公開日
2023年9月1日
更新日
2023年10月27日
新人SEからVision Oneマスターに、私はなる! #5 Cyber Risk Assessment:フィッシングメール対策
こんにちは、セールスエンジニアリング部 Vision Oneオンボーディングチームの森川です。
「新人SEからVision Oneマスターに、私はなる!」シリーズ 第5回の本編では、
Trend Vision One™ (以下、Vision One) の『Cyber Risk Assessmentt』の機能で、標的型攻撃メール・なりすましメールの対策ができる『フィッシングシミュレーション診断』について、
説明から実際の使い方の流れまでスクリーンショット付きで詳しくご紹介します。
なお本シリーズは実際の機能説明となりますので、前段となる以下2つの記事を先に読んでいただくことでより理解が深まります!
・「#1 進化するマルウェアとその対策:EDR/XDRの重要性」
・「#2 トレンドマイクロのEDR/XDRを簡単に紹介」
本記事はVision Oneをご登録いただかなくても最後までお読みいただけますが、この機会に是非無料体験版をお試しいただけると幸いです!
Vision One登録手順につきましてはこちらの記事をご参照ください。
一緒にVision Oneマスターになりましょう!
1.あなたはフィッシングサイト/メールを見分けることができますか?
突然ですが、あなたや会社のメンバーはフィッシングメールを見分けることができますか?
以下は、実際のフィッシングサイトとビジネスメール詐欺 (BEC) の例です。
参考:IPA「ビジネスメール詐欺事例レポート6」
メールから誘導されるフィッシングサイトは正規サイトと非常に類似しており、見分けることが難しくなっています。
また、ビジネスメール詐欺についても英語や直訳された不自然な日本語が使われていた従来の攻撃と比較し、昨今では自然な日本語が使われた攻撃も確認されており、正規のメールと見分けることが難しくなってきています。
このように従来と比較して、フィッシングサイト・ビジネスメール詐欺が巧妙化していることがご理解いただけたかと思います。
本記事では弊社が提供しているフィッシングシミュレーション診断についてご紹介します!
フィッシングシミュレーション診断はVision Oneの『Cyber Risk Assessment』という機能にて実施できるため、まずは簡単に『Cyber Risk Assessment』について説明します。
Cyber Risk Assessmentとは?
Cyber Risk Assessmentでは、クラウドメールボックス、エンドポイント、および環境内を検索して、既存のセキュリティソリューションを回避している可能性のある脅威を検出します。
その中でも本記事ではサイバー攻撃を受けやすいクラウドメールボックスに着目し、「フィッシングシミュレーション診断」についてご説明します。
「フィッシングシミュレーション診断」とは?
Vsion One フィッシングシミュレーション診断では、ご利用の言語を使ったテンプレートから作成した訓練メールの配信し、実施した訓練のステータスをダッシュボード画面から確認できる無償サービス※です。
訓練の実施により、対象の従業員へのセキュリティ意識の啓発と実施結果から今後のセキュリティ教育方針の検討へ役立てることが期待できます。
「フィッシングシミュレーション診断」のメリットを教えて!
Cyber Risk Assessmentの機能である「フィッシングシミュレーション診断」には大きく以下3つのメリットがあります!
・フィッシングシミュレーション診断は、無償※で標的型攻撃メール・フィッシングメールの訓練ができるサービスです。
・本サービスで訓練メールの開封率や偽サイトのクリック率などをモニタリングすることにより、
自社全体のセキュリティリテラシーレベルを把握し、社員の教育方針の検討などに役立てることができます。
・防災訓練のように日頃から従業員へのセキュリティリテラシーを啓発し、従業員自身でメール攻撃を回避する力を強化することができます。
※Vision Oneへのアクセス権が必要です
2.フィッシングシミュレーション診断を行う前の確認事項
さて、「フィッシングシミュレーション診断」に興味を持っていただけましたでしょうか?
