プレイブックを使用する

チューリッヒセキュリティ管理

Release

zurich

ft:locale

ja-JP

ft:publication_title

チューリッヒセキュリティ管理

ft:clusterId

security

bundleId

security

workflow

Technology

なりすましメール (同じ表示名を使用) プレイブックを使用する

リリースバージョン: Zurich

更新日 2025年07月31日

所要時間：3分

このプレイブックを使用して、なりすまし名が用いられたメールが組織の従業員に送信されたときにトリガーされる、なりすましメールを調査します。以下に示すステップは、なりすましメール (同じ表示名を使用) プレイブックで使用できるアクション、タスク、サブフローの段階的な説明です。

始める前に

必要なロール：

sn_si.admin
flow_designer

手順

プレイブックがトリガーされて実行が開始されたら、アクション 1 で、Proofpoint に継続的ななりすましメールがないかどうかを確認する必要があります。
アクション 2 では、Proofpoint に継続的なメールがある場合に、それが内部のなりすましメールであるかどうかを確認します。
アクション 3 では、それが内部のなりすましメールである場合に、次のアクションを実行します。
1. アクション 5 では、Virus Total、Anomali Threat Stream Sandbox、urlquery.net、PhishTank などのソースを使用して URL 分析を実行する必要があります (たとえば、PhiskTank と Anomali を確認します)。
2. アクション 6 では、Linux VM (Ubuntu など) 上の URL を調査する必要があります。
  
  図 : 1. なりすましメール (同じ表示名を使用) プレイブック
3. アクション 7 では、WHOIS でドメインがいつ作成されたかを調べる必要があります。
  疑わしくフィッシング攻撃の可能性が高い、最近 (先週内に) 登録されたドメインを探します。
4. アクション 8 では、これまでに行われた調査に基づいて、このメールに悪意のある添付ファイルまたはリンクが含まれているかどうかを確認する必要があります。
  このメールに悪意のある添付ファイルまたはリンクが含まれていない場合、フローは終了します。
  図 : 2. なりすましメールに悪意のある添付ファイルまたはリンクが含まれている
5. アクション 9 では、メールに悪意のある添付ファイルまたはリンクが含まれている場合に、次のアクションを実行します。
  1. アクション 10 では、影響を受けているユーザーに連絡して、認証情報が侵害されていないかどうかを確認する必要があります。提供されたメールテンプレートを使用して、影響を受けるユーザーに連絡できます。
  2. アクション 11 では、メールの応答に基づいて、認証情報が侵害されているかどうかを確認する必要があります。認証情報が侵害されていなければ、フローは終了します。
    1. アクション 12 では、認証情報が侵害されていた場合に、アクション 13 で、さらに別のユーザーが影響を受けているかどうかを確認する必要があります。別のユーザーが影響を受けていない場合、フローは終了します。
    2. アクション 14 では、別のユーザーが影響を受けていた場合に、次のアクションを実行します。
      
      アクション 15 では、Microsoft Exchange Online を使用してメールを検索および削除する必要があります。
      
      アクション 16 では、Office 365 と Proofpoint の送信者と悪意のあるファイルまたは添付ファイルをブロックする必要があります。
アクション 17 では、これが内部のなりすましメールでない場合に、影響を受けるユーザーのシステムが影響を受けているかどうかを確認する必要があります。
アクション 18 では、ユーザーのシステムが影響を受けている場合に、アクション 19 で、IT チケットを発行して、影響を受けるシステムを再イメージ化します。

図 : 3. 影響を受けるユーザーのシステムが影響を受けているかどうかを確認する
アクション 20 では、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。