標的型攻撃やフィッシングメールなどの攻撃には次々と新たな URL が使用されるため、TMEmS/V1ECS がメッセージを検索した時点ではWebレピュテーションにより評価されていない可能性があります。
Time-of-Click プロテクションはメッセージ本文に記載された、Webレピュテーション の 安全性評価 が未評価の URL など疑わしい URL を Time-of-Click プロテクションの URL に書き換えます。
TMEmS/V1ECS が検索したタイミングと実際に受信者 (エンドユーザ) がメッセージを受信するタイミングには状況によって ずれ があるため、TMEmS/V1ECS が検索した時点では未評価であった URL が、エンドユーザがメッセージを受信し、クリックした時点では「危険」と評価されている可能性があります。
エンドユーザが書き換え後の URL をクリックすると、まず Time-of-Click プロテクションのサーバにアクセスし、その時点でWebレピュテーションの安全性評価が「危険」であればアクセスをブロックします。
このように Time-of-Click プロテクション機能では、検索したタイミングとエンドユーザがクリックしたタイミングの時間差を活用し、Time-of-Click プロテクションのサーバをクッションにして疑わしい URL へのアクセスに対して警告画面を表示したり、直接ブロックしたりすることが可能となります。
Time-of-Click プロテクションは受信保護のメッセージ (外部から内部宛) が対象です。送信保護のメッセージ (内部から外部宛) は対象外です。
- Time-of-Click プロテクションの利用
- よくある問い合わせ
- [Time-of-Click プロテクションの URL] Time-of-Click プロテクションによって URL が書き換えられた場合、どのような URL になりますか。
- [書き換え前の URL] 実際にアクセスする以外に書き換えられた元の URL を確認する方法はありますか。
- [警告・ブロック画面のサンプル] Time-of-Click プロテクションの警告画面やブロック画面がどのように表示されるか確認できるサンプルページは用意されていますか。
- [警告・ブロック画面のカスタマイズ] Time-of-Click プロテクションの警告画面やブロック画面を任意に変更できますか。
- [URL が書き換えられないケース] Time-of-Click プロテクションによって URL が書き換えられません。
- [未評価の URL] Time-of-Click プロテクションによって未評価の URL が書き換えられた場合、書き換え後の URL をクリックしたタイミングで必ず評価されていますか。
- [除外] 社内のWebサーバの URL が未評価となるため、必ず Time-of-Click プロテクションによって書き換えられてしまいます。書き換え対象から除外する方法を教えてください。
- [ログ] Time-of-Click プロテクションによって URL が書き換えられたことをログから確認できますか。
- [URLクリック追跡] 実際にエンドユーザが Time-of-Click プロテクション書き換え後の URL をクリックしたか、確認することはできますか。
- 関連リンク
Time-of-Click プロテクションの利用
Time-of-Click プロテクション機能を利用するには以下の設定を確認し、任意に設定します。
Time-of-Click プロテクションの有効化設定
管理コンソールの [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] にあるWebレピュテーションの検索条件が選択されているポリシールールの検索条件の設定画面において「Webレピュテーション」をクリックすると、Webレピュテーションの検索条件の設定(TMEmS) / Webレピュテーションの検索条件の設定(V1ECS) が表示されます。
Time-of-Click プロテクションの有効化は「Time-of-Clickプロテクション」のセクションにおいて設定します。
「Time-of Clickプロテクションを有効にする」にチェックを入れ、以下の選択肢からTime-of-Click プロテクションによって書き換える URL を選択し、設定を保存します。
未評価のURLに適用する
「未評価のURLに適用する」を選択した場合、Webレピュテーションの安全性評価が未評価の URL が書き換え対象となります。
例えば 検出テスト用の URL であれば <http://wrs71.winshipway.com> が該当します。
Webレピュテーションサービスによりセキュリティリスクをもたらすおそれがあると特定されたURLに適用する
「Webレピュテーションサービスによりセキュリティリスクをもたらすおそれがあると特定されたURLに適用する」を選択した場合、Webレピュテーションの安全性評価が未評価の URL に加え、安全性評価は「安全」であったとしてもファイル共有を行っているWebサイトの URL や 短縮 URL などが書き換え対象となります。
未評価の URL 以外で「Webレピュテーションサービスによりセキュリティリスクをもたらすおそれがあると特定されたURLに適用する」を選択した場合に書き換え対象となる URL の条件は内部情報のため、開示していません。また、URL サンプルも提供していません。
すべてのURLに適用する
「すべてのURLに適用する」を選択した場合、Webレピュテーションの評価に関係なくすべての URL が書き換え対象となります。
URL の書き換えなど、電子署名された S/MIME メッセージにおいてその内容が変更されると、メールクライアント上で受信したメッセージを開くことができない可能性があります。そのため、通常「デジタル署名の付いたメッセージのURLに適用する」のオプションを有効化し、電子署名されたメッセージを Time-of-Click プロテクションの書き換え対象から除外します。
