SharePoint Online や Microsoft Teams はウイルスチェックしてるんですか?と、今日はそんな質問を受けました。

してるはずだけど…、そういえばどういう動作になるんだろうな?というわけで、さっそく試してみました。

2020 年 3 月時点の動作です。

ウイルスに感染したファイルを共有する

とりあえずウイルスに感染したファイルを用意します。と言っても、本物のウイルスファイルをそんなに都合よくは用意できないので、EICAR というダミーのウイルスファイルを作成して試してみます。

はい。なんの警告もなく、Microsoft Teams で共有できてしまいました。これは大変ですね!

アップロード後にスキャンされるらしい

こりゃ大変だ!と、ファイルタブを開いてみると、ファイル名の横に見慣れないアイコンがありました。マウスを載せてみると「マルウェアが検出されました。いくつかのコマンドは使用できません」と表示されます。

どうやら、アップロード後に非同期でスキャンが実行され、ファイルに対してウイルス感染のフラグが立つようです。それによって「開く」だとか「リンクをコピー」だとかのいろいろなメニューが無効化されているのが分かります。

それでもクリックしてみると、次のような警告が表示されました。

このようなファイルを見つけたら、削除しておけば良さそうですね。

SharePoint Online のライブラリでも確認してみる

裏側にある SharePoint Online のライブラリでも確認してみましょう。Microsoft Teams のファイルタブと同様に、マルウェアを検出した旨の表示がありました。

そして、操作も制限されているのが分かります。

ダウンロードはできるらしい

どうやらダウンロードも出来そうなのでダウンロードしようとすると次のような警告が表示されました。

自分で対処できるのであれば、ダウンロードしても良いよということなのでしょうか。今回は新しい Microsoft Edge で検証しましたが、ダウンロードしたファイルは「安全でないファイル」として自動的に削除されたようでした。

やっぱりパソコン側のウイルス対策も重要ですね。

OneDrive クライアントで同期してみる

ブラウザではなく OneDrive クライアントで同期を行い、パソコンにファイルをダウンロードしたらどうなるだろうかと試してところ、ちゃんと次のようにブロックされました。

ウイルス感染していると判断されたファイルは同期ができないようです。

ダウンロードさせたくない!

管理者の方であれば、ブラウザでダウンロードされては困る!と考える方もいると思います。調べてみたところ、どうやら PowerShell で設定を行うことができるテナントのプロパティを設定することでダウンロードを禁止できるようです。

SharePoint Online Management Shell を利用して管理者としてテナントに接続し、次のように設定します。

Set-SPOTenant -DisallowInfectedFileDownload $true

テナントのプロパティとして DisallowInfectedFileDownload があり、こちらを True に変更することでウイルス感染したファイルのダウンロードを禁止できるようです。

設定が適用されると、ダウンロードしようとした場合の警告が次ように変わりました。

ダウンロードのオプションが非表示になっていますね。

もっと詳しく知りたい!

もっと詳しく知るために、公式の情報を集めてみました。

SharePoint Online のウイルス検出
https://docs.microsoft.com/ja-jp/microsoft-365/security/office-365-security/virus-detection-in-spo

SharePoint Online、OneDrive、または Microsoft Teams で悪意のあるファイルが検出された場合の対処方法
https://support.office.com/ja-jp/article/01e902ad-a903-4e0f-b093-1e1ac0c37ad2

Office 365 ATP for SharePoint、OneDrive、Microsoft Teams
https://docs.microsoft.com/ja-jp/microsoft-365/security/office-365-security/atp-for-spo-odb-and-teams

ウイルス感染による脅威を管理するためには、Office 365 ATP が必要になるようですね。

そして今回のような表示は、SharePoint Online のモダンライブラリを利用していることが前提のようです。クラシックのライブラリでは表示されないようですね。

さいごに

Microsoft の公式ドキュメントにも繰返し記載がありますが、こうした脅威への対策は複数のレイヤーで実装することが推奨されています。Office 365 側でも対策しているものの、やはりブラウザやパソコンでもウイルス対策が必要だということですね。

こうした動作の確認は思い立った時にしか出来ないので、簡単ではありましたが動作を確認できて良かったです。