突然アイテムが消えた!場合の対策

Last Update:

今回はオンプレミス Exchange Server 2013 や Exchange Online を利用しているお客様で突然アイテムが消えた!という問題に直面した場合に、どのような対策を打つべきかについて纏めました。
アイテムが削除されるとデータの内容によっては非常に深刻な問題となることがありますので、今回ご紹介する内容がお役に立てればと思っております。

 
A. Exchange Server のデータ保護機能について


オンプレミス Exchange Server 2013 や Exchange Online では、ユーザーが故意的にまたは意図せずメールボックス データを削除してもアイテムを常に保持できるようにインプレース保持や訴訟ホールドという機能があります。
インプレース保持および訴訟ホールドでは、各メールボックス上の回復可能なアイテム (Recoverable Items) フォルダーと呼ばれる特殊なフォルダー内にアイテムを保持するため、ユーザーがアイテムを変更もしくは削除しても回復可能なアイテム フォルダーに変更及びアイテムが保存され、管理者が該当アイテムを抽出することができます。もしインプレース保持と訴訟ホールドについてこれまで利用を検討したことがないという管理者様は、是非以下の TechNet 情報をご参照した上でご利用をご検討下さい。

Title: インプレース保持と訴訟ホールド
URL : https://technet.microsoft.com/ja-jp/library/ff637980(v=exchg.150).aspx

回復可能なアイテム フォルダーについては以下の TechNet 情報として詳しく解説しております。

Title: [回復可能なアイテム] フォルダー
URL : https://technet.microsoft.com/ja-jp/library/ee364755(v=exchg.150).aspx

 
B. データ復旧方法


データが復旧できるかどうかは最も重要なポイントです。以下の何れかの方法で復旧できないかどうか確認します。

-----------------------------------------------------------
B-1 Outlook の “削除済みアイテムを復元” ボタンから復元
------------------------------------------------------------
削除されたアイテムが回復可能なアイテム フォルダーの Deletions と呼ばれるサブフォルダーに入っている場合は、Outlook の “削除済みアイテムを復元” ボタンからアイテムを復元できます。
アイテムの復元方法について以下の公開情報をご参考下さい。

Title: Outlook の削除済みアイテムを復元する
URL : https://support.office.com/ja-jp/article/Outlook-の削除済みアイテムを復元する-49e81f3c-c8f4-4426-a0b9-c0fd751d48ce

Title: 完全に削除してしまったメール アイテムを復元する方法
URL : http://www.microsoft.com/ja-jp/atlife/tips/archive/office/tips/083.aspx

------------------------------------------------
B-2 電子情報開示エクスポート ツールを使用して復元
-----------------------------------------------------
Outlook の “削除済みアイテムを復元” ボタンから復元できない場合や、管理者による作業を行たい場合は Exchange 管理センター (EAC) から電子情報開示エクスポート ツールを使用して復元できるかどうか確認します。
以下の公開情報を参考に削除対象のアイテムを含まれるようなインプレース電子情報開示検索を作成し、検索の結果を PST ファイルへエクスポートします。

Title:インプレース電子情報開示検索を作成する
URL : https://technet.microsoft.com/ja-JP/library/dd353189(v=exchg.150).aspx

Title: 電子情報開示検索の結果を PST ファイルへエクスポート: Exchange 2013 Help
URL : https://technet.microsoft.com/ja-jp/library/dn440164(v=exchg.150).aspx

 
C. 削除された要因を特定するための確認事項


データが復旧できたとしてもなぜアイテムが意図せず削除されたのか特定する必要がある場合があります。アイテムが予期せず削除されるケースは様々な要因がありますが、まずは以下の点を確認します。

・他のフォルダーにアイテムが移動されていないかどうか
・アイテムが削除された具体的な日時
・アイテムが削除された時間帯にアクセスしていたユーザー
・アイテムが削除された時間帯でユーザーが行った操作内容
・受信トレイ ルールやアイテム保持ポリシーの設定
・事象の発生したユーザーのメールボックスにアクセスできる他のユーザーがいるかどうか
・パスワード変更による再現性

