メインコンテンツへスキップ

タグ・ルール・アクション・スキャンを活用したフィッシング報告機能の運用方法例

更新

フィッシング報告のタグ・ルール・アクション・スキャンとは

セキュリオ上位プランまたはフィッシング報告機能のオプション機能として提供している機能となります。「タグ」「ルール」「アクション」「スキャン」に関する詳細な説明については、下記サポートページをご参照ください。

フィッシング報告のタグ・ルール・アクションとは?

フィッシング報告のスキャン機能とは?

タグ・ルール・アクションの設定例

以下の図のように、報告されたメールの内容があらかじめ設定された条件に合致した場合、設定されたアクションを実行します。

タグについて

任意のタグ名称を設定できます。ルールやアクションの設定を行うためには、あらかじめタグを設定しておく必要があります。

ルールについて

カラムベースのルール登録

 

送信者メールアドレス、送信者名、件名、本文などを指定した条件に合致する場合、あらかじめ設定されたタグを付与させることができます。

YARAルール

YARA(Yet Another Recursive Acoronym)とは、ランサムウェアなどのマルウェアの研究や解析、検知に利用することができるオープンソースリソースです。

YARAを用いることで、特定の条件に合致したファイルやコードを見つけるための検索ルールを定義することが可能となります。

YARAルール設定例

rule SampleRule
{
strings:
$a = "malicious_string" // 検出したい文字列
$b = {6A 40 68 00 30 00 00} // バイナリパターン(16進)

condition:
$a or $b // どちらかがあれば一致
}

上記の設定例における各セクションの説明

セクション 説明 
rule 名前
ルール名を定義(任意の名前を設定します) 
strings
検出したい「文字列」や「バイナリパターン」 
condition
どんな条件で「該当」と判断するか

もう少し具体的な例として、ルールを設定してみます。

rule DetectBadExe
{
meta:
author = "SecurityTeam"
description = "Detects a known malicious EXE"

strings:
$s1 = "This program cannot be run in DOS mode"
$s2 = "malicious_func"
$hex = { E8 ?? ?? ?? ?? 83 C4 04 }

condition:
filesize < 1MB and ($s1 and $s2 or $hex)
}

上記の条件は、

  • サイズ1MB以下
  • 特定の文字列に「$s1」と「$s2」の両方、または「 $hex」のバイナリが含まれている

これらの条件を満たすとき、怪しいメールと判断するルールとなります。

公開されたYARAルールについて

マルウェアを検知するためのYARAルールは、GitHub上で公開されています。共有されたYARAルールも用いて条件を設定することで、セキュリオ上で既知のパターンをルール化してタグ付けし、アクションを設定することが可能です。

アクションについて

特定のタグに紐づくメールに対して、処理方法を設定することができます。

設定できる項目

特定のタグに紐づいたメールに対して、報告をしてくれたユーザーへのメッセージや報告者以外に通知する対象の設定と通知テンプレートの設定が可能です。

特定のタグに紐づいたメールのカテゴリやステータス(確認状況)を自動で更新することが可能です。

スキャンについて(Outlook、Gmailのみ)※オプション機能

Microsoft 365、Google Workspaceと接続することで、特定のメールをセキュリオ上から検出して一括削除させることができます。

※手順はMicrosoftで解説します。

スキャン手順

1.Microsoft 365と接続する

接続に成功すると、

画像1.png

上記のように、Microsoft 365のテナントIDが紐づきます。

2.スキャン条件を設定

スキャンを行いたいメール条件を設定し、保存します。

3.スキャンを開始する

スキャン条件を設定したら、未スキャンの状況を選択します。

スキャン条件に間違いがなければ、「接続サーバーからスキャン開始」を選択します。

スキャン実行後、スキャン結果が表示されます。※スキャンの完了までに時間がかかる場合がございます。

4.スキャンしたメールをメールサーバーから削除する

スキャンしたメールをセキュリオ側から強制的に削除することができます。

削除したいメールにチェックを入れ、「まとめて操作」の項目から「メールサーバーから完全削除」を選択することで、完全削除させることができます。削除完了後は、「処理状況」の項目が「完全削除済み」に切り替わります。

まとめ

フィッシング報告機能におけるタグ・ルール・アクションを運用し、管理者側の負担を一定削減することが可能となります。また、これらの機能は継続して運用を行うことでメールに対する判定精度を上げていくことが可能です。

関連記事