Microsoft 365で「Creation of forwarding/redirect rule」アラートが出たときの対応|アカウント侵害の初動ガイド
「Creation of forwarding/redirect rule(転送/リダイレクトルールの作成)」は、Microsoft Defender for Office 365 の既定アラートで、ユーザーがメールを自動転送・リダイレクトする受信トレイルールを作成したときに発報します。攻撃者がアカウントを乗っ取った際の典型的な兆候のため、原則として「アカウント侵害の疑い」として初動対応に入るべきアラートです。
結論:このアラートは「情報」レベルでも軽視しないこと。乗っ取り犯はまず密かに転送ルールを仕込んでメールを盗み見・横取りします。
①ルール内容の確認 → ②正当/悪意の判定 → ③不正ルール削除 → ④アカウント封じ込め → ⑤調査 → ⑥再発防止の順で対応してください。
なぜこのアラートが重要なのか
攻撃者は、フィッシングやトークン窃取でメールアカウントを乗っ取ると、最初に受信トレイの転送ルールを作成することがよくあります。目的は次のとおりです。
- 被害者のメールを外部アドレスへ自動転送して盗み見る
- 取引先とのやり取りを横取りし、偽の振込先を案内する(ビジネスメール詐欺・BEC)
- 「請求」「振込」「パスワード」などのメールだけを転送し、本人に気づかれないよう自動で既読・削除する
そのため、既定の重大度が「情報」であっても、侵害の初期兆候として扱うのが鉄則です。
アラートの確認場所
- Microsoft Defender ポータル(security.microsoft.com)→「インシデントとアラート」→「アラート」
- 該当ポリシー名:Creation of forwarding/redirect rule
アラートを開き、次を確認します。
- 対象ユーザー(どのメールボックスか)
- 作成されたルールの転送先アドレス(社内か、外部ドメインか)
- ルールの条件(全件転送か、特定キーワードか、削除・既読化を伴うか)
- ルールの名前(空白・「.」・記号1文字などは要注意)
正当な設定か、侵害か
| 観点 | 正当な可能性が高い | 侵害を強く疑う |
|---|---|---|
| 転送先 | 本人の別の社内/個人アドレス | 見知らぬ外部ドメイン |
| ルール名 | 内容がわかる名前 | 空白・記号1文字など不自然 |
| 条件 | 全件をシンプルに転送 | 「請求」「振込」「パスワード」等のキーワード限定 |
| 付随動作 | なし | 自動で既読化・削除・アーカイブ移動 |
| 利用者確認 | 本人が「設定した」と回答 | 本人に心当たりがない |
判断に迷う場合は、まず本人に確認しつつ、並行して封じ込めを準備するのが安全です。
初動対応の手順
1. 不正な転送ルールの確認・削除
Exchange Online PowerShell で対象メールボックスのルールを確認します。
Connect-ExchangeOnline
# 受信トレイルールの確認
Get-InboxRule -Mailbox user@example.co.jp |
Format-List Name,Enabled,ForwardTo,ForwardAsAttachmentTo,RedirectTo,DeleteMessage,MoveToFolder
# 不正なルールの削除
Remove-InboxRule -Mailbox user@example.co.jp -Identity "不正なルール名"
受信トレイルールとは別に、メールボックスレベルの転送が設定されていないかも確認します。
Get-Mailbox user@example.co.jp |
Format-List ForwardingAddress,ForwardingSmtpAddress,DeliverToMailboxAndForward
# 転送設定の解除
Set-Mailbox user@example.co.jp -ForwardingAddress $null -ForwardingSmtpAddress $null
ルールは Outlook・Outlook on the web・各種連携など複数経路で仕込まれることがあるため、受信トレイルールとメールボックス転送の両方を必ず確認してください。
2. アカウントの封じ込め
転送ルールはあくまで「症状」であり、根本原因はアカウント侵害です。次を実施します。
- パスワードのリセット
- サインインセッション(更新トークン)の失効(Entra 管理センターの「サインインの取り消し」、または Graph の
Revoke-MgUserSignInSession) - MFA の再登録を要求
- 必要に応じて一時的にサインインをブロック
3. 侵入経路と影響範囲の調査
# 統合監査ログで転送ルール操作を追跡
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-30) -EndDate (Get-Date) `
-Operations New-InboxRule,Set-InboxRule,UpdateInboxRules,Set-Mailbox
あわせて確認すべき点:
- Entra のサインインログ:不審なIP・国、不可能な移動(impossible travel)
- 他アカウントへの波及:同様のアラート・ルールが他ユーザーにないか
- OAuth アプリの不正同意:同意フィッシングで権限を奪われていないか
- 送信済み・削除済みアイテム:攻撃者が送ったなりすましメールがないか
4. 関係先への連絡
BEC のように金銭被害の恐れがある場合は、取引先など関係先へ速やかに連絡し、振込先変更の連絡があっても電話などで再確認するよう注意喚起します。
再発防止
- 外部への自動転送をブロック:送信スパムポリシーの自動転送をオフにする(M365 では既定でブロックされるが設定を確認)
Set-HostedOutboundSpamFilterPolicy -Identity Default -AutoForwardingMode Off
- MFA・条件付きアクセスの徹底:そもそもアカウントを乗っ取らせない。方式の選び方は M365 MFA認証方式の比較 を参照
- メールボックス監査の有効化:
New-InboxRule等の操作を監査ログで追えるようにする - プリセットセキュリティポリシーの適用:Defenderプリセットセキュリティポリシー で標準的な保護を一括適用
- 利用者教育:フィッシングを起点とする侵害が大半。フィッシング訓練 で耐性を高める
まとめ
- 「Creation of forwarding/redirect rule」はアカウント侵害(BEC)の初期兆候。重大度が「情報」でも軽視しない
- 対応は ルール確認 → 正当/悪意の判定 → 削除 → アカウント封じ込め → 調査 → 再発防止 の順
- 受信トレイルールとメールボックス転送の両方を確認する
- 根本原因はアカウント侵害。MFA・条件付きアクセス・外部自動転送ブロックで再発を防ぐ
アラート対応の運用や、Defender の設定・インシデント対応の代行は、情シス365(IT運用代行)にご相談ください。メールなりすまし対策の前提となる認証は メール認証 用語集、初動対応全般は サイバーセキュリティ完全ガイド をご覧ください。