[マルウェアフィルター]では、一般的にメールの内容や添付ファイルの内容をパターンファイルとマッチングし、既知のマルウェア (ウィルス) に一致する可能性が高いと判断された場合にマルウェアとして検出します。
マルウェアフィルターの検出方式につきましては、パターン検出とヒューリスティック検出の両方に対応しており、未知のマルウェアについては、ヒューリスティックという手法をとっており、ファイルのプログラムを確認し、内容から評価し判断します。
ATPでは動的ヒューリスティックを採用しており、実際にプログラムを実行し判断する。
Exchange Online Protection (EOP) のマルウェア フィルターは、マイクロソフト製とサードパーティー製の複数のエンジンから構成され、マルウェア定義をリアルタイムで更新し、メール受信時点での最新の定義にて都度判断を行っています。
各マルウェア検出システムそれぞれに定義が存在しており、他社のシステムではマルウェアと判定しないファイルでも、Exchange Online では様々な観点からマルウェアと判定する場合や、その逆の場合もあります。
このため、Exchange Online では正常なフィルタリングを行っていても、他のマルウェア対策システムでの検出結果と異なる場合もあります。
また、マルウェアフィルターは複数のエンジンで構成されていることから、更新のタイミングでタイムラグなどがあった場合には検知されない新種のマルウェアを受信する事象が発生する可能性も考えられます。
■ [マルウェアが検出されたときの処置] について
[いいえ] の場合
マルウェア検知された添付ファイルおよびメールアイテムは受信者に配送されず [検疫] に隔離されます。
添付ファイルの有無に関わらず、通知メールも受信者には配信されません。
※既定では [いいえ] となっています。
[はい。既定の通知テキストを使用します。] の場合
マルウェア検知された添付ファイルを、[Malwere Alert Text.txt] に置換して受信者にメールを配信します。
同時に元メールアイテムは [検疫] に隔離されますが、管理者が [検疫] から解放することで、元メールを受信者に配信することが可能です。
また、添付ファイルがないメッセージがマルウェアとして検知された場合、メールアイテム自体は受信者に届きません。
※送信時にマルウェアと判定された場合も同様の動作となります。
<通知の内容>
(日本語)
この電子メール メッセージに含まれる 1 つ以上の添付ファイルでマルウェアが検出されました。
処理: すべての添付ファイルは削除されました。
※ ここにマルウェア検知された添付ファイル名が表示されます。
(英語)
Malware was detected in one or more attachments included with this email message.
Action: All attachments have been removed.
※ ここにマルウェア検知された添付ファイル名が表示されます。
[はい。独自の通知テキストを使用します。] の場合
マルウェア検知された添付ファイルを、管理者が指定した件名や本文の通知テキストファイルに置換して受信者にメールを配信します。
同時に元メールアイテムは [検疫] に隔離されますが、管理者が [検疫] から解放することで、元メールを受信者に配信することが可能です。
また、添付ファイルがないメッセージがマルウェアとして検知された場合、メールアイテム自体は受信者に届きません。
■送信者や管理者に通知を配信することができるか?
既定では送信者や管理者には、マルウェアフィルターでマルウェアと判定された場合でも、通知は配信されません。
なお、通知設定はありますので、設定することで、管理者や送信者に通知を配信することができます。
以下に手順を記載いたします。
マルウェアフィルターにて送信元に通知メールを配信する設定手順
- 管理者ユーザーにて、Exchange 管理センター (https://outlook.office365.com/ecp/) にアクセスします。
- 画面左の [保護] から、画面中央の [マルウェアフィルター] が表示されていることを確認します。
- 一覧から設定を変更したいポリシーをダブルクリックします。
※規定では [Default] のみとなってます。
- [設定] をクリックします。
- [内部送信者に通知する] および [外部送信者に通知する] のチェックを入れます。
- [保存] をクリックします。
マルウェアフィルターにて管理者に通知メールを配信する設定手順
- 管理者ユーザーにて、Exchange 管理センター (https://outlook.office365.com/ecp/) にアクセスします。
- 画面左の [保護] から、画面中央の [マルウェアフィルター] が表示されていることを確認します。
- 一覧から設定を変更したいポリシーをダブルクリックします。
※規定では [Default] のみとなってます。
- [設定] をクリックします。
- [内部送信者からの配信されなかったメッセージを管理者に通知する] および [外部送信者からの配信されなかったメッセージを管理者に通知する] のチェックを入れます。
- 入力欄に通知メールを送信する宛先を入力します。
※ 指定できる通知先は 1 つのみとなります。
- [保存] をクリックします。
通知の配信先に複数のアドレスを指定したい場合につきましては、配布グループを指定することで可能です。
マルウェアフィルター [送信者への通知] [管理者への通知] 既定文
<日本語版>
差出人 : ポストマスター <postmaster@テナントの受信者のドメイン>
件名 : 配信できないメッセージ
このメッセージはメール配信ソフトウェアによって自動的に作成されました。1 つまたは複数の添付ファイルにマルウェアが検出されたため、電子メール メッセージは指定した受信者に配信されませんでした。すべての添付ファイルは削除されました。
--- Additional Information ---
Subject: <件名>
Sender: <送信者のメールアドレス>
Time received: <受信日時>
Message ID: <メッセージ ID>
Detections found: <添付ファイル名とマルウェア名>
<英語版>
差出人 : postmaster <postmaster@テナントの受信者のドメイン>
件名 : Undeliverable message
This message was created automatically by mail delivery software. Your email message was not delivered as is to the intended recipients because malware was detected in one or more attachments included with it. All attachments were deleted.
--- Additional Information ---
Subject: <件名>
Sender: <送信者のメールアドレス>
Time received: <受信日時>
Message ID: <メッセージ ID>
Detections found: <添付ファイル名とマルウェア名>
■ マルウェア判定を回避できる方法はあるか?
特定の送信者からのメールはマルウェア判定を回避するなどといった設定による回避はできません。
ただし、[マルウェアフィルター] では、パスワード保護された Zip ファイルについては、ファイルの中をスキャンすることができないため、添付ファイルをパスワード保護された zip ファイル形式にして送信することにより、マルウェアの処理を回避することが可能です。
1234 など簡単なパスワードの場合は回避できない場合があります。