Microsoft 365 Defenderのフィッシング対策ポリシーに [偽装] と[なりすまし] の設定がありますが、以下のような違いがあります。
偽装 について
保護設定で [メールボックス インテリジェンスを有効にする] と [偽装保護のためのインテリジェンスを有効にする] を有効にすることで、メールボックスインテリジェンス結果からの偽装として検出されたメッセージに対して、実行するアクションの選択が可能となります。
[偽装] は、紛らわしく混同しやすい文字列を使用して、ユーザーに特定のユーザーが送信者である、あるいは特定のドメインから送信されていると思わせることを目的としています。
例 : [rnicrosoft.com] の [rn] は [m] に似ており、[microsoft.com] を偽装しています。
メールアドレスの見た目によるなりすましの手口で、メールボックス名やドメイン名の文字の一部分を入れ替え、追加、削除、誤認しやすい他の文字への入れ替えを行ったものです。
ポリシーの保護設定の [偽装] > [0 人の送信者を管理] に対象ユーザー [admin@contoso.com] を指定すると、[admin@contoso.com] を装った送信元などからのメールを受信した場合に、偽装であると判定します。
[メールボックス インテリジェンスを有効にする] をオンにすると偽装に関しては AI が検知します。
ただし、[偽装保護のためのインテリジェンスを有効にする] を有効化しない場合、偽装として検知されたメールに対して何も対処が適用されない動作となります。
[偽装保護のためのインテリジェンスを有効にする] を有効にして、偽装として検知されたメールにはアクションを行うよう定義してください。
[偽装保護のためのインテリジェンスを有効にする] が有効になっていない場合、フィッシング対策ポリシーの [アクションの編集] にて、[メールボックス インテリジェンスが偽装されたユーザーを検出した場合] がグレーアウトして編集できないことからも、[偽装保護のためのインテリジェンスを有効にする] は検知されたメールへのアクションを適用するための設定であることが伺えます。
なりすまし について
保護設定で [スプーフィング インテリジェンスを有効にする] を有効にすることで、メッセージを総合的に判断し、送信者のドメインと送信元 IP アドレスなどに差異がある場合に、なりすましメールとして判定しブロックします。
[なりすまし] はドメインを対象とした機能となり、[microsoft.com] のような特定のドメインへなりすましているものです。
各項目の、設定の詳細についてまとめましたので参考としてくださいね。
保護設定を編集
ユーザーの保護を有効にする
保護対象のユーザーに登録した場合には、登録したユーザーに偽装した外部からのメールを、偽装されたメールとして検知するという機能です。
また、保護対象のユーザーに登録しない場合は、ユーザーの偽装保護は機能せず、偽装されたメールを受信した場合にも偽装として検知しない動作となります。
既定では、ユーザーの偽装保護用に送信者の電子メールアドレス が構成されていません。 したがって、既定では、送信者の電子メール アドレスは、既定のポリシーまたはカスタムポリシーの偽装保護によってカバーされません。
内部または外部の電子メールアドレスを ユーザー に追加してリストを保護すると、それらの送信者からのメッセージは偽装保護チェックの対象になります。
ドメインの保護を有効にする
"自分が所有するドメインを含める" をオンにした場合、テナント内に存在するドメインに偽装して外部から送られてきたメールを、偽装として検知する動作となります。
オフにした場合は、テナント内のドメインに偽装されて送られてきたメールを検知しない動作となります。
"カスタムドメインを含める" をオンにしてドメインを指定した場合は、指定したドメインに偽装されて送られてきたメールを検知する動作となります。
オフの場合は、偽装されたメールを受信した場合にも検知しない動作となります。
既定では、[保護するドメインを有効にする] で偽装保護用に送信者 ドメインが構成されていません。 したがって、既定では、既定のポリシーまたはカスタムポリシーでは、偽装保護の対象となる送信者ドメインはありません。
ドメインを [保護するドメインを有効にする] リストに追加すると、それらのドメインの送信者からのメッセージは偽装保護チェックの対象です。 ポリシーが適用される受信者 (既定のポリシーのすべての受信者)にメッセージが送信された場合、メッセージは偽装のチェックを受け取ります。
メールボックスインテリジェンスを有効にする
機械学習アルゴリズムを適用し、ユーザーのメールフロー情報が蓄積されていくにつれて [偽装] や [なりすまし] メールから保護をさらに強化する機能です。
