Emotet 自体は数年前からあるウイルスのためマルウェアフィルターにて対策済みではありますが、亜種などについてはフィルター検知をすり抜けることも考えられるため、トランスポートルールにてブロックまたは注意喚起を行う方法を推奨します。
併せて、不審なメールを受信している場合には、マイクロソフト社へ検知漏れの報告などをお願いします。
該当のメールに添付されたファイル拡張子や件名など、共通する条件があれば、トランスポートルールで指定してブロックすることは可能です。
共通する条件によって、トランスポートルールの設定手順は変わってまいります。
下記にトランスポートルールの設定例を記載しますのでご参考ください。
=========================================
■ トランスポートルールによりブロックする
=========================================
[Emotet] のメールがユーザーへ配送そのものが行われないようにするには、トランスポートルールの機能を利用し、[Emotet] のメールに共通する文言やアドレス情報を利用して、配送拒否を行うことが可能です。
しかしながら、[Emotet] を含むすべてのスパムメールの特徴として、頻繁にも文言やアドレス情報が変更される可能性があるため、恒久的な対策は困難であるという点を、あらかじめご留意ください。
1. 管理者権限を持つユーザーにて、#Exchange 管理センター にアクセスし、左側メニューから [メールフロー]> [ルール] をクリックします。
2. [+ (新規作成)] をクリックし、[ルールの新規作成...] を選択します。
3. 以下の設定にてトランスポートルールを作成します。
3-1. [名前] にルール名を任意で入力します。
3-2. [その他のオプション] をクリックします。
3-3. [*このルールを適用する条件…] プルダウン メニューより [件名または本文] > [件名または本文が次のテキストパターンと一致する] の順で選択します。
3-4. 入力に拒否したいメールの件名を入力後、[+] > [OK] の順でクリックします。
※ 本例では https://contoso.com と入力します。
※ キーワードを入力後、[+] > [OK] を繰り返し、複数のキーワードを条件として当窓口することができます。
3-5. [実行する処理] プルダウン メニューより [メッセージをブロックする...] をクリックし、[だれにも通知せずにメッセージを削除する] を選択します。
4. [保存] をクリックします。
※ ルールは保存後、反映までにお時間を要する場合があります。
上記のように設定することで、メールの件名または本文に https://contoso.com という文字列が含まれるメールが、サーバー上で強制的に削除され、送信者へはエラーメールが返らない動作とすることができます。
メール中に URL が含まれる場合などであれば、こういった設定を行うことでユーザーに配送がされないように構成が可能です。
また、条件を変更することでメール中の添付ファイルに特定拡張子が含まれる場合に削除するなど、様々な条件にカスタマイズすることが可能となるため、配送されている Emotet のメールのパターンに合わせてカスタマイズを行ってください。
<参考情報>
#Exchange Online のメール フロー ルール (トランスポート ルール)
=========================================
■ 外部からの添付ファイル付きメールについて注意喚起を促すトランスポートルールの設定
=========================================
Emotet メールについてブロックするための共通の値が見受けられない場合はトランスポートルールを使用したブロックは困難な状況となります。
代替案としてはエンドユーザーへの注意喚起として、外部から受信した Zip ファイル付きのメールについて、件名に文言を追記し注意喚起する方法をご案内します。
1. 管理者権限を持つユーザーにて、#Exchange 管理センター にアクセスし、左側メニューから [メールフロー]> [ルール] をクリックします。
2. [+ (新規作成)] をクリックし、[ルールの新規作成...] を選択します。
3. 以下の設定にてトランスポートルールを作成します。
3-1. [名前] にルール名を任意で入力します。
3-2. [その他のオプション] をクリックします。
3-3. [*このルールを適用する条件…] プルダウン メニューより [送信者] > [外部/内部である] をクリックします。
3-4. 送信者の場所の選択画面にてプルダウンメニューから [組織外] を選択し、[OK] をクリックします。
3-5. [条件の追加] をクリックします。および、[任意の添付ファイル] > [ファイル拡張子が次の単語を含む] をクリックします。
3-6. 単語または語句の指定画面の入力欄に Zip と入力し、[+] > [OK] をクリックします。
