Global Blocklist（グローバルブロックリスト）は、メールの脅威に関する情報を提供するクラウドソースを使用して、悪意のあるメールやスパムメールがユーザーの受信箱に送信されないようにします。KnowBe4の脅威リサーチラボのチームでは、全てのPhishER Blocklist（PhishERブロックリスト）や他のソースのデータを蓄積し、グローバルブロックリストエントリを作成しています。これらのエントリには、メールサーバーが迷惑メールをフィルタリングするために使用する情報が含まれます。

Global Blocklist機能は、PhishER Plusを契約されているアカウントのみで利用できます。この機能を有効にしてMicrosoft 365メールサーバーに接続すると、メールサーバーがGlobal Blocklistに接続されます。脅威リサーチラボのチームがGlobal Blocklistを更新すると、メールサーバーのブロックリストのエントリも自動的に更新されます。

PhishER Blocklistの使用の詳細については、「PhishER Blocklistの使用方法」の記事を参照してください。

Global Blocklistの有効化と承認

Global Blocklistを使用する前に、PhishERプラットフォームでこの機能を有効にする必要があります。また、Microsoft Entra IDを使用するMicrosoft 365アカウントで、Global BlocklistアプリケーションにExchange管理者ロールを割り当てて、Global Blocklistを承認する必要があります。

Global Blocklistを有効にして承認するには、以下のステップに従って操作します。

1. PhishERプラットフォームで、［Settings］（設定） > ［Blocklist］（ブロックリスト）に移動します。
2. Microsoft 365メールサーバーがブロックリストに接続されていない場合、[Microsoft 365に接続]をクリックし、接続を追加します。
   注：PhishER Blocklistを既に有効にしており、Microsoft 365メールサーバーに接続している場合は、このステップとステップ6を省略できます。
3. ［Global Blocklist Disabled］（グローバルブロックリストの無効化）の横のトグルボタンをオンにします。
4. ［Terms and Conditions］（利用規約）ポップアップウィンドウが開きますので、プライバシーポリシーと利用規約を確認して同意します。プライバシーポリシーと利用規約の両方を確認したら、[I Accept]（合意する）をクリックします。
5. Global Blocklistの設定を保存するには、［Save］（保存）をクリックします。
6. Microsoft Entra IDポータルで、Global BlocklistアプリケーションにExchange管理者ロールを割り当てます。詳細については、「PhishERブロックリストアプリケーションにExchange管理者ロールを割り当てる方法」の記事を参照してください。

Global Blocklistエントリの監視

Global Blocklistを有効にして承認すると、KnowBe4の脅威リサーチラボのチームが管理するブロックリストエントリにアクセスできるようになります。［Blocklist］（ブロックリスト） > ［Your Syncing Entries］（同期中のエントリ）に移動して、［Filter by Entry Type］（エントリタイプでフィルタリング）で［Global Entries］（グローバルエントリ）を選択すると 、Global Blocklistの全てのエントリを表示できます。

自社でGlobal BlocklistとPhishER Blocklistを有効にしている場合、［Your Syncing Entries］（同期中のエントリ）サブタブにはメールサーバーと同期されたPhishER BlocklistエントリとGlobal Blocklistエントリが表示されます。エントリは、値を基準にして表示されます。このサブタブの詳細については、以下のスクリーンショットとリストを参照してください。

