この度は多大なるご不便をお掛けし、申し訳ございません。以下に各製品毎の確認方法について記載いたします。
大変恐れ入りますが、以下の方法は「グレーメールと判定されたメール」を確認する方法となり、実際のグレーメールも含まれることになります。
誤検出されたことを製品で検索することはできかねます。ご不便をお掛けいたしますが、誤検出状況につきましては、実際のメールの内容をご確認いただきますようお願いいたします。
1. TMEmS / V1ECS - CEGP
以降、管理コンソールのメニュー名表記は、TMEmS の場合は TMEmS 管理コンソールのトップ画面からの表記、V1ECS - CEGP の場合は Trend Vision One 管理コンソールの[Email and Collaboration Security] > [Cloud Email Gateway Protection] 画面配下からの表記とします。
例としまして、[ログ]というメニューは、TMEmS の場合は TMEmS管理コンソールの [ログ]、V1ECSの場合は Trend Vision One 管理コンソールの[Email and Collaboration Security] > [Cloud Email Gateway Protection] > [ログ]を意味します。
1.1 メールの確認方法(受信保護方向)
管理コンソールの[ログ] > [ポリシーイベント]にて、"方向:"を"受信"、"脅威の種類:"を"グレーメール"に設定し、"期間:"を"カスタム範囲"として障害発生時刻を含む期間 (以下の例では2024/6/7 19:00 ~ 2024/6/7 21:00)を指定して、"検索"を押下します。他の検索条件項目は未入力で問題ありません。
※画面はTMEmSとV1ECS - CEGPで共通です。
1.2 メールの確認方法(送信保護方向)
管理コンソールの[ログ] > [ポリシーイベント]にて、"方向:"を"送信"、"期間:"を"カスタム範囲"として障害発生時刻を含む期間 (以下の例では2024/6/7 19:00 ~ 2024/6/7 21:00)を指定して、"検索"を押下します。他の検索条件項目は未入力で問題ありません。送信保護方向の検索では、"脅威の種類:"で"グレーメール"を指定できないため、未入力としてください。
※画面はTMEmSとV1ECS - CEGPで共通です。
1.3 グレーメールと誤検出されたメールへの影響
グレーメールと誤検出されたメールへの影響は、グレーメール判定を行ったポリシールールの処理に依存いたします。実際の設定内容につきましては、管理コンソールの[受信保護設定] > [スパムメールフィルタ] > [スパムポリシー] (受信保護方向で誤検出された場合)または[送信保護設定] > [スパムメールフィルタ] > [スパムポリシー])(送信保護方向で誤検出された場合)から当該ポリシーの設定内容をご確認ください。
グレーメール検出は、受信保護方向の場合、スパムポリシーの条件「グレーメール」が有効な場合にのみ動作いたします。送信保護方向の場合、スパムポリシーの任意の検出条件を有効にするのみでグレーメール検出も自動的に有効になります。
・受信保護方向のスパムポリシーの条件の画面
・送信保護方向のスパムポリシーの条件の画面
■処理の"インターセプト"が"メッセージ全体を削除"である場合
メールが削除されます。削除されたメールの復元につきましては大変恐れ入りますが不可能となります。
"監視"で「通知送信」等の処理も実施している場合、そちらも適用されて削除が行われます。
■処理の"インターセプト"が"隔離"である場合
メールが隔離されます。隔離されたメールの再送につきましては1.4の項をご参照ください。
"変更"または"監視"で「件名にタグを挿入」等の処理も実施している場合、そちらも適用されます。
■処理のインターセプトが"受信者を変更"である場合
指定した受信者にエンベロープ受信者が変更され、そのまま後続のポリシールールが適用されます。
"変更"または"監視"で「件名にタグを挿入」等の処理も実施している場合、そちらも適用されて後続のポリシールールの評価が行われます。
■処理のインターセプトが"今すぐ配信"である場合
指定した配信先メールサーバへメールが配送されます。"変更"または"監視"で「件名にタグを挿入」等の処理も実施している場合、そちらも適用されて配送が行われます。
■処理のインターセプトが"メッセージをインターセプトしない"である場合
そのまま後続のポリシールールが適用されます。"変更"または"監視"で「件名にタグを挿入」等の処理も実施している場合、そちらも適用されて後続のポリシールールの評価が行われます。
