皆さんこんにちは、研究開発部の西村です。
Eメールはほぼ全ての会社で利用されており、会社間のコミュニケーションツールとして簡単に使いやすい反面、悪性添付ファイルによるマルウェア感染等の気を付けるべきポイントも多々あります。
マルウェアの感染経路の1つとしてEメールの添付ファイルが用いられており安全性を確保する必要があるのですが、後述するパスワード付き添付ファイルにより対策が困難になっています。
一般に、パスワード付き添付ファイルを考慮したEメールのセキュリティ対策というとBox等のクラウドストレージサービス上でのファイル共有や、クラウドストレージとMail2Cloud等を組み合わせた添付ファイルを分離させて受信する方法などが挙げられますが、今回はExchange Onlineを用いて簡易に実施できるパスワード付き添付ファイルのための設定について、その手法や特徴についてご紹介したいと思います。
- Exchange Onlineで設定するメリット
- メールフロールールの基本
- パスワード付き添付ファイルをブロックするためのメールフロールールの作成
- 特定の送受信者のみパスワード付き添付ファイルを許可するためのメールフロールールの作成
- 制約事項
- おわりに
Exchange Onlineで設定するメリット
今回、Exchange Onlineを用いてパスワード付き添付ファイルの受信を禁止することで、ウイルスチェックの回避防止を目的とした設定の導入を行います。
この設定は、Exchange Onlineの機能の一つであるメールフロールールを用いることで実現可能となるのですが、Exchange OnlineおよびメールフロールールはMicrosoft365を利用している方(MS365 Business (Basic、Standard、Premium)、Enterprise (E1、E3、E5、F3) およびExchange Online プラン のいずれかに加入している方)であれば利用可能であるため、追加の契約やコスト無しで手軽に対策を実施できます。
一方、パスワード付き添付ファイル対策を目的として利用する場合には後述するような制約事項もあるため、そちらも踏まえて導入を検討する必要がありそうです。
メールフロールールの基本
メールフロールールは「Exchange 管理センター」>「メール フロー」 > 「ルール」から設定が可能となります。
作成したルールには優先度を設定することができ、優先度順にルールの処理が行われます。
以下はメールフロールールの一例になります。
メールフロールールは、「条件」、「例外」、「アクション」、「プロパティ」の4項目で構成されており、基本的には「条件」を満たし「例外」に該当しないメールに対して「アクション」を行う、といった流れでルールが処理されます。
条件や例外、アクションについては1つのルール中で複数設定することが可能です。
また「プロパティ」では、以下のようにメールフロールールのポリシーや適用期間などの細かい設定が可能です。
パスワード付き添付ファイルをブロックするためのメールフロールールの作成
パスワードが付いたファイルが添付されたメールをブロックするための設定について説明します。
条件
「条件」の項目では、受信を拒否したい添付ファイルの条件について設定を行います。
メールの添付ファイルに関する条件*1のうち、パスワード付き添付ファイル対策のために実用できそうな2つの条件を紹介します。
条件名「任意の添付ファイルがパスワードで保護されている場合」
この条件を適用することで、パスワードで保護されたファイルがメールに添付されている場合に、メール送受信のブロックなどのアクションを実行できるようになります。
複数のファイルが添付されている場合、1つでもファイルがパスワード保護されていればこの条件に該当します。
懸念点として、検査対象となるファイルがOffice ドキュメント(xlsx, pptx等)、.zip ファイル、.7z ファイルに限られていることが挙げられます。
これら拡張子を持つファイル以外を対象としたルールを設定したい場合には、別途条件を追加する必要があります。
条件名「任意の添付ファイルのコンテンツを検査できない場合」
パスワード保護されたファイルを含む、内容を検査できない添付ファイルの送受信をトリガーに何らかのアクションを実施することが可能となります。
先程のルールと異なり様々な拡張子を検査の対象としていますが、サポートされていない拡張子のファイルを受信した場合にも条件の対象となってしまいます。*2
そのため、予期していないメールがブロックされてしまい、業務等への支障が出てしまう可能性も考えられます。
実際にこの条件を用いて検証を行った際には、Teamsからの通知メールが検知されてしまうなど、誤検知が多く発生してしまいました。
アクション
「アクション」の項目にて、条件に該当するメール受信時の処理を設定できます。*3
アクション名「説明を示してメッセージを拒否する」
条件に該当するメールをブロックしたうえで、送信者に任意のメッセージを送信することができます。
上記の例の場合、送信者には以下のようなメールが届きます。
この場合、「セキュリティ規定により ~ お願いいたします。」までがルール上で設定した通知メッセージになります。