上記についてユーザー様に確認する他に Exchange 側での確認方法について以下にご紹介します。

-----------------------------------------
C-1 アイテムが別フォルダーへ移動されていないかどうか
-------------------------------------------
アイテムが削除されたと申告があってもアイテムが別のフォルダーに移動されている場合があります。そのため、削除されたと申告のあるアイテムを OWA や Outlook から検索してヒットするかどうか確認します。また、PowerShell より Exchange Online へ接続 (オンプレミスの場合は Exchange 管理シェルを起動) し、Get-MailboxFolderStatistics コマンドを実行し各フォルダーのアイテム数を確認することで、特定のフォルダーに消失したアイテムが移動されていないか判断するための参考になる場合もあります。 

Get-MailboxFolderStatistics -Identity "<該当のユーザーのメールアドレス>" | Export-Csv -Encoding Utf8 -NoTypeInformation -Path "c:\temp\MailboxFolderStatistics_メールボックス名.csv"

アーカイブ メールボックス上のフォルダーで問題があった場合は、-Archive オプションを付けて以下のように実行します。

Get-MailboxFolderStatistics –Archive -Identity "<該当のユーザーのメールアドレス>" | Export-Csv -Encoding Utf8 -NoTypeInformation -Path "c:\temp\MailboxFolderStatistics_メールボックス名-Archive.csv"

---------------------------------------------
C-2 アイテムが削除された具体的な日時の特定
-----------------------------------------------
ユーザー様に確認してもらうか「B-1 Outlook の “削除済みアイテムを復元” ボタンから復元」の方法でアイテムが復旧できる場合は、“削除日時” フィールドにて削除された日時が確認できます。

------------------------------
C-3 事象発生時の操作状況
------------------------------
アイテムが削除された時間帯でユーザー様が行った操作を可能限り詳細にヒヤリングします。例えば、金曜に Outlook を終了し翌週月曜に Outlook を起動したらアイテムがなくなっていた、週末はメールボックスに接続していない、等の状況を確認します。 なお、Exchange Online 限定ですが、PowerShell より Exchange Online へ接続し、Get-ConnectionByClientTypeDetailReport コマンドを実行することで、事象発生日時の前後での対象のユーザー様からの接続履歴を確認することができます。

---
Get-ConnectionByClientTypeDetailReport -ResultSize unlimited -StartDate <事象発生推定日時の前日 (例: 04/04/2015)> -EndDate <事象発生推定日時の翌日 (例: 04/05/2015) > | where {($_.UserName -eq "<ユーザー名>")} | Export-Csv -Encoding Utf8 -NoTypeInformation -Path "c:\temp\ConnectionByClientTypeDetailReport_メールボックス名.csv"
---

<参考情報>
Title: Get-ConnectionByClientTypeDetailReport
URL : https://technet.microsoft.com/ja-jp/library/jj873752(v=exchg.150).aspx

--------------------------------------
C-4 事象発生時の監査ログからの接続状況
----------------------------------------
メールボックスの監査ログ (※) を有効にすることで事象発生時にどのユーザーからどのような操作を行われたのかどうか確認することができます。メールボックスの監査ログについて以下の公開情報をご参考下さい。

Title : メールボックス監査ログの活用
URL : http://blogs.technet.com/b/exchangeteamjp/archive/2015/11/11/using-mailbox-audit-log.aspx

Title : メールボックスの監査ログの出力
URL : https://technet.microsoft.com/ja-jp/library/ff459237(v=exchg.150).aspx

Title : Enable mailbox auditing in Office 365
URL : https://technet.microsoft.com/en-us/library/dn879651.aspx

※既定では無効となっているため、事前に監査ログを有効にする必要があります。
メールボックスの監査ログを有効にする場合は、以下のようにコマンドを実行します。以下の例ではアイテム削除に関する操作の監査ログを有効にしています。
-特定メールボックスに対して有効にする場合
Set-Mailbox –Identity “<メールボックス名>” -AuditEnabled $true -AuditOwner MailboxLogin,Move,MoveToDeletedItems,SoftDelete,HardDelete -AuditDelegate Move,MoveToDeletedItems,SoftDelete,HardDelete
-全メールボックスに対して一括で有効にする場合
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled $true -AuditOwner MailboxLogin,Move,MoveToDeletedItems,SoftDelete,HardDelete -AuditDelegate Move,MoveToDeletedItems,SoftDelete,HardDelete

