Microsoft Defender ZAPと標的型攻撃メール訓練─見落としがちな“訓練メール消失”のリスクとは?

「訓練メールが届かない…」
このような声が、訓練の当日に現場から上がった経験はありませんか?

Office365を利用している企業において訓練を実施される場合、「訓練メールが届かない」という事象の背後にある原因の一つが、Microsoft Defender for Office 365で提供されている**ZAP(Zero-hour Auto Purge)**機能です。

本記事では、ZAP機能の仕組みを解説しつつ、不審なメールを検疫するシステムが導入されている環境下において、標的型攻撃メール訓練を実施する際に注意すべきポイントをご紹介します。

✅ZAP(Zero-hour Auto Purge)とは?

ZAPは、Microsoft Defender for Office 365のセキュリティ機能の一つで、初回スキャンでは見逃したメールであっても、後から脅威と判定された場合に自動でメールボックスから削除(隔離)する仕組みです。

🔄 再評価のタイミングで脅威判定されると、受信済みメールも後から消える
たとえば受信直後はスルーされた訓練メールでも、後からMicrosoftの脅威インテリジェンスで悪意があると誤判定されれば、ZAPによって自動的に削除されてしまいます。

このため、社員に訓練メールが届いたとしても、社員が他の業務に追われるなどしてメールを読めないまま時間が経過すると、届いていた訓練メールがZAP機能によって削除されてしまい、当の社員からは「訓練メールなんて届いていない」なんて報告が上がったりすることになります。

⚠️訓練メールがZAPで削除されるとどうなる?

  • 🛑 訓練の効果が大幅に低下
     メールが届かないため、従業員が訓練に気づかず、意図した学習機会を失います。
     
  • 🧩 「訓練メールを確認できなかった」という問い合わせが続出
     現場の混乱や、訓練の信頼度の低下につながりかねません。
     
  • 🔍 訓練結果の集計にバラつきが出る
     一部のユーザーだけが訓練メールを受け取れない場合、正確な分析が困難になります。

🛡️ZAPの影響を回避しながら訓練を実施するには?

1.訓練実施前にドメインやURLの除外設定を行う

ZAPはフィルタポリシー(Anti-phishing / Anti-spam / Safe Links / Safe Attachments)を通じて判定を行います。訓練用メールの送信元ドメインやリンク先URLを事前に「許可リスト(Allow List)」に登録することが基本対策です。

【参考情報】サード パーティ製フィッシング シミュレーションと SecOps メールボックスへの電子メール配信の高度な配信ポリシーを構成する

📌 設定例:

  • Microsoft 365 Defenderポータルにアクセス(Office365の管理者権限が必要です)
  • ポリシーとルール → スパム対策 → 「許可とブロックリスト」で送信元を許可
  • 「安全なリンク」ポリシーで訓練URLの書き換え除外設定

Office365の管理者権限をお持ちでない場合は、貴社のOffice365テナントを管理されている管理者様にご相談ください。

2.訓練専用の「許可済み」サブドメインを使う

ZAPは新規ドメインや、過去に悪用例のあるドメインに対して敏感です。訓練専用にクリーンな新規サブドメインを用意し、ZAPの既知脅威判定を回避するのも一つの方法です。

3.配信テストは本番の少なくとも2営業日前までに

配信直前のテストでは、除外設定の反映が間に合わずに本番で削除されるリスクがあります。事前に少数ユーザーで受信テストを行い、ZAPの反応を確認しておくことが重要です。

4.ZAPによる削除ログの確認

訓練中に想定外の削除が発生した場合は、「Threat Explorer」や「メール追跡機能」で削除ログを確認してみてください。

🎯訓練成功の鍵は「ZAPとの付き合い方」

ZAPは非常に強力なセキュリティ機能であり、Microsoft 365環境では今や標準的に有効化されています。しかし、このZAPが**「訓練メールを敵」と誤認識する**ケースは意外と多く、事前対策なしでは訓練の信頼性を損なってしまいます。

ZAPに限らず、不審なメールを検知しフィルタする仕組みを導入している場合、訓練メールも不審なメールであると判断することは”ある意味正しい”ため、確実に届くようにしたいのであれば、フィルタされないようにすることはどうしても必要な対応となります。

しかしながら、訓練メールがフィルタされないようにすると、訓練メール自体が悪用されてしまうことがリスクとなりかねないため、フィルタをパスするように設定した場合は、訓練実施期間終了後は速やかに設定を解除するといった対応も必要になります。

これはこれで面倒であったりすることから、実際の攻撃者がそうしているように、ZAPが機能する前にメールが届いてしまうよう、訓練メールの作りや送信方法を工夫してみるといったことも対応案の一つです。

また、管理者に相談したが、セキュリティポリシーを理由にホワイトリストの設定を認めてもらえないというケースもあるかもしれません。この場合はZAPによって削除されてしまうことを前提に、社員全体の何割かでも訓練メールが届けばOKと割り切って訓練を設計するのも一つの考え方かと思います。

🔑 ZAPに対応した訓練設計が、これからの標的型攻撃メール訓練の常識です。

守りを堅くすればするほど、訓練の実施にあたっては考慮すべき事柄が増えてしまいますが、訓練メールがブロックされてしまうことで、自社の守りの強度を実感できるという点では、それはそれで得られるものはあるのかなとは思います。

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示