実際に検証してみないと活用方法のイメージが沸かないと思うので、動作確認を行っていきましょう。
フィッシングシミュレーション診断を行う前の事前準備が2点あるので、以下それぞれご説明します。
①「Vision Oneに登録されているメールアドレスのドメイン」が「診断を実施する対象メールアドレスのドメイン」と一致しているかどうか
Vsion One導入時に登録しているメールアドレス (ルートアカウント) と一致するドメインを持つ受信者にのみシミュレーションを送信できます。
・ルートアカウントのメールアドレスと一致するドメインを持つ受信者に送信する場合
→下記のアカウントの追加は不要です。
・ルートアカウントのメールアドレスと診断を実施する対象メールアドレスのドメインが異なる場合
→同一ドメインのメールアドレスを持つVision Oneアカウントの追加が必要です。
※ここで追加していただくアカウントは、対象メールアドレスのユーザと同じドメインの管理者アカウントです!
診断を実施する対象メールアドレス全てのユーザを登録していただく必要はございません。
【補足:アカウントの追加方法】
※ユーザアカウントはローカルアカウントとSAMLアカウントの2種類から選択することができます。
本記事ではローカルアカウントの追加する場合の手順を記載しております。
1. Vision Oneコンソール左側にて、 [Account] > [User Accounts] を選択します。
2. [+アカウントを追加] を選択します。
3. 追加するアカウントについての情報を入力し、「追加」を選択します。
ここでは「Master Administrar」を選択します。
役割の違いについての詳細は以下のページをご参照ください。
https://docs.trendmicro.com/ja-jp/enterprise/trend-vision-one/administrative-setti/accountspartlegacy/user-roles_001/predefined-user-role.aspx
【補足:下記のように「アクセス拒否」と表示された場合】
Vision One上でドメインの権限がないメールアドレスを登録している場合、この画面が表示されることがございます。
上記画面が表示された場合は、Vision Oneに登録しているメールアドレスのドメイン権限の有無をご確認ください!
もし権限がないドメインのメールアドレスが登録されていた場合はご利用いただけませんので、お手数ですがドメイン権限のあるメールアドレスにご変更ください。
メールアドレス変更後、登録いただいたドメイン権限のあるメールアドレスを使用してVision Oneにサインインする必要がございます。
ご注意ください。
⚠
・アカウントの種類:SAMLアカウントを選択する場合、 [Account] > [Single Sign-On] からSSOの設定が必要です。
詳細は以下のページをご参照ください。
https://docs.trendmicro.com/ja-jp/enterprise/trend-vision-one/administrative-setti/accountspartlegacy/saml-single-sign-on/configuring-saml-sin.aspx
・役割:各役割に付与されている権限は [Account] > [User Roles] から参照できます。
詳細は以下のページをご参照ください。
https://docs.trendmicro.com/ja-jp/enterprise/trend-vision-one/administrative-setti/accountspartfoundati/user-roles-v1es.aspx
②お客さま環境の設定
フィッシングシミュレーション診断メールを実施するために、お客様環境にて以下2点の作業が必要となります。
1. 画面右上の「設定を編集」をクリックします。
2. 設定画面の「ドメインを確認」タブにてTXTレコードの値が表示されるため、お客様ドメインのDNSホストにてTXTレコードを追加します。
※DNSレコードの反映には時間がかかる場合があります。
3. 画面下部のドメインのステータスが「確認済み」になることを確認します。
本記事では、Microsoft 365の設定方法をご紹介します。
1. 画面右上の「設定を編集」をクリックします。
2. 設定画面の「許可リストの設定」タブにて許可リストの「>設定」をクリックして展開し、以下の情報を確認します。
・送信元ドメイン
・送信元IP
・シミュレーションURL
※URLは時間が経過すると更新されますので、次のシミュレーション開始時にも確認してください。
3. グローバル管理者アカウントにてMicrosoft 365にログインし、Microsoft 365 Defender(https://security.microsoft.com/homepage)を開きます。
4. 「メールとコラボレーション」>「ポリシーとルール」>「脅威ポリシー」>「高度な配信」の「フィッシングシミュレーション」タブを開きます。
5. 「編集」をクリックし、「2-2. 2」で確認した許可リストの情報(送信元ドメイン、送信元IP、シミュレーションURL)を入力し、保存します。
⚠Google Workspaceをご利用の場合は、以下のオンラインヘルプを参照してください。
https://docs.trendmicro.com/ja-jp/enterprise/trend-vision-one/assessment-part/security-assessment/phishing-simulation-/general-allow-list-s/google-workspace-all.aspx
3.フィッシングシミュレーション診断を行ってみよう!
