Skip to content
検索 localization globe
日本語
キャンセル

フィッシングセキュリティテスト

社員がどれくらい攻撃被害を受けやすいかを、無料のフィッシングシミュレーターテストで確認してみましょう。

データ侵害の 91%がスピアフィッシング攻撃によって生じていることをご存知ですか?

フィッシング攻撃の被害に遭いやすい従業員の割合を、無料のフィッシングセキュリティテストで確認できます。さらに、新しい業界フィッシング​ベンチマークを使用して同業他社と比較し、自社の状況を確認することもできます。
Phishing Security Test

IT専門家は、さらなるセキュリティレイヤーとして模擬フィッシングテストが今すぐに必要であると指摘しています。現在では、ユーザーにフィッシングテストを実施することは、ウィルス対策やファイアウォールと同じくらい重要だと考えられています。組織の最終防衛ラインである「ユーザー」を補強する、楽しく効果的なサイバーセキュリティに対するベストプラクティスを提供します。

KnowBe4のツールの特徴は、犯罪に遭遇する前に、実際のフィッシング攻撃を自分で試すことができるという点です。

仕組み:
  • 最大100ユーザーを対象としたテストをすぐに開始(口頭での説明は不要です)
  • 20以上の言語から選べ、環境に応じてフィッシング
    テンプレートのカスタマイズが可能
  • クリックした後に表示されるランディングページを選択
  • ユーザーが見落としたレッドフラッグや404ページを表示 
  • PPPおよびチャートをPDFで24時間以内にメールで送付、経営陣と共有が可能
  • 自社と同業他社との比較を確認

多くの場合、PPP(フィッシング詐欺ヒット率)は想定より高くなるため、結果を実証することでセキュリティ予算の強化にもつながります。

ユーザーへのフィッシングテストを始めませんか?フォームにご入力いただき、今すぐ始めましょう。

無料のテスト に登録する

Phishing-1

フィッシングとは

フィッシングとは、スパムフィルターをすり抜ける大量一括送信されたメールを利用し、実在の企業や組織を装って、ユーザー名、パスワード、クレジットカード情報などの機微情報を詐取する行為です。

よく見られるのは、知名度のあるソーシャルウェブサイトや銀行、オークションサイト、IT管理者へのなりすましです。これは詐欺的行為であり、ソーシャルエンジニアリングのうちの一つです。

フィッシングに関するよくある質問

フィッシング攻撃を防ぐには何をすればよいでしょうか?
これは決して網羅的なリストではなく、またフィッシングを阻止する「特効薬」は存在しません。しかし、これに対する ベストプラクティスはあります
  1. 直面するリスクを把握する
  2. 適切なポリシーを作成する
  3. システムを最新の状態に維持する
  4. 適切かつ最新のバックアップを取る
  5. フィッシング対策ソリューションを導入する
  6. ユーザーの行動に対するベストプラクティスを採用する
  7. 強固な脅威インテリジェンスを使用する

さらに、どこにいてもユーザーの安全性を確保できるように、対策のヒントを以下でご紹介します。

  1. フィッシング技術について知っておく
  2. クリックする前によく考える
  3. フィッシング対策ツールバーをインストールする
  4. サイトのセキュリティを確認する
  5. 定期的にオンラインアカウントを確認する
  6. 最新のブラウザーを使用する
  7. ファイアウォールを使用する
  8. ポップアップに注意する
  9. 不安を感じたら個人情報を提供しない
  10. ウイルス対策ソフトを使用する 

フィッシング攻撃に対する最終防衛ラインはユーザーです。そのため、定期的なフィッシングシミュレーションテストを実施する、新しいタイプのセキュリティ意識向上トレーニングプログラムを備えることが予防のためにできる最も重要なステップです。

ユーザーにフィッシングテストを行うには?