1.4 誤検出事象発生時にグレーメールと判定されて隔離されたメールについて
誤検出で隔離された正規メールの通数はお客様環境によって差異がごさいますが、全体的に影響したメール数の規模が大きく、「正規メール不達に伴う業務影響」および「手動による隔離再送操作のご負担」を考慮しました結果、以下の時間帯でトレンドマイクロにて「誤検出事象発生時間帯にグレーメールと判定されて隔離されたすべてのメール」を順次一斉再送させていただきました。再送されたメールは、隔離が動作したポリシールールの後続のポリシールールのチェックが行われた後、後段メールサーバへメールが配送されます。
日本リージョン: 2024年6月8日(土) 午後11時45分 ~ 2024年6月9日(日) 午前6時32分(日本時間)
USリージョン: 2024年6月8日(土) 午前5時33分 ~ 2024年6月8日(土) 午後5時29分(日本時間)
※どちらのリージョンをご利用かの確認方法はこちらをご参照ください。
グレーメールにつきましては、マルウェアや詐欺サイトのURL等の脅威を含むメールやスパムメールを示すものではございません。今回の事象に伴う影響を総合的に判断させていただいた結果、今回の処置の実施となりました次第です。何卒ご理解いただけますよう、お願い申し上げます。
再送されたメールの状況につきましては、管理コンソールの[ログ] > [メール追跡]で"方向:"を"送信"または"受信"、"種類:"を"検索されたトラフィック", "処理:"を"すべて"に設定し、"期間:"を"カスタム範囲"として障害発生時刻を含む期間 (以下の例では2024/6/7 19:00 ~ 2024/6/7 21:00)を指定して、"検索"を押下することで確認できます。表示されるメール一覧の中から「上記1.1と1.2でグレーメールと判定されたメール」を選択いただくことで表示される「メール追跡の詳細」の"処理"欄に"管理者Trend Microによって配信済み"というログが記録されます。こちらのログは、当該一斉再送処理により再送されたことを意味します。
※画面はTMEmSとV1ECS - CEGPで共通です。
2. CAS / V1ECS - CECP
以降、管理コンソールのメニュー名表記は、CAS の場合は CAS 管理コンソールのトップ画面からの表記、V1ECS - CECP の場合は Trend Vision One 管理コンソールの[Email and Collaboration Security] > [Cloud Email and Collaboration Protection] 画面配下からの表記とします。
例としまして、[ログ]というメニューは、CAS の場合は CAS 管理コンソールの [ログ]、V1ECS - CECP の場合は Trend Vision One 管理コンソールの[Email and Collaboration Security] > [Cloud Email and Collaboration Protection] > [ログ]を意味します。
2.1 メールの確認方法
管理コンソールの[ログ]にて、"ログの種類:"で"検出ログ"を、"スパムメールのカテゴリ"で"グレーメール”で始まるものを選択し、検索する期間を”カスタム範囲"として障害発生時刻を含む期間 (以下の例では2024/6/7 19:00 ~ 2024/6/7 21:00)を指定して、"検索"を押下します。他の検索条件項目は未入力で問題ありません。検索結果に表示される"処理"から、適用された処理を確認いただけます。
"スパムメールのカテゴリ"にてグレーメールが選択できない場合、グレーメールと検出されたメールが存在しないことを意味します。こちらの場合は、影響を受けたメールが存在しないと判断いただいて問題ございません。
※画面はCASとV1ECS - CECPで共通です。
2.2 グレーメールと誤検出されたメールへの影響
グレーメールと誤検出されたメールへの影響は、グレーメール判定を行った高度な脅威対策ルールの処理に依存いたします。実際の設定内容につきましては、管理コンソールの[ポリシー] > [メールポリシー] > [高度な脅威対策]から当該ポリシーを選択いただき、[高度なスパムメール対策] > [処理と通知]タブの"グレーメール"の処理の設定内容をご確認ください。グレーメール検出は、[高度なスパムメール対策] > [ルール]の条件「グレーメール検出」が有効な場合にのみ動作いたします。
■処理が"削除"である場合
メールが削除されます。削除されたメールの復元につきましては大変恐れ入りますが不可能となります。
■処理が"隔離"である場合
メールが隔離されます。隔離されたメールの再送につきましては2.3および2.4の項をご参照ください。
