PhishERブロックリスト機能は、悪意のあるメールやスパムメールをユーザーの受信箱に配信しないようにします。ユーザーから報告されたメールを確認するときに、ブロックリストを更新し、脅威やスパムに関する情報をMicrosoft 365メールサーバーに送信できます。

ブロックリストを有効にし、メールサーバーに接続すると、ブロックリストエントリを作成して管理できます。各エントリには、メールサーバーがメッセージを今後フィルタリングするために使用する情報が含まれます。たとえば、悪意のあるメールアドレスのエントリを作成すると、メールサーバーはそのメールアドレスから送信されたメールをユーザーの［Junk］（迷惑）フォルダに自動的に移動します。

PhishERブロックリストの詳細については、以下のセクションを参照してください。

PhishERブロックリストの有効化と承認

エントリを作成する前に、PhishERブロックリストを有効にする必要があります。また、Microsoft Entra IDを使用するMicrosoft 365アカウントで、PhishERブロックリストアプリケーションにExchange管理者ロールを割り当てて、ブロックリストを承認する必要があります。

ブロックリストを有効にして承認するには、以下のステップに従って操作します。

1. PhishERコンソールで、[Settings]（設定） > [Blocklist]（ブロックリスト）に移動します。
2. Microsoft 365メールサーバーがブロックリストに接続されていない場合、[Microsoft 365に接続]をクリックし、接続を追加します。
3. ページ上部の［Disabled］（無効）の横にあるトグルボタンをオンにして、［Save］（保存）をクリックします。
4. Microsoft Entra IDポータルで、PhishERブロックリストアプリケーションにExchange管理者ロールを割り当てます。
   
   
   注：ブロックリストの有効化の詳細については、「PhishERの設定：インテグレーション」の記事を参照してください。ロールを割り当てる方法の詳細については、「PhishERブロックリストアプリケーションにExchange管理者ロールを割り当てる方法」の記事を参照してください。

PhishERブロックリストエントリの作成

[Blocklist]（ブロックリスト）タブまたは［Message Details］（メッセージの詳細）ページから、ブロックリストに追加するエントリを作成できます。PhishMLを有効にしている場合、［PhishML］タグを使用して、ブロックリストに追加する値を使用してメッセージの優先順位を設定することもできます。

［Blocklist］（ブロックリスト）タブや［Message Details］（メッセージの詳細）ページでエントリを作成する方法については、以下のサブセクションを参照してください。

[Blocklist]（ブロックリスト）タブからのエントリの作成

[Blocklist]（ブロックリスト）タブから新しいエントリを作成するには、以下のステップに従って操作します。

1. PhishERコンソールにログインします。
2. ［Blocklist］（ブロックリスト） > ［Your Syncing Entries］（同期中のエントリ）に移動します。
3. 次に、ページ右上隅にある［Create Blocklist Entry］（ブロックリストエントリの作成）ボタンをクリックします。[Create Blocklist Entry]（ブロックリストエントリの作成）ポップアップウィンドウが表示されます。
4. ポップアップウィンドウで、フィールドに入力してエントリを作成します。詳細については、以下のスクリーンショットとリストを参照してください。
   
   1. [Attribute]（属性）：エントリに使用する属性を選択します。この属性とは、メールサーバーがフィルタリングする情報のタイプです。送信者のメールアドレスやドメインを値として使用する場合は、[Sender]（送信者）オプションを選択します。例えば、「username@domain.com」のような完全なメールアドレスや、「domain.com」のようなドメイン名を［Value］（値）に入力できます。完全なURLまたはホスト名を値として使用する場合は、[URL]オプションを選択します。例えば、［Value］（値）に「www.sitename.com/sitepage」や「www.sitename.com」と入力できます。SHA-256ファイルハッシュを値として使用する場合は、[File Hash]（ファイルハッシュ）オプションを選択します。
   2. [Value]（値）：このフィールドに、メールサーバーがメッセージをフィルタリングするトリガーとなる特定の情報を入力します。例えば、［Attribute］（属性）として［Sender］（送信者）を選択した場合、このフィールドに送信者のメールアドレスを入力します。
   3. [Duration]（期間）：このドロップダウンメニューから、エントリをブロックリストに残す期間を選択します。この期間を過ぎると、エントリは自動的にブロックリストから削除されます。30日間の期間がデフォルトで選択されています。これは、Microsoftのテナント許可/ブロックリストのデフォルトの期間と同じような長さになっています。
      注：PhishERの[Settings]（設定）の[Preferences]（環境設定）サブタブで、[Allow Blocklist entries without an expiration date]（有効期限のないブロックリストエントリを許可）設定が有効になっている場合、[Never Expire]（有効期限なし）オプションを利用できます。
      サイバー犯罪者は攻撃の方法を頻繁に変更していますので、ブロックリストは常に最新の状態に維持することが重要です。期間を設定することで、ユーザーが最近報告したメッセージの情報を使用してブロックリストを更新できます。
5. [Save]（保存）をクリックすると、ブロックリストにエントリが追加されます。

