あんしんクラウドメールフィルターをご利用いただき、ありがとうございます。
ここでは、あんしんクラウドメールフィルターのオプションサービスである、パーソナルメッセージ管理メール機能(PMM)について説明します。
尚、あんしんクラウドメールフィルターの攻撃メールへの防御はここに記載されたもの以外にも、対策が施されていますが、セキュリティ上の理由から開示できない情報となりますこと、予めご容赦ください。
目次
- ■PMMで出来ること
- ■PMMの見方について
- 【保留された差出人メールアドレスの種類の例】
- [P]明示的な攻撃者、および低品質な広告アドレスからのメール(ブラックリスト)
- [ED]AIにより攻撃メールと判定されたメール
- [G]著名アドレスで送信ドメイン認証エラー等が発生している(攻撃の嫌疑がある)メール
- [G]著名アドレスだが、メール件名に攻撃の嫌疑的文言があるメール
- [G]著名なアドレスだが、メール本文に攻撃の嫌疑的文言があるメール
- [H]広告系アドレスで送信ドメイン認証エラー等が発生している(攻撃の嫌疑がある)メール
- [J]攻撃メールによく利用されるアドレスからのAI判定で隔離されたメール
- [JED]標的型攻撃の可能性がある添付ファイル(Word)を伴ったメール
- [JED]本文中のURLがAI判定で有害と判定されたメール
- [JED]本文中のURLがブラックリスト登録されているメール
- [JED]メール件名に攻撃の嫌疑的文言があるメール
- [JED]メール本文に攻撃の嫌疑的文言があるメール
- [JED]ヘッダーFromアドレスが詐称されている疑いがあるメール
- [A]スパムメールで頻出する画像を利用したメール
- 【保留された差出人メールアドレスの種類の例】
■PMMで出来ること
あんしんクラウドメールフィルターでは、攻撃メール(迷惑メールや、スパムメール)として判定されたメールは、あんしんクラウドメールフィルターシステム上にそのメールが保留されています。
保留されたメールに対して、そのメールの受信者に対して、通知メールが配信されます。
この通知メールがPMMを操作するための通知メールになります。
このPMMのメールを見て、受信者自身で配送、または削除の選択をすることが可能になります。
【PMMの流れ】
- あんしんクラウドメールフィルターで攻撃メールが保留される。
- 毎時0分ごとに、PMMメールが攻撃メールの宛先アドレスに届く。
※毎日朝8時には、現時点で保留中のメールの一覧が送られてきます。 - ユーザー自身で受信したいメールがあれば、PMMメール内にある「配信」ボタンをクリック。
- 全部不要なメールであれば、PMMメール本文中の「これらのメッセージを削除」をクリックする。
- また、再度保留したくないメールがあれば、「信頼済送信者の管理」ボタンをクリックし、「パーソナルメッセージ管理機能」をブラウザから操作し、信頼するメールアドレスの登録をすることができます。
【PMMのメールに記載された保留メールについて確認出来ること】
PMMのリストでは、以下を確認することができます。
- 送信者・・・メールの配送に利用される実際のメールアドレス。
- From・・・メーラーに表示される送信元のメールアドレス。攻撃メールでは詐称されていることが多い
- 件名・・・該当メールの件名
- KB・・・該当メールの容量がキロバイト単位で記載。
- 日付/時刻・・・該当メールがあんしんクラウドメールフィルターに到着した日時。
■PMMの見方について
保留されたメールは、種類毎に分類されています。
この分類は、差出人アドレスの種類と、その攻撃メール検疫機能によって、分類されています。
まずは、差出人アドレスの種類を説明します。
【保留された差出人メールアドレスの種類の例】
PMMの中身を見ると、以下のような種類の項目名でリスト化されています。
(例)[G]著名なアドレスだが、メール本文に攻撃の嫌疑的文言があるメール
上記の[G]の箇所については、送信元メールアドレスの種類を示しています。
この種類には、以下が存在します。
[P]・・・明示的にブラックリストメールアドレスとして登録されたアドレスからのメール [G]・・・Amazonや、楽天、Google、Appleなどの大手のITサービスや、ISP、銀行、大手企業などのある一定の信頼できるドメインからのメール [H]・・・MA(マーケティングオートメーション)ツールからの広告メール。また、広告を目的としたメール。 [J]・・・スパムメールで頻繁に利用されるドメインからのメール [D]・・・上記のP、G、J、Dを除く全てのドメインからのメール [E]・・・日本ドメイン(~~.jp)を関したアドレスからのメール