1. [Filter by Attribute]（属性別にフィルタリング）：これらのフィルタを使用して、特定の属性タイプのエントリを表示できます。
   注：PhishER Blocklistには、Sender、URL、およびFile Hash属性ごとに最大500件のエントリが含まれています。
2. [Filter by Status]（ステータス別にフィルタ）：これらのフィルタを使用して、特定のステータスのエントリを表示できます。
3. [Filter by Entry Type]（エントリタイプ別にフィルタリング）：これらのフィルタを使用して、PhishER BlocklistのGlobal Blocklistエントリまたはカスタムエントリのみを表示できます。
4. [Value]（値）：この列には、エントリの値が表示されます。値は、送信者のアドレス、URL、またはファイルハッシュになります。メールサーバーはこの値を使用して、同じ値を持つメールをフィルタリングします。メールがフィルタリングされる仕組みについては、以下のリストを参照してください。
   • ［URL or File Hash］（URLまたはファイルハッシュ）：エントリと一致するURLまたはファイルハッシュ値がメールに含まれている場合、メールサーバーは自動的にそのメールを［Quarantine］（隔離）フォルダに移動します。
   • ［Sender］（送信者）：エントリと一致する送信者の値がメールに含まれている場合、メールサーバーは自動的にそのメールを［Junk］（迷惑）フォルダに移動します。
   ヒント：列の値をクリックして、［Blocklist Audit Log］（ブロックリスト監査ログ）ページを表示することもできます。詳細については、この記事の「 監査ログのレビュー」のセクションを参照してください。
5. [Status]（ステータス）：この列には、ブロックリストエントリのステータスが表示されます。ステータスの詳細については、以下のリストを参照してください。
   • [Pending]（保留中）：このステータスは、ブロックリストへのエントリの追加または削除が処理中であることを示します。
   • [Active]（アクティブ）：このステータスは、エントリがブロックリストに追加され、接続されたメールサーバーと同期されたことを示します。
   • [Incomplete]（未完了）：このステータスは、エントリが追加され、接続されているメールサーバーの1つ以上（全てではない）に同期されたことを示します。
   • [Failed]（失敗）：このステータスは、エントリの追加と同期が正常に行われていないことを示します。ブロックリストに複数のメールサーバーが接続されている場合、エントリがすべてのメールサーバーと同期されないと、エントリは［Failed］（失敗）と表示されます。
6. [Created By]（作成者）：この列には、このエントリを作成したユーザーが表示されます。PhishER管理者がPhishERブロックリストのエントリを作成している場合、[Admin]（管理者）が表示されます。KnowBe4のThreat Research Labチームがグローバルブロックリストのエントリを作成している場合、［KnowBe4］が表示されます。
7. [Created On]（作成日）：この列には、エントリがGlobal Blocklistに追加された日時が表示されます。
8. [Expires On]（期限）：この列には、Global BlocklistおよびMicrosoft 365の［テナント許可/ブロック］リストからエントリが削除される日時が表示されます。
   注：Microsoft 365の［テナント許可/ブロック］リストのエントリは、Global Blocklistと同期されるまで最大で24時間かかる場合があります。
9. [Actions]（アクション）：この列のごみ箱のアイコンをクリックすると、[Delete Blocklist Entry]（ブロックリストエントリの削除）ポップアップウィンドウが開きます。このウィンドウで、PhishERブロックリストからエントリを削除できます。または、エントリを削除および無視して、PhishERブロックリストに追加されないようにできます。エントリを無視する方法については、以下の「エントリの無視」のサブセクションを参照してください。

エントリの無視

メールサーバーでエントリがブロックされるのを防止するには、そのエントリを［Your Ignored Entries］（無視するエントリ）に追加できます。無視するエントリはPhishER Blocklistに追加できません。

エントリを無視すると、PhishER Blocklistで一致するエントリは全て保留中のステータスになり、削除されることが示されます。無視するエントリが［Your Ignored Entries］（無視エントリ）サブタブで削除されない限り、ブロックリストで一致するエントリを作成することはできません。

既存のブロックリストエントリを無視するには、以下のステップに従って操作します。

1. PhishERプラットフォームにログインします。
2. ［Blocklist］（ブロックリスト） > ［Your Syncing Entries］（同期中のエントリ）に移動します。
3. 無視するエントリを見つけます。
4. このエントリの［Actions］（アクション）列にあるごみ箱のアイコンをクリックします。[Delete Blocklist Entry]（ブロックリストエントリの削除）ポップアップウィンドウが表示されます。
5. ポップアップウィンドウで、［Delete and Ignore］（削除して無視）をクリックします。無視するエントリが［Your Ignored Entries］（無視するエントリ）サブタブに追加され、ブロックリストのエントリが保留中のステータスになり、削除されることが示されます。