エントリを作成すると、エントリのステータスやその他の詳細を監視できます。詳細については、この記事の「ブロックリストエントリの監視」のセクションを参照してください。

[Message Details]（メッセージの詳細）ページからのエントリの作成

[Message Details]（メッセージの詳細）ページから新しいエントリを作成するには、以下のステップに従って操作します。

1. PhishERコンソールにログインします。
2. [Inbox]（受信箱）タブに移動します。
3. メッセージをクリックして、[Message Details]（メッセージの詳細）ページを開きます。
4. 属性の横にある赤いブロックアイコンをクリックします。[Create Blocklist Entry]（ブロックリストエントリの作成）ポップアップウィンドウが表示されます。
5. ポップアップウィンドウで、フィールドに入力してエントリを作成します。詳細については、以下のスクリーンショットとリストを参照してください。
   
   1. [Attribute]（属性）：エントリに使用する属性を選択します。この属性とは、メールサーバーがフィルタリングする情報のタイプです。送信者のメールアドレスやドメインを値として使用する場合は、[Sender]（送信者）オプションを選択します。例えば、「username@domain.com」のような完全なメールアドレスや、「domain.com」のようなドメイン名を［Value］（値）に入力できます。完全なURLまたはホスト名を値として使用する場合は、[URL]オプションを選択します。例えば、［Value］（値）に「www.sitename.com/sitepage」や「www.sitename.com」と入力できます。SHA-256ファイルハッシュを値として使用する場合は、[File Hash]（ファイルハッシュ）オプションを選択します。
   2. [Value]（値）：このフィールドに、メールサーバーがメッセージをフィルタリングするトリガーとなる特定の情報を入力します。例えば、［Attribute］（属性）として［Sender］（送信者）を選択した場合、このフィールドに送信者のメールアドレスを入力します。
   3. [Duration]（期間）：このドロップダウンメニューから、エントリをブロックリストに残す期間を選択します。この期間を過ぎると、エントリは自動的にブロックリストから削除されます。30日間の期間がデフォルトで選択されています。これは、Microsoftのテナント許可/ブロックリストのデフォルトの期間と同じような長さになっています。
      注：PhishERの[Settings]（設定）の[Preferences]（環境設定）サブタブで、[Allow Blocklist entries without an expiration date]（有効期限のないブロックリストエントリを許可）設定が有効になっている場合、[Never Expire]（有効期限なし）オプションを利用できます。
      サイバー犯罪者は攻撃の方法を頻繁に変更していますので、ブロックリストは常に最新の状態に維持することが重要です。期間を設定することで、ユーザーが最近報告したメッセージの情報を使用してブロックリストを更新できます。
6. [Save]（保存）をクリックすると、ブロックリストにエントリが追加されます。

エントリを作成すると、エントリのステータスやその他の詳細を監視できます。詳細については、この記事の「ブロックリストエントリの監視」のセクションを参照してください。

PhishERブロックリストエントリの監視

[Your Syncing Entries]（同期中のエントリ）サブタブから、ブロックリストエントリを監視できます。エントリは、値を基準にして表示されます。

エントリを作成すると、[Blocklist]（ブロックリスト）タブの［Your Syncing Entries］（同期中のエントリ）サブタブが表示されます。また、エントリを削除し、各エントリのメールサーバー間での同期状況を確認できます。

