SaaS

mxHEROでメールやファイルが開かれた事を通知・追跡する

はじめに

こんにちわ、セキュリティチームのむろです。

今回はmxHEROのEmail Tracking(以後、メールトラッキング)機能をご紹介します。

このメールトラッキング機能ですが、旧ダッシュボードでも実装されていた機能ですが、少し前に新ダッシュボードでも実装されたので、改めてのご紹介となります。

最初にまとめ

  • メールが開かれたり、共有リンクにアクセスされた操作をトラッキングする機能
  • 「メール送信者」がメールの誤送信が発覚した際にアクセス状況などの把握に利用できる
  • 一方で留意点があり、理解した上で利用する必要がある

何をトラッキング(追跡)する機能なのか

まず、メールトラッキングとは、メール受信者側の以下の2つの操作を追跡する機能です。

  • メール自体が開かれた操作
  • (添付ファイルから置き換わった)共有リンクへアクセスされた操作

通知先は「メールの送信者」自身となります。mxHEROの管理者ユーザーには通知されません。

どのように通知されるか

メール自体が開かれた際の通知(Email Opened)

メール送信者へ送信メールの返信としてmxHERO(noreply@mxhero.com)から以下の通知メールが初回の1度だけ届きます

  • Email sent to [受信者アドレス] has been opened.

共有リンクへアクセスした際の通知(File Opened)

メール送信者へ送信メールの返信としてmxHERO(noreply@mxhero.com)から以下の通知メールが初回の閲覧とダウンロードで1度ずつ届きます

  • [ファイル名] was accessed from email send to [受信者アドレス]

「OPEN TRACKING REPORT」を開く

  • 1つの送信メールに対して1つの「OPEN TRACKING REPORT」が紐づきます。
  • 通知メールに付与されている「OPEN TRACKING REPORT」を開くことで詳細なトラッキング状況を確認できます。レポートには以下の情報を確認できます。
    • いつ検出したか
      • 何回検出しているか
    • メールの受信者
    • 検出タイプ
      • メールがオープンされたか or ファイルが開かれたか
    • ローケーション
    • デバイス環境
    • どのファイルにアクセスしたか
  • ただし、「OPEN TRACKING REPORT」で得られる情報については留意点があり、後述に記載いたします。

どのように仕組みで検出しているのか

送信されたメールを見ると、以下のような仕組みでトラッキングしていることがわかります。

記載のようにメールトラッキング機能はmxHERO側で実装されているため、利用するクラウドストレージに依存しない機能という事になります。

メール自体が開かれた際の通知(Email Opened)

  • mxHEROが送信メールに「https://services.mxhero.com/track/image/xxxxxxxx.png」のようなmxHEROサービス内の画像を埋め込んで送信します。
    • これらの画像はメールの受信者単位で紐付けされて個別に設定される為、メールの受信者単位でトラッキングが可能となります。
  • 埋め込まれた画像は白い1ドットの画像のため、ユーザーからは視認されません。
  • この「https://services.mxhero.com/track/image/xxxxxxxx.png」がメールを開いた際に読み込まれた状態をmxHEROのサービス側で検知してトラッキング処理がされます。

共有リンクへアクセスした際の通知(File Opened)

  • mxHEROで生成する共有リンクがクラウドストレージのURLではなく、「https://services.mxhero.com/track/redirect?u=xxxxxx&d=xxxxxx」とmxHERO上のURLとして置き換わります。
    • これらのURL内のパラメーターはメールの受信者単位で紐付けされて個別に設定される為、メールの受信者単位でトラッキングが可能となります。
  • 上記の「https://services.mxhero.com/track/redirect?u=xxxxxx&d=xxxxxx」へアクセスされた状態をmxHEROのサービス側で検知してトラッキング処理がされます。
  • トラッキング処理後はメールクラウドストレージのURLへリダイレクトされ、メール受信者は意識することなく本来のクラウドストレージ側の共有リンクへアクセスします。

設定方法は?

以下のスクリーンショットのようにルール内のTrackingオプションでどのトラッキングを有効にするか選択するだけとなります。

  • Do not Track Email
    • メールトラッキング機能は無効
  • Track Email Opens
    • メール自体が開かれた際のトラッキング(Email Opened)のみ有効
  • Track only attachment access
    • 共有リンクへアクセスした際のトラッキング(File Opened)のみ有効
  • Track email opens and attachment access
    • メール自体(Email Opened)、共有リンクへアクセスした際のトラッキング(File Opened)の両方が有効

なお、受信メール向けのルールには該当オプション項目は非表示となり、メールトラッキング機能は適用されません。

旧ダッシュボードの場合

  • Fusionルール内の画面から設定します。

新ダッシュボードの場合

  • ルールのstep3 クラウドストレージに対する設定箇所の詳細オプションから設定します

メール誤送信が発覚後の状況確認に利用する

メールトラッキング機能ですが、送信先がメールやファイルを開いたかどうかをメール送信者が把握できるという点から誤送信が発覚した際の「すでにファイルにアクセスされてしまっているか」の状況確認に利用できます。

以下にメール誤送信が発覚した際の対応の流れを比較用にサンプルとして示します。

状況によってはですが、メールトラッキング設定がオンの場合はシステム管理者(情報システム担当者)へ確認やり取りを省略できます。

・実際の誤送信発覚後の対応は自社の正式な手順に則ってご対応ください。
・この記事の比較では「共有リンクの取り消し」操作はメールの送信者が行える構成の前提での記載となります。

