ZAP (Zero-hour auto purge) とは、メールがユーザーのメールボックスに受信後にMicrosoft365 のセキュリティによって、スパム、フィッシング、またはマルウェアを検知してメッセージを処理する機能です。
そのため、ZAP が動作しているメールは、一度はユーザーのメールボックスに受信しているメールアイテムとなります。
受信したメールが削除していないのに消えている場合などZAPによる処理の可能性があります。
ZAP でスパムやフィッシングと判定された場合には、スパム対策ポリシー内のアクションに従って処理が行われます。
スパム対策ポリシー内のアクションが [検疫] への隔離ではなく、迷惑メールフォルダーへの振り分けの場合には、検疫に隔離せずに迷惑メールフォルダーへのメールの移動となります。
ただし、ZAP の [信頼度の高いフィッシング (高確度フィッシング )] と判定された場合は、[検疫] への隔離される動作です。
また、ZAP でマルウェアと判定された場合には、[検疫] への隔離動作となり変更することはできません。
マルウェアの ZAP
配信後にマルウェアが含まれていることが検出された 開封済みメッセージまたは未読メッセージ の場合、ZAP 検疫は、マルウェアの添付ファイルを含むメッセージを検出します。 管理者のみが検疫からマルウェアメッセージを表示および管理できます。
フィッシング ZAP
配信後にフィッシング、またはスパムとして識別される 開封済みメッセージまたは未読メッセージ の場合、ZAP の結果は該当するスパム対策ポリシーで フィッシング電子メール フィルター verdict に対して構成されているアクションによって決まります。
スパム ZAP
配信後にスパムとして識別される未読メッセージの場合、ZAP の結果は、該当するスパム対策ポリシーのスパムフィルターの決定に対して構成されているアクションによって異なります。
ZAP により処理されたメッセージについては以下の操作手順にて、[配信後のアクティビティ] レポート画面より確認することもできます。
[配信後のアクティビティ] レポート画面の表示確認方法
1. Microsoft 365 Defender 画面を開きます。
2. 画面左側のメニューより [レポート] をクリックします。
3. [メールとコラボレーション] の下にある [メールと共同作業のレポート] をクリックします。
4. [メールと共同作業のレポート] 画面内の [配信後のアクティビティ] のレポートをクリックします。
5. [配信後のアクティビティ] 画面の [フィルター:] 内の日付の項目をクリックして、該当メールの送受信日時を含むように日付の開始日と終了日を設定して表示します。
また、検疫に隔離されたメールは、管理者にて検疫画面からダウンロートすることや、解放してユーザーに受信することが可能です。
検疫に隔離されたメールを確認・解放する手順
1. 管理者アカウントにて Microsoft 365 Defender (https://security.microsoft.com) にアクセスします。
2. 左メニューより (メールとコラボレーション内の) [確認 ] > [検疫] の順にクリックします。
3. 検疫されたメールの一覧が表示されます。([検疫の理由] の欄にて、検疫された理由を確認することができます)
4. 任意のメールをクリックし、右側に表示されました [詳細] 画面より [メールを解放する] をクリックします。
5. 該当のメッセージに複数の受信者が存在する可能性も踏まえ、以下の選択を行います。
・[すべての受信者にリリース] : メッセージを本来の受信者すべてに配送します。
・[特定の受信者にメッセージをリリースする] : メッセージを解放する受信者を指定して、指定した受信者のみに配送します。
・[このメッセージのコピーを他の受信者に送信] : 解放先のメールアドレスを指定し、指定したメールアドレスへ配送します。
※ [Microsoft にメッセージを送信して検出を改善する(誤検知)] にチェックを入れている場合は、メッセージを本来の受信者に配送した上で、該当メールアイテムをスパム解析チームへ検体として提出します。
スパム解析チームへの誤検知報告はスパム判定基準の見直しとして利用されます。
6. [メッセージを解放する] をクリックします。
※ [検疫] に隔離されたメッセージは、自動的に削除されるまで既定の期間保持されます。
下記に検疫にメールが保持される日数について記載します。
・スパム : 既定では 15 日、スパムフィルターで 1 ~ 30 日の間で変更可能
・マルウェア : 30 日
また、メールボックスに受信後のメールに対して ZAP にてメールが処理される動作は、スパム対策ポリシーとマルウェア対策ポリシーのそれぞれで、ZAP 機能をオフにすることが可能です。
スパム対策の ZAP の無効化方法
Microsoft 365 Defender > メールとコラボレーション > ポリシーとルール > スパム対策 > 迷惑メール対策の受信ポリシー (既定) をクリックして、[アクションの編集] > [ゼロアワー自動消去 (ZAP)] のチェックボックスを外して、[保存] をクリックします。
※ [迷惑メール対策の受信ポリシー (既定)] 以外に、[種類] が [カスタム迷惑メール対策ポリシー] のポリシーを作成している場合には、該当カスタムポリシー側でも同様に変更可能です。
マルウェア対策の ZAP の無効化方法
Microsoft 365 Defender > メールとコラボレーション > ポリシーとルール > マルウェア対策 > Default (既定) をクリックして、[保護設定を編集] > [マルウェアのゼロアワー自動消去を有効にする] のチェックボックスを外して、[保存] をクリックします。
※ [Default (既定)] 以外にポリシーを作成している場合には、該当カスタムポリシー側でも同様に変更可能です。
フィルター更新によって再評価の結果、スパムなどと判定されたメールは、各フィルターの検知時のアクションにしたがって処理されるため、必ずしも削除される動作とはなりません。
※マルウェアと判定された場合は、検疫に隔離されます