公開日
2023年10月27日
新人SEからVision Oneマスターに、私はなる! #6 Cyber Risk Assessment:メールボックス診断
こんにちは、セールスエンジニアリング部 Vision Oneオンボーディングチームの森川です。
「新人SEからVision Oneマスターに、私はなる!」シリーズ 第6回の本編では、
Trend Vision One™ (以下、Vision One) の『Cyber Risk Assessment』の機能で、メールボックスの脅威を検索することができる『メールボックス診断』について、
説明から実際の使い方の流れまでスクリーンショット付きで詳しくご紹介します。
なお本シリーズは実際の機能説明となりますので、前段となる以下2つの記事を先に読んでいただくことでより理解が深まります!
・「#1 進化するマルウェアとその対策:EDR/XDRの重要性」
・「#2 トレンドマイクロのEDR/XDRを簡単に紹介」
本記事はVision Oneをご登録いただかなくても最後までお読みいただけますが、この機会に是非無料体験版をお試しいただけると幸いです!
Vision One登録手順につきましてはこちらの記事をご参照ください。
一緒にVision Oneマスターになりましょう!
1. なぜメールボックスの診断が必要なのか?
まずはじめに「メールボックス診断」とはどのようなものかご紹介します。
Vsion One メールボックス診断では、自身の過去15~30 日間 (スパムを含む) に送受信されたクラウドメール*ボックス内のメッセージを対象に、「脅威となるメール」のすり向け有無を診断できます!
診断の実施により、メールボックスがリスクにさらされていないか確認することができるとともに、診断結果から今後の対策をたてることができます。
※Microsoht Office 365 Exchange Online / Google Workspace G-mail
それではなぜメールボックスの診断が必要なのでしょうか?
その理由は大きく2つあります。
1つ目は、グローバル平均と比べて日本のEMOTET*検出件数は約15倍で、日本が最も狙われている現状だからです。
EMOTET*の脅威は、あなたの身近に迫っています。
2022年第1四半期、弊社はEMOTET*の新亜種を複数用いた感染活動をさまざまな地域や業界で数多く発見しました。
特にEMOTET*の感染被害の多くは日本国内で確認されていることが分かっています。
2022年第1四半期におけるEMOTET検出台数(地域別)
グラフ:トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network (SPN)」のデータに基づく。
※第1四半期中(2022年1月~3月)に同一端末にて複数回検知があった場合でも1カウント
2つ目は、クラウドメールの脅威はEMOTET*以外にも広がっているからです。
EMOTET*メールに限らず、クラウドメールの標準セキュリティをすり抜ける高リスクのメールが報告されています。
数ある攻撃経路の中でも最も侵入しやすいEメールが依然として悪用されるケースが多く、猛威を振っています。
参考:クラウドメール脅威ラウンドアップ 2021年版/2022年版より
※EMOTET:主にEメールを介して感染するマルウェアです。
このようにビジネスメールが高いリスクにさらされていることがご理解いただけたかと思います。
本記事では弊社が提供しているメールボックス診断についてご紹介します!
メールボックス診断はVision Oneの『Cyber Risk Assessment』という機能にて実施できるため、まずは簡単に『Cyber Risk Assessment』について説明します。
Cyber Risk Assessmentとは?
Cyber Risk Assessmentでは、クラウドメールボックス、エンドポイント、および環境内を検索して、既存のセキュリティソリューションを回避している可能性のある脅威を検出します。
その中でも本記事ではサイバー攻撃を受けやすいクラウドメールボックスに着目し、「メールボックス診断」についてご説明します。
2.メールボックス診断を行う前の確認事項
さて、「メールボックス診断」に興味を持っていただけましたでしょうか?
実際に検証してみないと活用方法のイメージがわかないと思うので、動作確認を行っていきましょう。
まず、メールボックス診断を行う前の事前準備を行います!
Office 365/Microsoft 365のメールサービスをご利用の場合と、Google Workspaceのメールサービスをご利用の場合で手順が異なりますので、以下それぞれご説明します。
①Office 365/Microsoft 365のメールサービスをご利用の場合
1. Vision Oneコンソール左側にて、[Assessment] > [Cyber Risk Assessment] を選択します。
「Exchange Onlineメールボックス/Gmail診断」欄の下部にある 「診断の開始」ボタンをクリックすると表示される「Office 365」を選択します。
2. 「組織内のすべてのメールボックスの検索」または、特定の「メールボックスを検索」を選択し、「権限を付与」をクリックします。
3. リスク診断をおこなうために検索対象となるMicrosoft 365 (Office 365) のアカウントが、メールボックス等の読み取り権限のアクセスが必要となるため、
「要求されているアクセス許可 組織のレビュー」画面で内容を確認のうえ「承諾」ボタンをクリックします。
4.「診断範囲」の内容を確認し、「診断の開始 →」ボタンをクリックします。
②Google Workspaceのメールサービスをご利用の場合
1. Vision Oneコンソール左側にて、[Assessment] > [Cyber Risk Assessment] を選択します。
「Exchange Onlineメールボックス/Gmail診断」欄の下部にある 「診断の開始」ボタンをクリックすると表示される「Google Workspace」を選択します。
2.必要な手順が表示されますので、「アプリのインストール」をクリックします。
3.Google Workspace MarketplaceでTrend Micro Security Assessment Serviceのアプリが表示されます。
「ログイン」をクリックします。
4.Googleのログイン画面が表示されますので管理者アカウントでログインし、リスク診断をおこなうために検索対象となるアカウント、メールボックス等に対してアクセスが必要となるため、「管理者によるインストール」をクリックします。
5.インストール前の確認画面に遷移しますので、内容を確認し、「続行」をクリックします。
6.リスク診断をおこなう検索対象を全ユーザまたは特定のユーザのみから選択し、利用規約の同意にチェックを付け、「完了」をクリックします。
7.Security Assessmentの画面に戻り、「サインイン」をクリックします。
8.管理者アカウントでログインし、権限が正常に付与されると以下のような画面が表示されます。
「診断範囲」を確認し、「診断の開始」をクリックします。
3.メールボックス診断を行ってみよう!