以下の公開情報を参考にメールボックス監査ログをエクスポートすることで事象発生時にどのユーザーからどのような操作を行われたのかどうか確認することができます。
Title: メールボックス監査ログをエクスポートする
URL : https://technet.microsoft.com/ja-jp/library/jj150552(v=exchg.150).aspx
出力例)
メールボックス監査ログは XML 形式で出力されます。例えば User 01 の受信トレイ上にあった件名 "Hello, this is a test message" が User 02 によって OWA より代理アクセスして、削除済みアイテムに移動 (Move) された場合は、以下のように出力されます。
<Event MailboxGuid="b9555db9-45b5-4a60-a424-c5b41c470c15" Owner="User 01" LastAccessed="2015-07-31T23:21:05+00:00" Operation="Move" OperationResult="Succeeded" LogonType="Delegate" DestFolderId="LgAAAAAii7BgA0ilR63eArpCExt3AQBBVcWMk7e1QaWf2C+AcDqxAAAAAAEKAAAB" DestFolderPathName="\削除済みアイテム" FolderId="LgAAAABvdH68p+KhS4Rqflr+LDVEAQDyQTJLToZfSZGrI9niEo88AAAAAAENAAAB" FolderPathName="\受信トレイ" ClientInfoString="Client=OWA;Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko;" ClientIPAddress="167.220.232.210" InternalLogonType="Owner" MailboxOwnerUPN="user01@contoso.com" MailboxOwnerSid="S-1-5-21-4016215872-4056554821-1302376290-5556572" DestMailboxOwnerUPN="user02@contoso.com" DestMailboxOwnerSid="S-1-5-21-4016215872-4056554821-1302376290-5156954" DestMailboxGuid="51cd723e-a101-4ab0-943d-b542dfc2b5da" CrossMailboxOperation="true" LogonUserDisplayName="User 02" LogonUserSid="S-1-5-21-4016215872-4056554821-1302376290-5156954" OriginatingServer="HKXPR06MB119 (15.01.0213.013)">
   <SourceItems>
      <Item Id="RgAAAABvdH68p+KhS4Rqflr+LDVEBwDyQTJLToZfSZGrI9niEo88AAAAAAENAABsiQmoHQQ5SZmRYE0x1goUAADSB+n6AAAJ" Subject="Hello, this is a test message" FolderPathName="\受信トレイ" />
   </SourceItems>
</Event>

--------------------------------------------------
C-5 事象発生時の管理者監査ログからの設定変更履歴
----------------------------------------------------
問題のメールボックスに対して管理者が何かしらの操作を行ったことがないかどうか管理者監査ログから確認することができます。既定では管理者監査ログは有効です。

Title: 管理者監査ログを表示する
URL : https://technet.microsoft.com/ja-jp/library/dn342832(v=exchg.150).aspx

コマンドの場合は以下のように実行します。
Search-AdminAuditLog -StartDate <事象発生推定日時の前日 (例: 04/04/2015)> -EndDate <事象発生推定日時の翌日 (例: 04/05/2015) > | Export-Csv -Encoding UTF8 -NoTypeInformation -Path "c:\temp\AdminAuditLog.csv"


Title: Search-AdminAuditLog
URL : http://technet.microsoft.com/ja-jp/library/ff459250(v=exchg.150).aspx


----------------------------------------------------
C-6 受信トレイ ルールやアイテム保持ポリシーの設定
---------------------------------------------------
ユーザーが作成した受信トレイ ルールによって別のフォルダーへ移動されたまたは削除される場合や、管理者が設定したアイテム保持ポリシーによってアイテムがアーカイブ メールボックスへ移動されたりアイテムが削除されている場合があります。
関連する受信トレイ ルールやアイテム保持ポリシーの設定がないかどうか確認します。保持ポリシーについて以下の公開情報をご参照下さい。


Title: 保持タグおよびアイテム保持ポリシー
URL : https://technet.microsoft.com/ja-jp/library/dd297955(v=exchg.150).aspx

