わせ、優先度が最も高い処理を実行します。処理の優先度は高い順から、[削除][メールにラベル付け][スパムメールに移動][放置] になります。

  • メールメッセージがGmailによってスパムラベルに移動された場合、Cloud App Securityは対応するスパムメールカテゴリに設定された処理の優先度が [スパムメールに移動] より高い場合のみ、そのメールメッセージに対して処理を実行します。