それでは手順2にて事前準備を完了されたかと思いますので、Assessmentのメールボックス診断ツールを用いて、メール診断を実施してみましょう!
1.診断設定の開始
1. リスク診断が開始されます。診断時間はメールの環境によって異なります。
この画面を終了しても診断は継続されるため、画面を閉じても診断の動作には影響ありません。
2. 診断開始時と完了時に利用アカウント作成時に登録をしたメールアドレスへメールが送信されます。
診断完了メールに記載されたURLリンクからTrend Micro Security Assessment Serviceサイトへアクセスします。
3.ご利用のアカウントでログインすることにより、診断結果が表示されます。
4.メールボックス診断結果の見方
『3.メールボックス診断を行ってみよう!』の結果はレポートにて確認することができます!
レポートの概要
レポートから以下の最新脅威に対してお客さまのメール環境がどの程度守られているのかを確認することができます。
・ビジネスメール詐欺
・フィッシング
・悪意のあるファイル
・不正なURL
レポートの見方
Assessmentのメール診断結果画面よりレポートのダウンロードが可能です。
「レポートのダウンロード」をクリックすると、PDF形式のレポートがダウンロードされます。
レポートでは以下の項目が確認できます。
※検出されなかった項目は表示されません。
※サンプルは英語ですが、レポートは日本語で出力されます。
それでは、レポートの見方について詳しく紹介していきます。
①概要
検索対象となったメールの総数と各脅威に該当する可能性があるメール・ファイル・URLの件数が記載されます。
※全メッセージには迷惑メールフォルダに含まれるメールの件数が含まれます。
②影響を受けたユーザ(上位)
脅威の検知数を踏まえ、悪意のある攻撃を最も受けているユーザをランキング形式で表示します。
「役職(部門)」、「関連するエンドポイント」はお客さま環境の設定に依存するため、表示されない場合があります。
③ビジネスメール詐欺メッセージの受信者(上位)
ビジネスメール詐欺(BEC)の可能性があるメールを受信したユーザをランキング形式で表示します。
④フィッシングメールの受信者(上位)
フィッシング詐欺の可能性があるメールの受信者をランキング形式で表示します。
⑤ランサムウェアの検出(上位)
検出されたランサムウェアをランキング形式で表示します。
5.再度メールボックス診断を実施する方法
1.レポート画面右上の「新規診断の開始」をクリックします。
2.再度メール診断を実施すると過去に収集されたデータは削除されますので、再実施前にレポートのダウンロードをすることを推奨いたします。
問題ない場合、「続行」をクリックします。
6.もしメールの脅威が検出されてしまったら...
Email SensorをVision Oneに連携いただくことにより、Microsoft365 Exchange OnlineまたはGoogle Workspace Gmailのメールに対して、詳細調査や隔離・削除処理といった事後対策を実現することができます。
Email Sensorは以下の理由から簡単に導入できます!
・Exchange OnlineやGmailとAPI連携することにより導入できるため、コンソール上で数クリックするのみで導入が完了し、ソフトウェアのインストールなどの作業は不要です。
・自動防御対策を当社以外のセキュリティ対策製品で担っている場合でも導入することが可能です。
また、Email SensorとVision Oneを連携すると大きく3つメリットがあります。
①XDRアラートにて「誰から(送信者)」「誰へ(受信者)」「どのようなメール(不審なURL・ファイル)」が送られているかを可視化できるので、過去のログを辿る等の作業を行う必要なく起点となるメール脅威の特定まで行い、調査時間の短縮が期待できます。
②メールの隔離または削除もVision Oneコンソール上で実施できるので、事後対応へ要する時間も短縮できます。
③MXレコードの変更やデバイスへのエージェント追加など既存環境の変更なしで導入が可能なので簡単にスタートできます。
7.さいごに
お疲れさまでした!
このブログを通して、メールボックスの脅威の概要からメールボックス診断の設定方法をご紹介させて頂きました。
メールボックス診断をご利用いただくことで、メールボックスがリスクにさらされていないか確認することができるとともに、診断結果から今後の対策をたてることができます。
弊社のメールボックス診断は簡単に実施することができますので、是非ご活用いただけると幸いです!
他の機能について確認されたい場合は、本シリーズ第2回目の「新人SEからVision Oneマスターに、私はなる! #2 トレンドマイクロのEDR/XDRを簡単に紹介」に一覧をまとめているのでご参照ください。
本シリーズでは、この後もその他の便利な機能の紹介記事を書いていく予定ですので、一緒にVision Oneマスターを目指していきましょう!
ここまでお読みいただき、ありがとうございました。
最新情報
最新のVision Oneについての情報については、Online Helpをご確認ください。
Vision Oneのトライアルはこちらからお申込みください!
ブログシリーズ『新人SEからVision Oneマスターに、私はなる!』
トレンドマイクロ株式会社
セキュリティエキスパート本部 セールスエンジニアリング部
Vision One オンボーディングチーム セールスエンジニア
森川 梨奈