このサブタブの詳細については、以下のスクリーンショットとリストを参照してください。

1. [Filter by Attribute]（属性別にフィルタリング）：これらのフィルタを使用して、特定の属性があるエントリを表示できます。
   注：PhishER Blocklistには、Sender、URL、およびFile Hash属性ごとに最大500件のエントリが含まれています。
2. [Filter by Status]（ステータス別にフィルタ）：これらのフィルタを使用して、特定のステータスのエントリを表示できます。
3. [Filter by Entry Type]（エントリタイプ別にフィルタリング）：グローバルブロックリストを有効にしている場合、これらのフィルタを使用して、グローバルブロックリストのエントリまたはPhishERブロックリストのカスタムエントリのみを表示できます。
4. [Value]（値）：この列には、エントリの値が表示されます。値は、送信者のアドレス、URL、またはファイルハッシュになります。メールサーバーはこの値を使用して、同じ値を持つメールをフィルタリングします。メールがフィルタリングされる仕組みについては、以下のリストを参照してください。
   • ［URL or File Hash］（URLまたはファイルハッシュ）：エントリと一致するURLまたはファイルハッシュ値がメールに含まれている場合、メールサーバーは自動的にそのメールを［Quarantine］（隔離）フォルダに移動します。
   • ［Sender］（送信者）：エントリと一致する送信者の値がメールに含まれている場合、メールサーバーは自動的にそのメールを［Junk］（迷惑）フォルダに移動します。
   ヒント：列の値をクリックして、［Blocklist Audit Log］（ブロックリスト監査ログ）ページを表示することもできます。詳細については、この記事の「 監査ログのレビュー」のセクションを参照してください。
5. [Status]（ステータス）：この列には、エントリのステータスが表示されます。ステータスの詳細については、以下のリストを参照してください。
   • [Pending]（保留中）：このステータスは、ブロックリストへのエントリの追加または削除が処理中であることを示します。
   • [Active]（アクティブ）：このステータスは、エントリがブロックリストに追加され、接続されたメールサーバーと同期されたことを示します。
   • [Incomplete]（未完了）：このステータスは、エントリが追加され、接続されているメールサーバーの1つ以上（全てではない）に同期されたことを示します。
   • [Failed]（失敗）：このステータスは、エントリの追加と同期が正常に行われていないことを示します。ブロックリストに複数のメールサーバーが接続されている場合、エントリがすべてのメールサーバーと正しく同期されないと、エントリは[Failed]（失敗）と表示されます。
6. [Created By]（作成者）：この列には、このエントリを作成したユーザーが表示されます。PhishER管理者がPhishERブロックリストのエントリを作成している場合、[Admin]（管理者）が表示されます。KnowBe4のThreat Research Labチームがグローバルブロックリストのエントリを作成している場合、［KnowBe4］が表示されます。
7. [Created On]（作成日）：この列には、エントリがブロックリストに追加された日時が表示されます。
8. [Expires On]（期限）：この列には、エントリがブロックリストから自動的に削除される日時が表示されます。
   注：PhishERブロックリストは、10分ごとにMicrosoft 365のメールサーバーと同期します。この時、Microsoft 365の[テナントの許可/ブロック]リストで保留中のエントリが、PhishERコンソールの[Your Syncing Entries]（同期中のエントリ）サブタブに追加されます。[テナントの許可/ブロック]リストの既存のエントリを、PhishER Blocklistと同期するときには、最大で24時間かかる場合があります。[Expires On]（期限）列には、同期したエントリが両方のブロックリストから削除される日時が表示されます。[テナントの許可/ブロック]リストのエントリまたはPhishERブロックリストのエントリに有効期限が含まれていない場合、[Expires On]（期限）列には[Never Expires]（有効期限なし）と表示されます。
9. [Actions]（アクション）：この列のごみ箱のアイコンをクリックすると、[Delete Blocklist Entry]（ブロックリストエントリの削除）ポップアップウィンドウが開きます。このウィンドウで、PhishERブロックリストからエントリを削除できます。または、エントリを削除および無視して、PhishERブロックリストに追加されないようにできます。エントリを無視する方法については、以下の「エントリの無視」のサブセクションを参照してください。

エントリの無視

メールサーバーでエントリがブロックされるのを防止するには、そのエントリを［Your Ignored Entries］（無視するエントリ）に追加できます。無視するエントリはPhishERブロックリストに追加できません。あなたの組織のドメインは自動的に無視され、手動で無視するエントリにも追加することはできません。

エントリを無視すると、PhishERブロックリストで一致するエントリは全て保留中のステータスになり、削除されることが示されます。無視するエントリが［Your Ignored Entries］（無視するエントリ）サブタブで削除されない限り、ブロックリストで一致するエントリを作成することはできません。

既存のブロックリストエントリを無視するには、以下のステップに従って操作します。

1. PhishERコンソールにログインします。
2. ［Blocklist］（ブロックリスト） > ［Your Syncing Entries］（同期中のエントリ）に移動します。
3. 無視するエントリを見つけます。
4. このエントリの［Actions］（アクション）列にあるごみ箱のアイコンをクリックします。[Delete Blocklist Entry]（ブロックリストエントリの削除）ポップアップウィンドウが表示されます。
5. ポップアップウィンドウで、［Delete and Ignore］（削除して無視）をクリックします。無視するエントリが［Your Ignored Entries］（無視するエントリ）サブタブに追加され、ブロックリストのエントリが保留中のステータスになり、削除されることが示されます。