※その他のリストについても存在しますが、PMM以外での利用となりますので、ここでは仔細を省きます。
保留されたメールは上記のそれぞれの差出人に対して、複合的な攻撃メール判定を行い、それぞれ以下のエリアに保留されています。
以下の説明を参考に、配信すべきメールか、削除すべきメールかをご確認ください。
[P]明示的な攻撃者、および低品質な広告アドレスからのメール(ブラックリスト)
差出人のメールアドレスが、ブラックリストに登録されたアドレスのメールを、全て保留します。
一部低品質な広告業者からのメールが登録されています。
[ED]AIにより攻撃メールと判定されたメール
上述のEとDに該当する差出人からのメール(一般的なメールアドレスと考えて良い)からのメールに対して、AI判定によるスパム判定を行い、検知されたメールを保留します。
[G]著名アドレスで送信ドメイン認証エラー等が発生している(攻撃の嫌疑がある)メール
Amazonや楽天、銀行などのドメインを管理する企業は必ず送信ドメイン認証を導入しています。
この送信ドメイン認証(SPFやDMARK)で認証エラーを発生するメールは、ほとんどがアドレス詐称メールとなるため、このメールを保留しています。
まれに、送信元の設定のミスにより、検知し保留される場合がありますが、それは誤検知ではなく、送信元の設定間違いによるものです。
[G]著名アドレスだが、メール件名に攻撃の嫌疑的文言があるメール
上記のように著名アドレスだが、送信ドメイン認証(SPFやDMARK)で認証エラーを起こさないメールで、攻撃メールが流入する場合がございます。
その場合は、メールアドレスが乗っ取られた可能性が高く、そのメールの正規ユーザーと同様の利用方法で攻撃を仕掛けます。
このメールを防御するために、この種の攻撃で特徴的な文言をメールの件名から検索して、保留します。
[G]著名なアドレスだが、メール本文に攻撃の嫌疑的文言があるメール
上記と同種の防御になります。
このエリアでは、この種の攻撃で特徴的な文言をメールの本文から検索して、保留します。
[H]広告系アドレスで送信ドメイン認証エラー等が発生している(攻撃の嫌疑がある)メール
MA(マーケティングオートメーション)ツールからの広告メール。また、広告を目的としたメールだが、送信ドメイン認証(SPFやDMARK)で認証エラーを発生させているメール。
MAツール以外のホストからの配信や、不正なツールの利用を疑い、保留します。
[J]攻撃メールによく利用されるアドレスからのAI判定で隔離されたメール
gmail.com等で有名なフリーメールがありますが、このフリーメールの中で、攻撃メールとして利用されるメールドメインからのメールを対象に、AIで判定を行い保留をしています。
上記に加えて、スパムメールの実績のあるメールアドレスもここに含まれています。
[JED]標的型攻撃の可能性がある添付ファイル(Word)を伴ったメール
一時期流行したEmotet攻撃は、Wordファイルのマクロを利用した攻撃ですが、そのEmotet攻撃や、類似する攻撃であった場合に保留します。
[JED]本文中のURLがAI判定で有害と判定されたメール
メール本文中に記載されたURLにおいて、AIで判定されたURLについて、攻撃と判断しそのメールを保留します。
[JED]本文中のURLがブラックリスト登録されているメール
メール本文中に記載されたURLにおいて、明示的なブラックリストに登録されたURLが存在する場合に、そのメールを保留します。
[JED]メール件名に攻撃の嫌疑的文言があるメール
上述のJ、E、Dの種類に属するメールアドレスから来たメールに対して、特徴的な文言をメールの件名から検索して、保留します。
[JED]メール本文に攻撃の嫌疑的文言があるメール
上述のJ、E、Dの種類に属するメールアドレスから来たメールに対して、特徴的な文言をメールの本文から検索して、保留します。
[JED]ヘッダーFromアドレスが詐称されている疑いがあるメール
上述のJ、E、Dの種類に属するメールアドレスから来たメールに対して、メールヘッダーfrom(メーラーで差出人として表示される箇所)に有名企業を騙るものがある場合、詐称メールと判断し保留します。
[A]スパムメールで頻出する画像を利用したメール
全てのメールについて、本文や添付された画像について、スパムメールなどで利用されている画像が利用されている場合に、そのメールを保留します。