最終防衛ラインとしてユーザーにフィッシングやトレーニングを提供することは、攻撃から自身を守る上で最も重要な方法です。以下で4つの基本的ステップをご紹介します。

  1. ベースラインテストで、ユーザーのPPP (フィッシング詐欺ヒット率) を分析・評価します。将来の成功を測定するためのデータだけでなく、ユーザーが引っかかる攻撃と引っかからない攻撃のレベルを知っておくと良いでしょう。
  2. オンデマンドでインタラクティブ、かつ楽しんで取り組めるトレーニングにより、セキュリティに対するユーザーの理解が深まります。
  3. 少なくとも月に一度は全ユーザーにフィッシングテストを実施してトレーニングを強化し、学習プロセスを継続しましょう。
  4. トレーニングとフィッシングの両方を実施することで、フィッシングの可能性を限りなく0%に近づけます。

考慮すべき5つのポイント:

  1. 意識向上自体は多層防御の一つに過ぎませんが、極めて重要な要素です
  2. これを一人でやることはできません
  3. すべてをトレーニングすることはできません
  4. 人は自分に関係があると思うことにしか関心を持ちません
  5. 継続的なプロセスは、従業員による懸命なセキュリティ上の意思決定を可能にします

取り入れるべき5つのベストプラクティスは次の通りです。

  1. 始める前に明確な目標を設定する
  2. 経営陣を関与させる
  3. どのような行動を形成したいか考える - 2~3種類を選び、1年から1年半程度取り組む
  4. プログラムをマーケティング業務だと捉える
  5. 最低でも1か月に一度フィッシングテストを実施する

ユーザーへフィッシングを実施することは難しいことではありません。セキュリティ意識向上トレーニングプログラムを使えば上記のことがすべて実現します。企業・組織に関する15~25の質問に答えるだけで、購入の有無にかかわらず、自動化されたセキュリティ意識向上プログラム(Automated Security Awareness Program、ASAP)をカスタマイズして構築することができます。

よくあるフィッシング メールの種類は?

サイバー犯罪者は、フィッシング技術を常にアップデートしています。フィッシング メールの内容は年々進化を遂げています。よくある基本的なメールを以下に紹介します。 

  1. 従来のフィッシング メール: ここ数年、オンラインサービスプロバイダーは、ユーザーのアカウントで異常な行動や心配な動きを検知すると、メッセージを送っています。驚くべきことに、犯罪者たちはこれを利用しています。文法などに問題があったりするものが多くありますが、細心の注意を払わなければ、クリックしてしまう人もいるでしょう。

  2. ソーシャルメディア エクスプロイト: 多くのユーザーがFacebook、LinkedIn、Twitterなどのプラットフォームで情報を公開しています。犯罪者はこの情報を収集して、ユーザーや組織を標的にしたスピアフィッシング メールを作成します。このようなメールは、アカウントの乗っ取り、組織の評判の低下、ネットワークへのアクセスを目的としています。 
     
  3. 感染ファイル: 悪意のあるHTMLの添付ファイルは、.JSや.DOCファイルの添付ファイルほど頻繁には見られませんが、ある理由から利用されることがあります。第一に、HTMLファイルはメールによる攻撃とはあまり関係がないため、アンチウイルスで検出される可能性が低くなっています。第二に、HTMLの添付ファイルは銀行やその他の金融機関でよく使われているため、受信トレイでは見慣れています。 

    フィッシングメールに悪意のあるマクロを仕込むことも、ランサムウェアを送りつける方法としてますます一般的になっています。このような文書は、ウイルス対策プログラムを問題なく通過してしまうことがよくあります。またフィッシングメールには、受信者に緊急の対応をせまるものが多くあります。 ユーザーがマクロを有効にしていない場合は、攻撃が成功することはありません。

  4. CEO詐欺: CEO詐欺とは、サイバー犯罪者が会社のメールアカウントを装って、幹部になりすまして経理や人事の従業員を騙し、不正な電信送金を実行させたり、機密の税務情報を送信させようとする詐欺の一種です。多くの場合、サイバー犯罪者はターゲットにする人物を知るのに十分なデータを集めています。
フィッシングセキュリティテストの仕組みとは?