■処理が"迷惑メールフォルダに移動"である場合
メールが迷惑メールフォルダに移動します。メールへの対応につきましては2.3および2.5の項をご参照ください。
■処理のインターセプトが"件名にタグを挿入"である場合
そのままメールが配送されますが、メールの件名に指定したタグが付与されます。
■処理のインターセプトが"放置"である場合
そのままメールが配送されます。
2.3 誤検出事象発生時にグレーメールと判定されて隔離または迷惑メールフォルダへ移動されたメールについて
誤検出で隔離された正規メールの通数はお客様環境によって差異がごさいますが、全体的に影響したメール数の規模が大きく、「正規メール不達に伴う業務影響」および「手動による復旧操作のご負担」を考慮しました結果、以下の時間帯でトレンドマイクロにて「誤検出事象発生時間帯にグレーメールと判定されて隔離または迷惑メールフォルダへ移動されたすべてのメール」を順次一斉復元させていただきました。
2024年6月8日(土) 午後23時45分 ~ 2024年6月9日(日) 午前0時26分(日本時間)
ただし、Exchange Online/Gmailの[高度な脅威対策ポリシー] > [高度なスパムメール対策ポリシー]にて"Retro scanと自動修復"の機能を有効にしていた場合に限ります。管理コンソールの[ポリシー] > [メールポリシー] > [高度な脅威対策]から当該ポリシーを選択いただき、[高度なスパムメール対策] > [ルール]タブの"Retro scanと自動修復"が以下になっていれば有効です。無効の場合は、恐れ入りますが復元処置の対象外となります。
グレーメールにつきましては、マルウェアや詐欺サイトのURL等の脅威を含むメールやスパムメールを示すものではございません。今回の事象に伴う影響を総合的に判断させていただいた結果、今回の処置の実施となりました次第です。何卒ご理解いただけますよう、お願い申し上げます。
隔離の処理が行われたメールにつきましては、管理コンソールの[ログ]にて、"ログの種類:"で"隔離ログ"を:"を、検索する期間を”カスタム範囲"として障害発生時刻を含む期間 (以下の例では2024/6/7 19:00 ~ 2024/6/7 21:00)を指定し、"検索"を押下することで影響を受けたメールを含む当該期間に隔離されたメールの一覧を確認できます。残念ながら隔離ログにつきましてはスパムメールのカテゴリでフィルタすることができませんが、トレンドマイクロにて復元したメールは以下のような表示となっておりますので、グレーメールとして検出されていたメールが復元されているかをご確認ください。
※画面はCASとV1ECS - CECPで共通です。
2.4 隔離されたメールの復元方法
管理コンソールの[操作] > [隔離]にて、"セキュリティフィルタ"で"高度なスパムメール対策"を選択し、検索する期間を”カスタム範囲"として障害発生時刻を含む期間 (以下の例では2024/6/7 19:00 ~ 2024/6/7 21:00)を指定して、"検索"を押下します。
現在隔離されているメールの一覧が表示されますので、2.1にてご確認いただいた検出ログと比較していただき、対象のメールにチェックを入れていただきまして”復元”を実施ください。
※画面はCASとV1ECS - CECPで共通です。
2.5 迷惑メールフォルダに移動したメールの復元方法
迷惑メールフォルダに移動したメールにつきましては、大変恐れ入りますが、CASの管理コンソールからの復元ができません。1.1にてご確認いただいた検出ログと比較していただいたうえで、各ユーザ様のメールボックスにて対象のメールを迷惑メールフォルダから受信トレイにメールを移動いただきますようお願いいたします。
2.6 Exchange Online/Gmailの高度な脅威対策ポリシーの手動検索について
誤検出事象発生時にグレーメールと判定されて隔離または迷惑メールフォルダに移動されたメールは、2.3に記載の通り、トレンドマイクロにて復元の処理を実施しております。しかしながら、誠に恐れ入りますが、誤検知ではなく実際にグレーメールと判定されていたメールについても復元されている可能性がございます。
CAS/V1ECS - CECPでは、Exchange Online/Gmailの高度な脅威対策ポリシーで手動検索を行うことで、再度グレーメールとして検出されることが可能です。グレーメールの検出が有効なポリシーで障害発生時刻を含む期間 (以下の例では2024/6/7 19:00 ~ 2024/6/7 21:00)を検索期間に指定していただき、手動検索を実施いただくこともご検討ください。
※画面はCASとV1ECS - CECPで共通です。