3-7. [実行する処理] プルダウン メニューより [メッセージの件名の先頭に追加する]をクリックします。
3-8. 件名のプレフィックスの指定画面内の入力欄に、該当メールの件名の先頭に追加する注意喚起の文言を入力し、[OK] をクリックします。
4. [保存] をクリックします。
※ ルールは保存後、反映までにお時間を要する場合があります。
また、上記トランスポートルールが適用された際、送信先ユーザーにて、ヘッダー情報を確認いただき、From、および Return-Path の値がお取引先のメールアドレスで相違ないか、ご確認ください。
◇ Outlook on the Web にて事象対象メールのヘッダー情報を確認する手順
1. Outlook on the Web の画面を開きます。
2. 該当のメールアイテムを選択します。
3. 画面右上の [返信] [全員に返信] [転送] の右横にある […] アイコンをクリックし、[メッセージの詳細の表示] をクリックします。
4. 表示されたメッセージヘッダー情報をコピーし、テキストに貼り付けます。
◇ eml 形式のメールアイテムのヘッダー情報を確認する手順
※ 本ご案内では Outlook クライアントを使用した確認手順をご案内いたします。
1. Outlook クライアントを起動し、メール画面の受信メール一覧から該当メールをダブルクリックにて開きます。
2. 該当のメールの [タグ] 項目内 [ファイル] をクリックし、画面左側メニュー [情報] から [プロパティ] をクリックします。
3. インターネットヘッダー内のヘッダー情報をコピーし、テキストに貼り付けます。
=========================================
■ 検知漏れ報告の手順
=========================================
1. 全体管理者アカウントにて、#Office 365 セキュリティ/コンプライアンス にアクセスします。
2. 左メニューより、[脅威の管理] > [報告] の順にクリックします。
3. [ホーム > 報告] 画面、左上にあります [+新規の報告] をクリックします。
4. 画面右側に表示されました [新規の報告] 画面より、[オブジェクトの種類] にて [添付ファイル] のラジオボタンを選択し、[参照] ボタンより、添付ファイルを添付します。
5. [報告の理由] にては、[ブロックが必要だった] のラジオボタンが選択されていることを確認し、左下の [送信] ボタンより、報告を行うことが可能です。
併せて、不審なメールを受信している場合には、マイクロソフト社へ検知漏れの報告などをお願いします。
該当のメールに添付されたファイル拡張子や件名など、共通する条件があれば、トランスポートルールで指定してブロックすることは可能です。
共通する条件によって、トランスポートルールの設定手順は変わってまいります。
下記にトランスポートルールの設定例を記載しますのでご参考ください。
=========================================
■ トランスポートルールによりブロックする
=========================================
[Emotet] のメールがユーザーへ配送そのものが行われないようにするには、トランスポートルールの機能を利用し、[Emotet] のメールに共通する文言やアドレス情報を利用して、配送拒否を行うことが可能です。
しかしながら、[Emotet] を含むすべてのスパムメールの特徴として、頻繁にも文言やアドレス情報が変更される可能性があるため、恒久的な対策は困難であるという点を、あらかじめご留意ください。
1. 管理者権限を持つユーザーにて、#Exchange 管理センター にアクセスし、左側メニューから [メールフロー]> [ルール] をクリックします。
2. [+ (新規作成)] をクリックし、[ルールの新規作成...] を選択します。
3. 以下の設定にてトランスポートルールを作成します。
3-1. [名前] にルール名を任意で入力します。
3-2. [その他のオプション] をクリックします。
3-3. [*このルールを適用する条件…] プルダウン メニューより [件名または本文] > [件名または本文が次のテキストパターンと一致する] の順で選択します。
3-4. 入力に拒否したいメールの件名を入力後、[+] > [OK] の順でクリックします。
※ 本例では https://contoso.com と入力します。
※ キーワードを入力後、[+] > [OK] を繰り返し、複数のキーワードを条件として当窓口することができます。
3-5. [実行する処理] プルダウン メニューより [メッセージをブロックする...] をクリックし、[だれにも通知せずにメッセージを削除する] を選択します。
4. [保存] をクリックします。
※ ルールは保存後、反映までにお時間を要する場合があります。
上記のように設定することで、メールの件名または本文に https://contoso.com という文字列が含まれるメールが、サーバー上で強制的に削除され、送信者へはエラーメールが返らない動作とすることができます。