アクション名「受信者にメッセージを通知する」
上記の設定のみだと受信者側には何の通知も届かないため、メールがブロックされたことを把握できません。
この設定を導入することで、受信者側にもメッセージを送信することができます。
また、通知メッセージには、送受信者や件名、送信日時などの情報を含めることが可能です。
上記のルールの場合、メールがブロックされた際に受信者へ以下のようなメッセージが通知されます。
ここまでの条件・アクションをまとめた、以下のようなルールを作成することでパスワード付き添付ファイルの受信を禁止することが可能となります。
特定の送受信者のみパスワード付き添付ファイルを許可するためのメールフロールールの作成
ここまでの説明で、パスワード付き添付ファイルの受信を拒否するためのルールは設定完了となります。
以下では、各種制約により特定の送信者/受信者のみパスワード付き添付ファイルを許可せざるを得ない場合に追加するルールについて説明します。
特定の受信者のみ、特定の送信者からのパスワード付き添付ファイル受信を許可する
業務の都合上、メールにてパスワード付きファイルの受領を行わなければならない場合や、段階的に受信拒否の設定を導入したい場合など、ブロックを行うルールに穴を開ける必要が出た際に設定するルールになります。
特定の社員のみ、特定のアドレス/ドメインからの送信されたパスワード付き添付ファイルの受信を許可する設定を想定します。
- 先程説明したブロックを行うためのルールに、送信者のアドレス/ドメインを例外として追加
- ブロックのためのルールよりも優先度の低いルールに、送信者のアドレス/ドメインを条件として持つ、ブロックを行うルール同様受信をブロックするルールを作成
- 上記ルールに、例外として受信者のアドレスを追加
注意事項
一部の送受信者のみパスワード付き添付ファイルを許可するルールを設定する際には、以下のような注意が必要となります。
グループアドレスへの受信を許可する場合
Azure ADで管理されたグループに紐づいたアドレスへ送られたパスワード付き添付ファイルの受信を許可したい場合、グループアドレスそのもののほかに、グループに所属するメンバーのアドレスも例外として追加する必要があります。
例外への追加が漏れてしまったメンバーがいた場合には、送信者宛にメールがブロックされた際の通知が送信されてしまうため注意が必要です。
メールの転送を行う場合
別のメールフロールール等でメールの転送を行うよう設定しており、転送元のアドレスでパスワード付き添付ファイルの受信を許可する場合は、グループアドレス同様に転送先のアドレスも明示的に許可する必要があります。
制約事項
ここまでExchange Onlineのメールフロールールにてパスワード付き添付ファイル対策を実現するための手法について説明を行ってきましたが、検証していた中で直面した制約事項についてまとめます。
ルールに対応しない拡張子が存在する
ルール設定に関する説明でも記載した通り、現実的に実用できそうな条件では検査対象となるファイルがOffice ドキュメント(xlsx, pptx等)、.zip ファイル、.7z ファイルに限られてしまいます。
パスワード付きファイルが対象外の拡張子で送られてきた場合には対応することができません。
ただし、実際のファイル名拡張子ではなくファイルのプロパティから拡張子の検査を行っているため、拡張子名を変更したファイルなどのルール回避は防ぐことができます。*4
ブロックされたメールの本文を確認することができない
メールがブロックされた場合に、ブロックされたメールの送受信者や件名については通知を行うことが可能なのですが、本文がどのようなものであったかについては確認ができません。*5
内容を確認するためにはメールの再送依頼を行う必要があり、重要なメールがブロックされてしまった場合には業務への影響が懸念されます。
別途ファイル共有ツールの導入を検討する必要がある
Exchange Onlineで実現可能なのはパスワード付きファイルが添付されたメールのブロックまでであるため、ファイルをよりセキュアな方法で送受信するためには別途ファイル共有ツールの導入が求められます。
すでにMicrosoft365が導入されている場合であれば、SharePointやOneDriveを用いてファイル共有を行うことで対応が可能です。
おわりに
以上、Exchange Onlineを用いたパスワード付き添付ファイルのための設定について説明を行いました。
本記事がパスワード付き添付ファイル対策を検討している方の一助になれば幸いです。
*1:Exchange Online で、メール フロー ルールを使用してメッセージの添付ファイルを検査する | Microsoft Learn
*2:メール フロー ルールによるコンテンツ検査でサポートされているファイルの種類 | Microsoft Learn
*3:Exchange Online でのメール フロー ルールの処理 | Microsoft Learn
*4:Exchange Online で、メール フロー ルールを使用してメッセージの添付ファイルを検査する | Microsoft Learn
*5:Mail flow rule actions in Exchange Online | Microsoft Learn