[Your Ignored Entries]（無視するエントリ）サブタブから無視するエントリを作成するには、以下のステップに従って操作します。

1. PhishERコンソールにログインします。
2. [PhishER] > ［Your Ignored Entries］（無視するエントリ）に移動します。
3. 次に、ページ右上隅にある[Create Ignored Entry]（無視エントリの作成）ボタンをクリックします。[Create Ignored Entry]（無視するエントリの作成）ポップアップウィンドウが表示されます。
4. ポップアップウィンドウで、無視するエントリを作成します。詳細については、以下のスクリーンショットとリストを参照してください。
   1. [Attribute]（属性）：無視するエントリに使用する属性のタイプを選択します。送信者のメールアドレスやドメインを値として使用する場合は、[Sender]（送信者）オプションを選択します。例えば、「username@domain.com」のような完全なメールアドレスや、「domain.com」のようなドメイン名を［Value］（値）に入力できます。完全なURLまたはホスト名を値として使用する場合は、[URL]オプションを選択します。例えば、［Value］（値）に「www.sitename.com/sitepage」や「www.sitename.com」と入力できます。SHA-256ファイルハッシュを値として使用する場合は、[File Hash]（ファイルハッシュ）オプションを選択します。
   2. [Value]（値）：このフィールドには、メールサーバーでブロックされないようにする特定の値を入力します。例えば、［Attribute］（属性）として[Sender]（送信者）を選択した場合、このフィールドに送信者のメールアドレスを入力します。
   
5. [Save]（保存）をクリックすると、そのエントリが無視するエントリに追加されます。

［Your Ignored Entries］（無視するエントリ）サブタブで、全ての無視するエントリを監視できます。このサブタブの詳細については、以下のスクリーンショットとリストを参照してください。

1. [Search...]（検索）：このフィールドを使用して、Luceneクエリを使用して、無視するエントリをフィルタリングできます。
   
   
   注：似た値のあるエントリを検索する場合、ワイルドカードを使用できます。例えば、「*yahoo.com」と検索すると、「yahoo.com」が含まれる全ての値を検索できます。詳細については、「Luceneクエリ構文の使用方法」の記事を参照してください。
2. [Filter by Attribute]（属性別にフィルタリング）：これらのフィルタを使用して、特定の属性タイプのエントリを表示できます。
3. [Value]（値）：この列には、エントリの値が表示されます。
4. [Created On]（作成日）：この列には、無視するエントリが追加された日時が表示されます。
5. [Actions]（アクション）：この列にあるゴミ箱のアイコンをクリックすると、無視するエントリを削除できます。無視するエントリを削除した場合、そのエントリの値を使用してPhishERブロックリストに新しいエントリを作成できます。

監査ログの確認

PhishERコンソールでは、[Blocklist]（ブロックリスト） > [Audit Log]（監査ログ）サブタブに移動して、監査ログを表示できます。監査ログには、エントリの作成、削除、メールサーバーとの同期の日時など、PhishERブロックリストとグローバルブロックリストに関するアクティビティが含まれます。

このサブタブの詳細については、以下のスクリーンショットとリストを参照してください。

1. [Timestamp]（タイムスタンプ）：この列には、［Event Action］（イベントアクション）列のアクションが発生した日時が表示されます。
2. [Event Type]（イベントタイプ）：この列には、発生したアクションのタイプが表示されます。イベントのタイプの詳細については、以下のリストを参照してください。
   • [Entry Updated]（エントリの更新）：このタイプは、エントリが作成または削除されたことを示します。
   • [Entry Synced]（エントリの同期）：このタイプは、エントリがPhishERブロックリストと同期されたことを示します。
   • [Blocklist Synced]（ブロックリストの同期）：このタイプは、全てのエントリが接続されている全メールサーバーについて同期されたことを示します。
3. [Value]（値）：この列には、影響を受けるエントリの値が表示されます。
4. [Updated By]（更新者）：この列は、アクションを実行したユーザーが表示されます。エントリが更新されると、この列にはそのエントリを更新したユーザーのメールアドレスが表示されます。個々のエントリまたはブロックリストが同期されると、この列にはメールサーバーのIDまたはメールサーバー名が表示されます。システムがアクションを実行した場合、この行は空欄になります。
5. [Event Action]（イベントアクション）：この列には、特定のエントリまたはブロックリストで実行されたアクションが表示されます。エントリが作成されたときには、［Created］（作成）と表示されます。エントリまたはブロックリストが接続されたメールサーバーと同期されると、［Synced］（同期）と表示されます。エントリが削除されたときには、［Deleted］（削除）が表示されます。
6. [Status]（ステータス）：この列には、アクションが成功したか失敗したかが表示されます。