Time-of-Click プロテクション設定
管理コンソールの [受信保護設定] > [スパムメールフィルタ] > [Time-of-Click プロテクション] の設定(TMEmS / V1ECS) では、メッセージの受信者が Time-of-Click プロテクション書き換え後の URL をクリックした際、最新のWebレピュテーションの安全性評価に応じてどのような画面を表示するか、選択します。
安全性評価ごとに選択肢として「許可」「警告」「ブロック」が用意されており、初期設定では次のように設定されています。
極めて不審: ブロック
不審: 警告
未評価: 警告
「極めて不審」には Site Safety Center でチェックした場合に安全性評価が「非常に不審」と表示される URL が該当します。
許可
書き換えられた URL をクリックした際に表示される画面に「許可」が選択されている場合、エンドユーザが URL をクリックすると即座に元の URL にリダイレクトされ、表示されます。
したがって、「許可」の場合ではエンドユーザは元の URL にアクセスできます。
警告
書き換えられた URL をクリックした際に表示される画面に「警告」が選択されている場合、エンドユーザが URL をクリックするとブラウザ上には警告画面が表示されます。さらにエンドユーザが警告画面上の「このWebサイトにアクセスする」 (英語では "Continue to this website") のリンクをクリックすると元の URL にリダイレクトされ、表示されます。
したがって、「警告」の場合でもエンドユーザは元の URL にアクセスできます。
ブロック
書き換えられた URL をクリックした際に表示される画面に「ブロック」が選択されている場合、エンドユーザが URL をクリックするとブラウザ上にはブロック画面が表示されます。
しかし、警告画面とは異なり「このWebサイトにアクセスする」のリンクがないため、エンドユーザは元の URL にアクセスすることはできません。
よくある問い合わせ
[Time-of-Click プロテクションの URL] Time-of-Click プロテクションによって URL が書き換えられた場合、どのような URL になりますか。
通常 URL は以下の形式の URL に置き換えられます。
https://ems-urlprotect.trendmicro.com:443/wis/clicktime/v1/query?url=<URL エンコードされた元の URL>&umid=...
[書き換え前の URL] 実際にアクセスする以外に書き換えられた元の URL を確認する方法はありますか。
Time-of-Click プロテクション書き換え後の URL の形式は [Time-of-Click プロテクションの URL] に記載されています。書き換え後の URL において <URL エンコードされた元の URL> の部分に表示されている URL エンコードされた文字列をデコードして元の URL を特定することは可能です。
[警告・ブロック画面のサンプル] Time-of-Click プロテクションの警告画面やブロック画面がどのように表示されるか確認できるサンプルページは用意されていますか。
管理コンソールの [受信保護設定] > [スパムメールフィルタ] > [Time-of-Click プロテクション] の画面で「リダイレクトページをカスタマイズする」を選択すると、警告画面やブロック画面のサンプルページを確認できます。
[警告・ブロック画面のカスタマイズ] Time-of-Click プロテクションの警告画面やブロック画面を任意に変更できますか。
管理コンソールの [受信保護設定] > [スパムメールフィルタ] > [Time-of-Click プロテクション] の設定(TMEmS / V1ECS) 画面で「リダイレクトページをカスタマイズする」を選択し、警告画面やブロック画面をカスタマイズできます。
[URL が書き換えられないケース] Time-of-Click プロテクションによって URL が書き換えられません。
Time-of-Click プロテクションによって URL が書き換えられない要因には以下が考えられます。
- Time-of-Click プロテクションが有効化されていない
- URL がTime-of-Click プロテクションの書き換え対象ではない
- Webレピュテーション承認済みリストなどWebレピュテーションの検索から除外されている
- URLキーワード除外リストで除外されている
- 電子署名された S/MIME メッセージである
例えば <http://wrs21.winshipway.com> や <http://wrs31.winshipway.com>, <http://wrs41.winshipway.com> のWebレピュテーション検出テスト用の URL に対する安全性評価は「危険」ですが、Time-of-Click プロテクション有効化の設定 で「すべてのURLに適用する」が選択されていない限り、「危険」と評価されている URL は「Time-of-Click プロテクションの書き換え対象ではないため、そうした URL が書き換えられることはありません。
Webレピュテーションで検出 されることと Time-of-Click プロテクションにより URL が書き換えられることは別です。
Webレピュテーションの検出は URL に対する安全性評価と「セキュリティレベル」の設定にしたがって判定されます。一方、Time-of-Click プロテクションは URL に対する評価と「Time-of Clickプロテクションを有効にする」で選択されている 設定 (「未評価のURLに適用する」「Webレピュテーションサービスによりセキュリティリスクをもたらすおそれがあると特定されたURLに適用する」「すべてのURLに適用する」のいずれか) にしたがって URL を書き換えます。
そのため、メッセージはWebレピュテーションによって隔離される一方、URL は Time-of-Click プロテクションによって書き換えられたり、書き換えられなかったりする場合があります。