[メールボックス インテリジェンス] 機能によって蓄積されたフロー情報において、[偽装] や [なりすまし] 判定の判断材料となります。
普段と異なる経路からのメッセージに対しても、[メールボックス インテリジェンス] 機能によって蓄積されたフロー情報より、[偽装] や [なりすまし] 判定となされる動作は想定される動作となります。
頻繁に連絡先を使用してユーザーの電子メールパターンを決定する人工知能 (AI) を有効または無効にします。
この設定は、AI がメッセージと正当な送信者と偽装された送信者を区別するのに役立ちます。
偽装保護のためのインテリジェンスを有効にする
この設定を有効にすることで、メールボックスインテリジェンス結果からの偽装として検出されたメッセージに対して、実行するアクションの選択が可能となります。
本機能を有効にしない場合、[メールボックス インテリジェンス] を有効にしていても、何も処理されない動作となります。
アクションは以下の通りです。
- 処理を何も適用しない : [メールボックス インテリジェンス] をオン、 [偽装保護のためのインテリジェンスを有効にする] をオフにした場合と同じ結果 になります。
- メッセージを他のメールアドレスにリダイレクトする
- メッセージを受信者の迷惑メールフォルダーに移動します
- メッセージを検疫する
- メッセージの配信と [BCC] 行への他のアドレスの追加を行う
- 配信される前にメッセージを削除する
スプーフィングインテリジェンスの有効/無効を確認する手順
1. 管理者の権限を持つアカウントで Microsoft 365 Defender (https://security.microsoft.com) へサインインします。
2. 左側メニュー [メールとコラボレーション] > [ポリシーとルール] > [脅威ポリシー] > [フィッシング対策] をクリックします。
3. [Office365 AntiPhish Default (既定)] をクリックします。
4. [保護設定を編集] をクリックします。
5. "なりすまし" の [スプーフィング インテリジェンスを有効にする (推奨)] にチェックが入っている場合は有効、チェックが入っていない場合は無効です。
※ 有効にする場合は、チェックを入れて [保存] をクリックします。
スプーフィングとして検出したメールに対するアクションを確認する手順
1. 管理者の権限を持つアカウントで Microsoft 365 Defender (https://security.microsoft.com) へサインインします。
2. 左側メニュー [メールとコラボレーション] > [ポリシーとルール] > [脅威ポリシー] > [フィッシング対策] をクリックします。
3. [Office365 AntiPhish Default (既定)] をクリックします。
4. [アクションの編集] をクリックします。
5. [メッセージがスプーフィング インテリジェンスによってスプーフィングとして検出された場合] の項目にて確認することができます。プルダウンから [メッセージを検疫する] または、[メッセージを受信者の迷惑メールフォルダに移動します] を選択することができます。
※ [スプーフィングインテリジェンスを有効にする (推奨)] が無効の場合、こちらの項目はグレーアウトされます。
[メールボックス インテリジェンスを有効にする] [偽装保護のインテリジェンスを有効にする] の確認、および、有効化の操作手順
1. 管理者権限を付与したアカウントにて、Microsoft 365 Defender (https://security.microsoft.com) にサインインします。
2. 左側メニューより [ポリシーとルール] > [脅威ポリシー] > [フィッシング対策] の順にクリックします。
3. 該当のポリシーを選択します。
※ カスタムポリシーを作成していない場合は、[Office 365 AntiPhish Default (既定)] のみ表示されています。
4. 画面右側の設定画面より、[保護設定を編集] をクリックします。
5. [保護設定を編集] の [偽装] の項目にて [メールボックス インテリジェンスを有効にする] また [偽装保護のためインテリジェンスを有効にする] にチェックをつけ、[保存] > [閉じる] をクリックすることで設定が可能となります。
※ [偽装保護のためインテリジェンスを有効にする] がオンになっていることで、以下の操作にてメールボックスインテリジェンスが偽装されたユーザーを検出した場合のアクションを選択することが可能です。
6. 下部までスクロールし、[アクションの編集] をクリックします。
7. [メールボックス インテリジェンスが偽装されたユーザーを検出した場合] 項目の値を確認します。
8. 必要に応じてプルダウンメニューからアクションを選択します。