[Your Ignored Entries]（無視するエントリ）サブタブから無視するエントリを作成するには、以下のステップに従って操作します。

1. PhishERプラットフォームにログインします。
2. [PhishER] > ［Your Ignored Entries］（無視するエントリ）に移動します。
3. 次に、ページの右上隅にある[Create Ignored Entry]（無視するエントリの作成）ボタンをクリックします。[Create Ignored Entry]（無視するエントリの作成）ポップアップウィンドウが表示されます。
4. ポップアップウィンドウで、無視するエントリを作成します。詳細については、以下のスクリーンショットとリストを参照してください。
   • [Attribute]（属性）：無視するエントリに使用する属性のタイプを選択します。
   • ［Sender］（送信者）：送信者のメールアドレスやドメインを値として使用する場合は、このオプションを選択します。例えば、「username@domain.com」のような完全なメールアドレスや、「domain.com」のようなドメイン名を［Value］（値）に入力できます。
   • ［URL］：完全なURLまたはホスト名を値として使用する場合は、このオプションを選択します。例えば、［Value］（値）に「www.sitename.com/sitepage」や「www.sitename.com」と入力できます。
   • ［File Hash］（ファイルハッシュ）：SHA-256ファイルハッシュを値として使用する場合は、このオプションを選択します。
   • [Value]（値）：このフィールドには、メールサーバーでブロックされないようにする特定の値を入力します。例えば、［Attribute］（属性）として［Sender］（送信者）を選択した場合、このフィールドに送信者のメールアドレスを入力します。
5. [Save]（保存）をクリックすると、そのエントリが無視するエントリに追加されます。

［Your Ignored Entries］（無視するエントリ）サブタブで、全ての無視するエントリを監視できます。このサブタブの詳細については、以下のスクリーンショットとリストを参照してください。

1. [Search...]（検索）：このフィールドを使用して、Luceneクエリを使用して、無視するエントリをフィルタリングできます。
   注：似た値のあるエントリを検索する場合、ワイルドカードを使用できます。例えば、「*yahoo.com」と検索すると、「yahoo.com」が含まれる全ての値を検索できます。詳細については、「Luceneクエリ構文の使用方法」の記事を参照してください。
2. [Filter by Attribute]（属性別にフィルタリング）：これらのフィルタを使用して、特定の属性タイプのエントリを表示できます。
3. [Value]（値）：この列には、エントリの値が表示されます。
4. [Created On]（作成日）：この列には、無視するエントリが追加された日時が表示されます。
5. [Actions]（アクション）：この列にあるゴミ箱のアイコンをクリックすると、無視するエントリを削除できます。無視するエントリを削除した場合、そのエントリの値を使用してPhishERブロックリストに新しいエントリを作成できます。

監査ログの確認

PhishERプラットフォームでは、［Blocklist］（ブロックリスト） > ［Audit Log］（監査ログ）に移動して、監査ログを表示できます。監査ログには、エントリの作成、削除、メールサーバーとの同期の日時など、PhishER BlocklistとGlobal Blocklistに関するアクティビティが含まれます。

このサブタブの詳細については、以下のスクリーンショットとリストを参照してください。

1. [Timestamp]（タイムスタンプ）：この列には、［Event Action］（イベントアクション）列のアクションが発生した日時が表示されます。
2. [Event Type]（イベントタイプ）：この列には、発生したアクションのタイプが表示されます。イベントのタイプの詳細については、以下のリストを参照してください。
   • [Entry Updated]（エントリの更新）：このイベントタイプは、エントリが作成または削除されたことを示します。
   • [Entry Synced]（エントリの同期）：このイベントタイプは、エントリがPhishER Blocklistと同期されたことを示します。
   • [Blocklist Synced]（ブロックリストの同期）：このイベントタイプは、全てのエントリが接続されている全メールサーバーで同期されたことを示します。
3. [Value]（値）：この列には、影響を受けるエントリの値が表示されます。
4. [Updated By]（更新者）：この列には、アクションのソースが表示されます。エントリが更新されると、この列にはそのエントリを更新したユーザーのメールアドレスが表示されます。個々のエントリまたはブロックリストが同期されると、この列にはメールサーバーのIDまたはメールサーバー名が表示されます。システムがアクションを実行した場合、この列は空欄になります。
5. [Event Action]（イベントアクション）：この列には、エントリまたはブロックリストで実行されたアクションが表示されます。エントリが作成されたときには、［Created］（作成）と表示されます。エントリまたはブロックリストが接続されたメールサーバーと同期されると、［Synced］（同期）と表示されます。エントリが削除されたときには、［Deleted］（削除）が表示されます。
6. [Status]（ステータス）：この列には、アクションが成功したか失敗したかが表示されます。