[未評価の URL] Time-of-Click プロテクションによって未評価の URL が書き換えられた場合、書き換え後の URL をクリックしたタイミングで必ず評価されていますか。
メッセージを検索した時点で安全性評価が未評価であった URL がエンドユーザがクリックした時点で必ずWebレピュテーションにより評価されているとは限りません。
例えばフィッシングサイトの URL であったとしても、すでにその URL に接続できなかったりすれば評価できないため、URL をクリックした時点でも未評価である可能性があります。
なお、仮に未評価の URL が URL クリック時に「危険」と評価されていなかったとしても、初期設定では URL をクリックした際に警告画面が表示されるため、危険な URL に直接アクセスすることを抑止できます。警告画面によって URL にアクセスするべきかエンドユーザが判断する余地ができることからも Time-of-Click プロテクション機能には効果があります。
[除外] 社内のWebサーバの URL が未評価となるため、必ず Time-of-Click プロテクションによって書き換えられてしまいます。書き換え対象から除外する方法を教えてください。
こちら のいずれかの方法で Webレピュテーションの検出から除外します。
例えば特定の URL を除外する場合には Webレピュテーション承認済みリストで除外 します。
Webレピュテーション承認済みリストの登録画面で 処理なし にある「Webレピュテーションサービス」の設定が有効化されていたとしても無効化されていたとしても (Webレピュテーション承認済みリストの画面で「Webレピュテーションサービスのバイパス」が Yes であっても No であっても)、Time-of-Click プロテクションの書き換えから除外されますが、特に事情がない限り、「Webレピュテーションサービス」の設定は有効化します。
URL の パス に指定した文字列が含まれる URL のみ除外するのであれば「URLキーワード除外リスト」の機能を利用します。
具体的には、まず [受信保護設定] > [スパムメールフィルタ] > [スパムメールポリシー] の画面で「Webレピュテーション」の検索条件が選択されているポリシールールをクリックし、検索条件のセクションを開きます。次に「Webレピュテーション」の検索条件をクリックし、URLキーワード除外リスト のセクションにある「URLキーワード除外リストを有効にする」を有効化して設定を保存します。
その上で [管理] > [ポリシーオブジェクト] > [URLキーワード除外リスト] の画面を開き、任意の文字列 (キーワード) を登録(TMEmS / V1ECS)します。
[ログ] Time-of-Click プロテクションによって URL が書き換えられたことをログから確認できますか。
ログからは Time-of-Click プロテクションによって URL が書き換えられたことを確認することはできません。実際に URL が置き換えられているか、受信したメッセージを確認する必要があります。
[URLクリック追跡] 実際にエンドユーザが Time-of-Click プロテクション書き換え後の URL をクリックしたか、確認することはできますか。
管理コンソールの [ログ] > [URLクリック追跡] の画面で確認できます。
URLクリック追跡ログ(TMEmS) / URLクリック追跡ログ(V1ECS) では以下のようにクリックした日時や URL へのアクセスの可否を確認できます。
| クリックした日時 | 送信者 | 受信者 | URL | 適用された処理 | メッセージID |
|---|---|---|---|---|---|
| 2023/07/05 12:48:32 | taro@trendmicro.com | john@example.com | http://wrs71.winshipway.com | 警告後アクセス | <20230705011922.BAFC4C0048@mail.trendmicro.com> |
「適用された処理」には以下のいずれかが表示されます。
- 許可済み
- 警告後中止
- 警告後アクセス
- ブロック済み
許可済み と表示されている場合、エンドユーザが書き換え後の URL をクリックした際にWebレピュテーションの安全性評価が「安全」であったため、あるいは Time-of-Click プロテクション設定 で当該の URL に対する安全性評価に「許可」が設定されているため、元の URL にアクセスしたことを示します。
警告後中止 と表示されている場合、エンドユーザが書き換え後の URL をクリックした際に Time-of-Click プロテクション設定 で当該の URL に対する安全性評価に「警告」が設定されており、警告画面が表示されたものの「このWebサイトにアクセスする」のリンクをクリックしなかったため、元の URL にはアクセスしていないことを示します。
警告後アクセス と表示されている場合、エンドユーザが書き換え後の URL をクリックした際に Time-of-Click プロテクション設定 で当該の URL に対する安全性評価に「警告」が設定されており、表示された警告画面の「このWebサイトにアクセスする」のリンクをクリックして元の URL にアクセスしたことを示します。
ブロック済み と表示されている場合、エンドユーザが書き換え後の URL をクリックした際に Time-of-Click プロテクション設定 で当該の URL に対する安全性評価に「ブロック」が設定されており、ブロック画面が表示されて元の URL にはアクセスしていないことを示します。
URLクリック追跡では、エンドユーザが書き換え後の URL をクリックして Time-of-Click プロテクションサーバにアクセスが発生した場合のみログが生成されます。誰も書き換え後の URL をクリックしていなければログは検索されません。