企業内で日々やりとりされるメールは、コミュニケーションの要となる大切な手段です。しかし、セキュリティが強化されたMicrosoft 365環境では、内部メールですらマルウェアとして誤検知されてしまうことがあります。今回は、その具体的な原因と解決策を分かりやすく解説します。
なぜ社内メールがマルウェア扱いされるのか
社内ユーザー同士のメールがMicrosoft 365のセキュリティ機能によって「URL detonation reputation」などの仕組みで誤検知され、Quarantine(検疫)に入ってしまうケースは珍しくありません。以下では、主な原因や背景について詳しく見ていきます。
URL detonation reputation機能とは
Microsoft 365が提供するURL検査機能の一つで、メールに含まれるURLを「安全なリンクかどうか」自動でスキャンします。メール受信時にURLが一時的にMicrosoftのサーバー経由へ書き換えられ、リンク先の危険度を判定する仕組みです。実際にはリンクが存在しないと思われるメールでも、何らかの内部評価により“危険度が高い”と判断される場合があります。
動的解析によるFalse Positive
URL detonationではリンク先の解析だけでなく、メール本文やヘッダー情報から総合的に評価を行います。たとえ見た目にリンクが存在しない場合でも、システム内部で「URLに類する文字列」とみなされ、誤検知されるケースも報告されています。
たとえば下記のような文字列があるとシステムがURLと勘違いする可能性があります。
- 「http: //example」といった誤植や途中改行
- 「ドット(.)とスラッシュ(/)」を含む形式的な識別子
- 広告トラッキング用に付与された特殊文字列
リダイレクトやクリックトラッキング機能
外部のメール送信プラットフォーム(SendGridやMailchimpなど)を利用していると、配信メール内のリンクがトラッキング用URLに自動変換されることがあります。Microsoft 365においては、書き換えられたURLがスパムやフィッシングサイトとして誤判定される恐れがあります。
クリックトラッキングが引き起こす誤検知例
以下は表形式で、典型的なクリックトラッキングURLの書き換え例です。
| オリジナルリンク | 書き換え後のリンク | 主な目的 |
|---|---|---|
| https://www.example.com/documents | https://mailservice.com/c/xxxxx?redirect=example | メール開封・クリック率の統計取得 |
| (メール本文にURLなし) | (トラッキング用で隠れたURLが挿入) | URLを隠蔽しつつリダイレクトする |
このようなリダイレクトをMicrosoftが危険と判断し、Quarantineへ振り分けることがあります。一見リンクがないはずのメールでも、実はトラッキングURLが挿入されている可能性がある点に注意が必要です。
スパム・マルウェアフィルタ設定が厳しくなっている
Microsoft 365の標準設定以上に強力な保護ポリシーを適用していると、社内メールでも誤って検出される確率が高まります。特に、以下の項目を厳しくすると誤検知リスクが上昇することが知られています。
Anti-malwareポリシー
Microsoft 365のセキュリティ管理センターで設定できる「Anti-malwareポリシー」は、添付ファイルの種類や挙動を詳しくチェックします。例えば、スクリプトを含むファイルや実行ファイル形式に近い文書ファイル(例:docm、xlsmなど)をブロック対象としていると、誤検知が起きやすくなります。
ポリシー項目のサンプル
以下はPowerShellで既存のAnti-malwareポリシーを確認する例です。
# EXO PowerShell接続が完了している前提
Get-MalwareFilterPolicy | Format-List Name,EnableATP,EnableFileFilter,FileTypes- EnableATP: Advanced Threat Protection機能の有効/無効
- EnableFileFilter: ファイル種別フィルタの有効/無効
- FileTypes: ブロック対象の拡張子一覧
これらの設定が厳しすぎると、必要なファイルやメールが誤検出される場合があります。
Anti-spamポリシー
「高フィッシングの検知レベル」が高い場合、ドメイン内からのメールでも疑わしいと判定されることがあります。部署や組織が複数のドメインを使っていると、Microsoft 365が「外部からのフィッシングメール」とみなす可能性があるため要注意です。
誤検知を防止するためのアクションプラン
ここでは、誤検知を最小限に抑えながら、セキュリティ水準を大きく損なわない対策方法を紹介します。
1. ポリシーやスキャン設定の見直し
- Anti-malwareポリシーの最適化
例外リスト(Allowed File Typesなど)を活用し、業務で必須となるファイル形式やWordマクロ文書などを適切に許可します。 - Safe Attachmentsポリシー(ATP Safe Attachments)
“モニターのみ”の運用で一度検出状況を把握してみるのも有効です。必要に応じて“ブロック”へ切り替え、最小限の誤検知に抑えられるか試行します。 - Safe Linksポリシー(ATP Safe Links)
Trusted URLs(信頼済みURL)の登録を行い、明らかに安全なドメイン(自社ドメインなど)をホワイトリスト化することで、URLの誤検出を低減できます。
ポリシー調整の具体例
以下のPowerShell例は、既存のSpam Filter Policyのフィッシング検知レベルを確認・変更するコマンドです。
# EXO PowerShell接続が完了している前提
# 既存ポリシーの確認
Get-HostedOutboundSpamFilterPolicy