それでは手順2にて事前準備を完了されたかと思いますので、Cyber Risk Assessmentのフィッシングシミュレーション診断ツールを用いて、フィッシングメールを送ってみましょう!
1. 診断設定の開始
1. Vision Oneコンソール左側にて、[Assessment] > [Cyber Risk Assessment] を選択します。
2. フィッシングシミュレーション診断の「診断を開始」をクリックします。
2. フィッシング内容の設定
1. 言語を選択します。
2. メールテンプレートを選択します。
3. 【任意】メールテンプレートの「プレビュー」をクリックすることで、メールのプレビューおよび編集が可能となります。
編集する場合は、「プレビュー」をクリックし「編集」を選択していただくことで、下記の画面のようにページが遷移します。
この「メールテンプレートを編集」画面にて、送信者名/件名/メール本文を任意のものに編集し「アップデート」をクリックします。
4. 【任意】フィッシングWebサイトテンプレートの「プレビュー」をクリックすることで、フィッシングWebサイトのプレビュー、および編集が可能となります。
編集する場合は、「プレビュー」をクリックし「編集」を選択していただくことで、下記の画面のようにページが遷移します。
この「フィッシングWebサイトテンプレートを編集」画面にて、本文を任意の文章に編集し「アップデート」をクリックします。
5. 全ての設定が終わったら、「次へ」をクリックします。
3. 受信者の指定
※データソースは「手動入力」、「CSVファイル」「サードパーティのデータソース」から選択することができます。
本記事では、「サードパーティのデータソース」を選択し、Azure ADから連携する手順をご紹介します。
1. 受信者のデータソースにて「サードバーティのデータソース」を選択します。
2. 接続ステータスにて対象のサードパーティを選択します。本記事では「Azure AD」をクリックし、Azure ADとの連携※を行います。
※Azure ADとの連携を行う際にはMicrosoft 365のグローバル管理者アカウントが必要となります。
3. 受信者リストにサードパーティから連携された受信者が表示されることを確認のうえ、対象の受信者を選択し、「シミュレーションに含める」をクリックします。
※受信者のメールドメインは下記要件を満たしている必要があります。
・Vision Oneにログインしているアカウントのドメインと同一
・「2-1. お客様環境の設定(DNSへのTXTレコードの追加)」にて確認済のドメインと同一
【補足:データソースを「CSVファイル」に指定した場合】
データソースを「CSVファイル」に指定した場合の手順の注意点について簡単に補足させていただきます。
・CSVファイルで指定する際は当該画面からサンプルファイルがエクスポート可能で、下記項目を記載してインポートしてください。
Name / Email / Department / Location (NameとEmailは必須)
・このときインポートするCSVファイルは、次のテスト以降も引き続き利用可能です。
4. 最後に「次へ」をクリックします。
4. 診断期間の設定
1. 診断期間の終了日時を設定します。
※開始日時はシミュレーションが作成された日時に自動的に設定されます。
※シミュレーションの終了日時は開始日時から3~7日の範囲で設定可能です。
2. 最後に「次へ」をクリックします。
5. フォローアップ通知の設定
1. フィッシングに成功した受信者への通知が必要な場合は、通知を有効化します。
2. 通知テンプレートの「プレビュー」をクリックすることで、通知内容の確認、および編集が可能となります。
3. 最後に「作成」をクリックします。
6. 診断の開始を確認
1. 診断が開始され、ステータスが「開始中」となることを確認します。
2. しばらくするとステータスが「処理中」となり、訓練結果の状況が表示されます。
7. フィッシングメール受信者側の操作
今回はテストとして6人にフィッシングメールを送信し、以下5パターンの行動をとりました。
・Aさん:配信済 ※未開封
・Bさん:配信済、開封済み
・C,Dさん:配信済、リンクをクリック
・Eさん:フィッシングに成功した受信者(フィッシングメールのリンクをクリックした受信者)
・Fさん:フィッシングに成功した受信者(リンク先のランディングページで個人情報を入力した受信者)
4.シミュレーション診断結果の見方
それでは、『3. フィッシングシミュレーション診断を行ってみよう!』にて検出したアラートを実際に見ていきましょう!