メールトラッキング設定がオフの場合

  1. メールの送信者:メールの誤送信に気づく
  2. メールの送信者:誤送信した共有リンクの取り消し操作、またはファイルの削除
  3. メールの送信者:誤送信先のメール受信者へメール及びファイルを参照せずに削除の依頼連絡を行う
  4. メールの送信者:システム管理者へ影響度把握のため、ファイルのアクセス状況を確認依頼
  5. システム管理者:ユーザーから依頼されたファイルのアクセス状況をクラウドストレージの監査ログから確認
  6. システム管理者:ファイルのアクセス状況結果をメール送信者へ連絡
  7. メールの送信者:影響度の把握ができる

メールトラッキング設定がオンの場合

  1. メールの送信者:メールの誤送信に気づく
  2. メールの送信者:誤送信した共有リンクの取り消し操作、またはファイルの削除(操作日時の記録をしておく)
  3. メールの送信者:誤送信先のメール受信者へメール及びファイルを参照せずに削除の依頼連絡を行う
  4. メールの送信者:メールトラッキング機能でメールやファイルがすでに開かれているか確認する
  5. メールの送信者:影響度の把握ができる
  6. メールの送信者:システム管理者へ誤送信発生の報告、誤送信されたファイルのアクセス状況をクラウドストレージの監査ログから追加調査、裏どりを依頼する

メールトラッキング設定によって変わったこと

  • ファイルへのアクセスだけでなく、メールを開いた事自体を追跡可能になる
    • 送信したメールそのものを取り消せるわけではないですが、メール本文も開かれたかどうかが把握できるようになります
  • 誤送信の影響確認がメール送信者自身も行えるようになる
    • 管理者権限が必要となるような、クラウドストレージの監査ログ以外の確認方法が追加される
    • 特にユーザー数が多い組織ではシステム管理者の負担を低減できる可能性がある

メールトラッキング設定に対する留意点

前述のように誤送信時の影響確認に役立つ面もありますが、仕組み上は避けることができない留意点がいくつか存在します。

  • メール送信者への本来の業務と直接関連しない通知メールが増大する
    • 一方でファイルにアクセスされたかどうかなどをメールの受信者単位で把握できる面はある
    • 必要に応じて対象者を絞って設定する事を検討する
  • 受信者から見ると共有リンクのURLがクラウドストレージのドメインではなく、「services.mxhero.com」になる
    • mxHEROを意識していない受信者からは正体不明なドメインURLと認識される可能性がある
    • メール受信者側のメールセキュリティ製品によってはブロック対象となる可能性が増加する
    • mxHeroのメールトラッキングサービス障害=共有リンクへのアクセス不可になる
  • 必ずしも人間のアクセスをトラッキングするとは限らない
    • 受信者のメールセキュリティ製品・機能によってアクセスした結果をトラッキングする可能性がある
    • メール側のプレビュー機能などによるアクセスをトラッキングする可能性がある
    • ロケーションやデバイス情報が実際のユーザーの環境とは異なって認識、あるいは認識できない場合がある
  • メール自体が開かれた際のトラッキング(Email Opened)はメールがHTMLとして開いた際にのみ機能する
    • メーラー側の設定でHTMLとしてメールを開かない設定をしている場合はメール自体が開かれた際のトラッキング(Email Opened)は機能しない可能性がある
  • 共有リンクへアクセスした際のトラッキング(File Opened)が検知するのはあくまでも「services.mxhero.com」へのアクセスとなり、クラウドストレージへの直接のアクセスではない
    • 共有リンクを無効化、ファイルの削除を行なってもトラッキング自体は継続される
    • 正確にはクラウドストレージ側で対処を行った日時を記録・参照して、以降のトラッキング状況を確認する必要がある
  • トラッキング時のURLはmxHEROからメール送信した際の各メール受信者情報との紐付けされている
    • メール受信後にメール転送などされた場合でもメール転送元の受信者としてトラッキングされる
    • ファイルアクセス時のクラウドストレージのアカウントではなく、メール受信者としてトラッキングされる
  • 「OPEN TRACKING REPORT」へはmxHEROの管理コンソールからは遷移ができない
    • 「OPEN TRACKING REPORT」のURLを共有すれば誰でも参照は可能
  • 「OPEN TRACKING REPORT」では生のグローバルIPは表示されない

さいごに

メールトラッキング機能は誤送信時の状況把握がシステム管理者だけでなく「メール送信者」も行えるように役立つ機能です。

このような誤送信発覚時の確認作業の一次対応をエンドユーザーに委任したいケースに有効かと思います。

留意点に注意しつつ、運用に組み込むことをご検討する際の参考になれば幸いです!

また、mxHEROの新ダッシュボードに関する設定手順は以下のブログにもまとまっていますので参考にしていただけると嬉しいです。

mxHEROの新ダッシュボードが公開されたよ!
はじめに こんにちわ、セキュリティチームのむろです。 mxHEROの管理ダッシュボードのデザインや機能に対する…
blog.cloudnative.co.jp

むろ

おいしいおつまみとお酒が好きです。
最近ハマっているのは芋焼酎のソーダ割り。

履き物の基本は下駄の人です。
好きな漫画はワールドトリガーです。

記事一覧