Microsoft 365 を運用していると、
「メールが届かない」「怪しいメールが来た」「誰がどこに送ったか確認したい」
といった場面が必ず出てきます。
そのときに使う代表的な機能が次の2つです。
- メッセージ追跡(Message Trace)
- Microsoft Defender のエクスプローラー(Threat Explorer)
この2つは似ているようで、目的も視点もまったく違う機能です。
メッセージ追跡とは?
メッセージ追跡は、
メールの配送状況を確認するための機能です。
画面上から確認できる要約レポート、CSVファイルに出力する増補要約レポート、包括的レポートの取得が可能です。
主な確認内容
- 送信者・受信者
- 配信成功/失敗
- スパム判定
- 転送・リダイレクト状況
- 配信日時
- トランスポートルールの適用有無
利用シナリオ
- 「メールが届いていない」と問い合わせがあった
- 社外へ送ったメールが相手に届いているか確認したい
- 共有メールボックスに転送されているか確認したい
- 配信遅延の原因を知りたい
つまり、
“配送の事実確認” が目的
特徴
- Exchange Online のログベース
- 管理センターまたは PowerShell から利用可能
- 過去90日分まで検索可能(標準)
エクスプローラー(Threat Explorer)とは?
エクスプローラーは、
セキュリティ分析・インシデント調査のための機能です。
利用できるのは、E5 や Defender for Office 365 Plan 2 のライセンスを持っている環境です。
メール、URL、ファイルなどの脅威をリアルタイムまたはほぼリアルタイムで可視化・調査・対処 できるのが最大の特徴です。
また、メッセージ追跡との大きな違いは、送信者や受信者、件名だけではなく、DKIMの結果やマルウェア判定されたメールなど詳細な条件指定ができます。
主な確認内容
- フィッシング判定
- マルウェア検出
- URLクリック履歴
- 添付ファイルの動的解析結果
- メールが隔離された理由
- 同様の攻撃メールの横展開確認
利用シナリオ
- フィッシングメールが届いた
- 1人が誤ってURLをクリックした
- 同じ攻撃メールが他ユーザーにも届いていないか確認したい
- 隔離解除してよいか判断したい
- 攻撃キャンペーンの全体像を把握したい
- 特定のメールを削除したい
つまり、
“脅威の分析と横断調査” が目的
機能の違いを整理
| 項目 | メッセージ追跡 | エクスプローラー |
|---|---|---|
| 主目的 | 配送確認 | セキュリティ分析 |
| 視点 | メールの流れ | 攻撃の痕跡 |
| 対象 | すべてのメール | 脅威関連メール |
| URLクリック追跡 | × | ○ |
| 添付ファイル解析 | × | ○ |
| 横展開確認 | × | ○ |
| ライセンス | Exchange Online | Defender for O365 P2 |
実務での使い分け例
ケース①「メールが届いていない」
→ まず メッセージ追跡
配送ログを確認し、
- ブロックされたのか
- 正常に届いているのか
- スパムフォルダ行きか
を特定します。
ケース②「怪しいメールが来た」
→ まず エクスプローラー
- 判定理由
- 他ユーザーへの配信有無
- URLクリック状況
- 自動調査の結果
を確認します。
ケース③「両方使うケース」
例:
- 配信ログは正常
- しかしユーザーが被害に遭った可能性がある
この場合、
- メッセージ追跡 → 配送事実確認
- エクスプローラー → 攻撃分析
本質的な違いとは?
実は一番大きな違いは「思想」です。
メッセージ追跡
インフラ管理者の視点
= メール配送の健全性を確認
エクスプローラー
SOC / セキュリティ担当の視点
= 攻撃の痕跡を追う
つまり、
- Exchange 管理者向け → メッセージ追跡
- セキュリティ運用担当向け → エクスプローラー