KnowBe4の無償フィッシングセキュリティテストでは、メール経由のソーシャルエンジニアリング攻撃を受けやすい人数を示すことで、ネットワークの脆弱性レベルを判断することができます。

また、これを使用してソーシャルエンジニアリング攻撃を認識し、それらに適切に対応するという実世界での「演習」をユーザーに提供することで、KnowBe4トレーニングモジュールで受けたトレーニングを補足し、強化することができます。

仕組みは以下の通りです。PSTが企業・組織のユーザーそれぞれにメールを送信します。最初の無償フィッシング セキュリティテストで送付されるリンクテストでは、本文にメールに記載されたリンクをクリックするように書かれています。リンクがクリックされると、ユーザーはランディングページに転送されます。ユーザーは、ベーシックランディングページで、フィッシングテストのシミュレーションに参加したことが伝えられ、受信メールを見る際に確認すべきルールを示されます。

テスト結果には、テストが配信されたユーザー中テストを失敗したユーザーの人数の割合が表示されます。これはPPP(フィッシング詐欺ヒット率)といい、PSTに「失敗」したユーザーの割合を意味します。

フィッシングセキュリティテストを送信したらトレーニングは終了ですか?

テストを実行した後は、アカウントのダッシュボードページで結果が表示されます。企業・組織内で同様のフィッシング攻撃が発生した場合の脆弱性を示すPPP(フィッシング詐欺ヒット率)を見ることができます。さらに、セキュリティ意識向上トレーニングとフィッシングのシミュレーションを1年間自動で実施した後、PPP(フィッシング詐欺ヒット率)を同業他社と比較することもできます。

24時間後には自動でPDFによるレポートがメールで送付されます。クリックした人物を知りたい場合は、担当者または販売店からその情報を入手することがでます。

このような知識を身につけ、この種の攻撃の危険性をユーザーに教えることで、組織を守ることができます。KnowBe4の新しいタイプのセキュリティ意識向上トレーニングを使用することで、組織の目標を達成することが可能になります。KnowBe4を通じて、この無償ツールのような偽のフィッシング攻撃を送信することで、警告サインを発見し、スキルを維持するようユーザーをトレーニングすることができます。

モバイルフィッシングはより悪質になっているのでしょうか?

Lookoutの最新レポートによると、2020年第1四半期におけるモバイルフィッシング攻撃は、2019年の同時期から475%増加しています。モバイル機器への攻撃は目新しいものではありませんが、企業への攻撃ベクトルとして勢いを増しています。

現在、攻撃者はSMSだけでなく、WhatsApp、Facebook Messenger、Instagramなどの人気があり、利用者の多いソーシャルメディアアプリやメッセージングプラットフォームをフィッシングの手段として活用しています。セキュリティ担当者がこのような新たな攻撃経路を見過した場合、組織を危険にさらすことになります。

以下に、モバイル機器の使用がもたらすフィッシング関連リスクの一部を紹介します。

  • アプリ - アプリ内のセキュリティが不十分。無料アプリは、必要ないアクセスを要求することが多くあります。
  • WiFi - モバイル機器は通常、最も強い信号を拾います。一見合法的に見えても、不正なWiFiである可能性があります。もしくはデバイスからの通信を監視、傍受、あるいは改ざんしようと待ち構えている攻撃者かもしれません。
  • Bluetooth - ウイルスの拡散に使われたり、携帯電話をハッキングして組織のデータにアクセスし、悪用されたりすることがあります。
  • ヒューマンエラー - 紛失したり盗まれたりしたデバイスが、デバイスの中にあるデータに興味を持つ買い手に売られる可能性があります。
  • スミッシング - SMSを介して行われるフィッシングを言います。フィッシング メールと同様に、スミッシングでは、個人情報の開示を促されることがあります。例えば、ユーザーが利用する銀行が異常な行動を検知したと連絡してきたり、よく行く店で賞品が当たったという通知が送られてきたり、ありがちな出来事に対して行動を取ることを求められます。
その他のフィッシングの例やモバイル フィッシング、そしてその攻撃を防ぐ方法については、フィッシングに関する詳細ガイドをご覧ください。