またPowerShell より Exchange Online へ接続 (オンプレミスの場合は Exchange 管理シェルを起動) し、以下の 3 つのコマンドを実行することで受信トレイ ルールやアイテム保持ポリシーの設定を確認することができます。

---
Get-InboxRule -Mailbox "メールボックス名" | Export-Csv -Encoding Utf8 -NoTypeInformation -Path "c:\temp\InboxRule_メールボックス名.csv"

Get-RetentionPolicy | Export-Csv -Encoding Utf8 -NoTypeInformation -Path "c:\temp\RetentionPolicy.csv"

Get-RetentionPolicyTag | Export-Csv -Encoding Utf8 -NoTypeInformation -Path "c:\temp\RetentionPolicyTag.csv"
---

---------------------------------------------
C-7 メールボックス及びフォルダー権限の確認
------------------------------------------
第 3 者からアクセスできるようなメールボックス権限がフォルダーに対してアクセス権限が設定されているかどうか確認します。PowerShell より Exchange Online へ接続 (オンプレミスの場合は Exchange 管理シェルを起動) し、以下のコマンドを実行することで確認することができます。

Get-MailboxPermission -Identity "<対象のユーザー様のメールアドレス>" |Export-Csv -Encoding Utf8 -NoTypeInformation -Path "c:\temp\MailboxPermission_メールボックス名.csv"

Get-MailboxFolderPermission -Identity "<対象のユーザー様のメール エイリアス>:\<アイテムが消えたフォルダー名>" |Export-Csv -Encoding Utf8 -NoTypeInformation -Path "c:\temp\MailboxFolderPermission_メールボックス名.csv"

<参考情報>
Title: Get-MailboxPermission
URL : https://technet.microsoft.com/ja-JP/library/aa998218(v=exchg.150).aspx

Title: Get-MailboxFolderPermission
URL : https://technet.microsoft.com/ja-JP/library/dd335061(v=exchg.150).aspx

---------------------------
C-8 パスワード変更による再現性
----------------------------
該当のメールボックスへの資格情報を入手している第3者が該当メールボックスにアクセスして意図せずにアイテムを削除する操作を行っている可能性があります。その可能性を排除するために該当メールボックスのパスワードを変更し、事象が再発しないかどうか確認します。

 
まとめ


以上が突然アイテムが消えた場合の対策や確認事項となります。意図せずアイテムが削除された事象が発生しても管理者様は慌てずにデータの復旧から原因特定まで流れを追ってご対応下さい。また弊社の技術サポートへ問い合わせて調査のご要望を頂く場合は、上記の確認事項を予めてご確認頂くことで調査がスムーズに進むことがありますので、ご協力頂けますと幸いです。なお弊社の技術サポートへ問い合わせ頂く際には上記の確認事項と併せて事象が発生したユーザー情報を確認するために以下のコマンドの実行結果を提供してもらうように依頼させてもらうことがございますので、補足させて頂きます。


コマンドの実行
Get-Mailbox -Identity <対象のユーザー様のメールアドレス> | Export-Csv -Encoding Utf8 -NoTypeInformation -Path "c:\temp\Mailbox_メールボックス名.csv"

Get-MailboxStatistics -Identity <対象のメールアドレス> -IncludeMoveReport -IncludeMoveHistory | Export-Csv -Encoding Utf8 -NoTypeInformation -Path "c:\temp\MailboxStatistics_メールボックス名.csv"

アーカイブ メールボックスの場合
※アーカイブ メールボックス上のフォルダー内のアイテムが消えた場合は、それぞれのコマンドを -Archive オプションを付けて実行します。
Get-Mailbox -Identity <対象のユーザー様のメールアドレス> -Archive | Export-Csv -Encoding Utf8 -NoTypeInformation -Path "c:\temp\ArchiveMailbox_メールボックス名.csv"

Get-MailboxStatistics -Identity <対象のメールアドレス> -Archive -IncludeMoveReport -IncludeMoveHistory | Export-Csv -Encoding Utf8 -NoTypeInformation -Path "c:\temp\ArchiveMailboxStatistics_メールボックス名.csv"