レポートの概要
レポートからアカウントのセキュリティ意識の状況をパーセンテージにて可視化することができます。
・配信済みの受信者
・開封済みの受信者
・配信失敗の受信者
・フィッシングに成功した受信者
-フィッシングメールのリンクをクリックした受信者
-リンク先のランディングページで個人情報を入力した受信者
レポートの見方
ステータスの画面では、シミュレーション対象となった受信者の「フィッシング成功率とその内訳」が記録されます。
ステータスの画面を下にスクロールすると、ステータスの詳細が確認できます。
ステータスの詳細では、以下図の様にフィッシングメールの送信対象の受信者の操作ログが確認できます。
なお、本レポートはCSV形式でダウンロードすることも可能です!
ダウンロード方法は以下の通りです。
【レポートのダウンロード (CSV形式)】
1. Vision Oneコンソール画面の左メニューにて[Assessment] > [Cyber Risk Assessment]を クリックし、フィッシングシミュレーション診断の「入る」をクリックします。
2. 「診断CSVをダウンロード」をクリックすると、CSV形式のレポートがダウンロードされます。
※シミュレーションが完了しているにもかかわらず「診断CSVをダウンロード」が表示されていない場合は、
「シミュレーションを完了する」をクリックしていただき、再度表示されるかどうかをお試しください。
5.再度フィッシングシミュレーション診断を実施する方法
1. レポート画面右上の「新しいシミュレーションを作成」をクリックします。
2. クリックしていただくと、「1.診断設定の開始」の画面に戻りますので、「診断を開始」をクリックします。
⚠
・「新しいシミュレーションを作成」をクリックすると、現在表示されているレポート画面を後から表示することができなくなるので、必要に応じてスクリーンショットを取得することを推奨します。
・過去の訓練のレポートはCSV形式でのみ出力が可能です。
6.さいごに
お疲れさまでした!
このブログを通して、なりすましメールの概要からフィッシングシミュレーション診断のメリットや設定方法をご紹介させて頂きました!
フィッシングシミュレーション診断をご利用いただくことで、従業員へのセキュリティ意識の啓発と実施結果から今後のセキュリティ教育方針の検討へ役立てることが期待できます。
弊社のフィッシングシミュレーション診断は簡単に実施することができますので、是非ご活用いただけると幸いです!
他の機能について確認されたい場合は、本シリーズ第2回目の「新人SEからVision Oneマスターに、私はなる! #2 トレンドマイクロのEDR/XDRを簡単に紹介」に一覧をまとめているのでご参照ください。
本シリーズでは、この後もその他の便利な機能の紹介記事を書いていく予定ですので、一緒にVision Oneマスターを目指していきましょう!
ここまでお読みいただき、ありがとうございました。
最新情報
最新のVision Oneについての情報については、Online Helpをご確認ください。
Vision Oneのトライアルはこちらからお申込みください!
ブログシリーズ『新人SEからVision Oneマスターに、私はなる!』
トレンドマイクロ株式会社
セキュリティエキスパート本部 セールスエンジニアリング部
Vision One オンボーディングチーム セールスエンジニア
森川 梨奈