# フィッシング保護レベルを変更
Set-HostedOutboundSpamFilterPolicy -Identity "Default" -PhishThresholdLevel 2- PhishThresholdLevelは数値が大きいほど厳格な判定を行います。誤検知が頻発する場合は値を下げてみるとよいでしょう。
2. Quarantineされたメールをこまめに報告
Microsoft 365 Defenderポータル(以前のSecurity & Compliance Center)やExchange管理センターで、Quarantineされたメールを“誤検知”として報告する機能があります。このレポートが多いほど、Microsoft側の評価アルゴリズムも改善されやすいとされています。
効率的な報告手順
- セキュリティ管理センターからQuarantineされたメールを検索
- “送信元”や“件名”などでフィルタをかけ、誤検知メールをまとめて選択
- “誤検知レポート”を送信
- 必要に応じてサポートチケットを発行し、状況を詳細に伝える
このプロセスを定期的に行うことで、社内メールが再び誤検出されにくくなります。
3. Microsoft 365サポートへの問い合わせ
内部だけでは原因が特定できない場合や、誤検知があまりにも繰り返される場合は、Microsoft 365サポートへ正式に問い合わせるのが得策です。サポート側ではバックエンドのログや判定アルゴリズムを詳細にチェックできるため、問題解決の糸口が見つかりやすくなります。
問い合わせ時に伝えるべき情報
- 影響範囲: 何人のユーザーが影響を受けているか、どの部署か
- メールサンプル: できるだけ実際にQuarantineされたメールを添付し、ダイアグノスティック情報も含める
- 既存のポリシー情報: 現在運用中のAnti-spamやAnti-malwareポリシーの設定値や変更履歴
以上の情報があるとサポートチームはスムーズに調査を進められます。
トラッキング設定を見直すポイント
クリックトラッキングやリダイレクト設定をオフにできる環境であれば、一度試験的に無効化して様子を見るのも有効です。ただし、プロモーションメールの配信や開封率分析などを行っている場合は、トラッキング機能が必須なケースもあります。
送信プラットフォームとの調整
SendGridやMailchimpなどの外部サービスを利用している場合は、以下の点を確認しましょう。
- 自社専用ドメイン(CNAME)を設定し、トラッキングURLが自社ドメインとして表示されるようにする
- クリック時のリダイレクト先を自社サーバー経由にする(Microsoft 365から見ると安全性が高まる可能性あり)
- DKIMやDMARCを適切に設定し、なりすましリスクを下げる
リダイレクト無効化の例
一部の配信プラットフォームでは、管理画面から「クリックトラッキングをオフにする」スイッチがあります。下記はあくまで例ですが、このようなメニューで設定を無効にすることで、URL書き換えが行われず誤検知が回避されることがあります。
[Mail Settings]
- Open Tracking: ON
- Click Tracking: OFF
- Subscription Tracking: ONただし、オフにするとトラッキングデータが取れなくなるデメリットもあるため、運用上の影響とリスクを考慮しながら調整してください。
セキュリティを緩めずに誤検知を減らすコツ
最後に、セキュリティレベルを保ちつつ誤検知による業務停滞を最小限に抑えるためのポイントをまとめます。
ホワイトリストの活用
自社ドメインや特定の送信元IPアドレス、正当性が証明されたURLをホワイトリストに登録することは効果的です。Microsoft 365の管理センターやPowerShellを使って、特定のエンティティを除外リストに加える手順を確立しておきましょう。
例: 安全な送信元の設定
Set-HostedContentFilterPolicy -Identity "Default" -AllowedSenderDomains @{Add="yourdomain.com"}上記コマンドにより、yourdomain.comからの送信ドメインをAllowed(許可)に設定できます。
定期的な監査ログの確認
Microsoft 365では、セキュリティに関する各種ログを監査ログ機能で管理できます。誤検知が発生したときのエラーコードや詳細ログをチェックし、同じパターンの誤検知を素早く把握することで対策が取りやすくなります。
サードパーティのセキュリティ製品との併用チェック
企業によっては、Microsoft 365の標準セキュリティ機能に加えて、ProofpointやPalo Alto Networksなどのメールゲートウェイ製品を組み合わせている場合があります。これらの製品側の設定が競合し、誤検知を増幅させる可能性も考慮が必要です。
まとめ:誤検知を防ぐための最短ルート
社内メールが「URL detonation reputation」によりマルウェア扱いされる問題は、Microsoft 365のセキュリティレイヤーが複雑化している現代ではしばしば起こるトラブルです。
- ポリシーやフィルタ設定を最適化して、必要以上に厳しい基準をかけていないか再確認する
- Quarantineされたメールを積極的に誤検知報告し、検出精度向上に貢献する
- Microsoft 365サポートに問い合わせ、バックエンドロジックの調整を依頼する
- リダイレクトやクリックトラッキングのオフ・チューニングも検討する
これらのステップを順序立てて行うことで、社内コミュニケーションの円滑化とセキュリティレベルの維持が両立しやすくなります。特に、重大な業務メールが繰り返しブロックされている場合は早めに対策することをおすすめします。社内のIT部門とセキュリティ部門が連携し、誤検知の原因を正確につかむことで、今後のリスクを大幅に低減できます。
コメント