メール中に URL が含まれる場合などであれば、こういった設定を行うことでユーザーに配送がされないように構成が可能です。
また、条件を変更することでメール中の添付ファイルに特定拡張子が含まれる場合に削除するなど、様々な条件にカスタマイズすることが可能となるため、配送されている Emotet のメールのパターンに合わせてカスタマイズを行ってください。
<参考情報>
#Exchange Online のメール フロー ルール (トランスポート ルール)
=========================================
■ 外部からの添付ファイル付きメールについて注意喚起を促すトランスポートルールの設定
=========================================
Emotet メールについてブロックするための共通の値が見受けられない場合はトランスポートルールを使用したブロックは困難な状況となります。
代替案としてはエンドユーザーへの注意喚起として、外部から受信した Zip ファイル付きのメールについて、件名に文言を追記し注意喚起する方法をご案内します。
1. 管理者権限を持つユーザーにて、#Exchange 管理センター にアクセスし、左側メニューから [メールフロー]> [ルール] をクリックします。
2. [+ (新規作成)] をクリックし、[ルールの新規作成...] を選択します。
3. 以下の設定にてトランスポートルールを作成します。
3-1. [名前] にルール名を任意で入力します。
3-2. [その他のオプション] をクリックします。
3-3. [*このルールを適用する条件…] プルダウン メニューより [送信者] > [外部/内部である] をクリックします。
3-4. 送信者の場所の選択画面にてプルダウンメニューから [組織外] を選択し、[OK] をクリックします。
3-5. [条件の追加] をクリックします。および、[任意の添付ファイル] > [ファイル拡張子が次の単語を含む] をクリックします。
3-6. 単語または語句の指定画面の入力欄に Zip と入力し、[+] > [OK] をクリックします。
3-7. [実行する処理] プルダウン メニューより [メッセージの件名の先頭に追加する]をクリックします。
3-8. 件名のプレフィックスの指定画面内の入力欄に、該当メールの件名の先頭に追加する注意喚起の文言を入力し、[OK] をクリックします。
4. [保存] をクリックします。
※ ルールは保存後、反映までにお時間を要する場合があります。
また、上記トランスポートルールが適用された際、送信先ユーザーにて、ヘッダー情報を確認いただき、From、および Return-Path の値がお取引先のメールアドレスで相違ないか、ご確認ください。
◇ Outlook on the Web にて事象対象メールのヘッダー情報を確認する手順
1. Outlook on the Web の画面を開きます。
2. 該当のメールアイテムを選択します。
3. 画面右上の [返信] [全員に返信] [転送] の右横にある […] アイコンをクリックし、[メッセージの詳細の表示] をクリックします。
4. 表示されたメッセージヘッダー情報をコピーし、テキストに貼り付けます。
◇ eml 形式のメールアイテムのヘッダー情報を確認する手順
※ 本ご案内では Outlook クライアントを使用した確認手順をご案内いたします。
1. Outlook クライアントを起動し、メール画面の受信メール一覧から該当メールをダブルクリックにて開きます。
2. 該当のメールの [タグ] 項目内 [ファイル] をクリックし、画面左側メニュー [情報] から [プロパティ] をクリックします。
3. インターネットヘッダー内のヘッダー情報をコピーし、テキストに貼り付けます。
=========================================
■ 検知漏れ報告の手順
=========================================
1. 全体管理者アカウントにて、#Office 365 セキュリティ/コンプライアンス にアクセスします。
2. 左メニューより、[脅威の管理] > [報告] の順にクリックします。
3. [ホーム > 報告] 画面、左上にあります [+新規の報告] をクリックします。
4. 画面右側に表示されました [新規の報告] 画面より、[オブジェクトの種類] にて [添付ファイル] のラジオボタンを選択し、[参照] ボタンより、添付ファイルを添付します。
5. [報告の理由] にては、[ブロックが必要だった] のラジオボタンが選択されていることを確認し、左下の [送信] ボタンより、報告を行うことが可能です。
この記事は役に立ちましたか?
それは素晴らしい!
フィードバックありがとうございます
お役に立てず申し訳ございません!
フィードバックありがとうございます
フィードバックを送信しました
記事の改善におけるご協力ありがとうございます。