フィッシング訓練🔗
サービス概要🔗
この訓練は、お客様の組織内のユーザーが不正なメールを認識できるかをテストし、個々のセキュリティ意識を高め、ソーシャルエンジニアリング攻撃への警戒心を強化することを目的としています。Secureworks Adversary Group(SwAG)のメンバーが、実際のフィッシング脅威を模倣した1つまたは複数のフィッシングキャンペーンを実施します。選択されたキャンペーンはお客様の組織に合わせて調整され、該当する場合は、ユーザー(従業員)が配信されたメールに対して反応する割合を高めるよう最適化されます。
サービス手法🔗
Secureworksは、以下の2種類のフィッシング訓練を提供します。
Click and Log
Secureworksは、標準で用意されたキャンペーンシナリオの中から選択し、事前に選定された従業員に対してキャンペーンを実施します。フィッシングメールには架空の不正リンクが含まれており、ターゲットとなる従業員にメールが配信されると、Secureworksはリンクをクリックした従業員のトラフィックを監視し、データおよび統計情報を収集します。これは、不正なメールへの反応を示します。
Credential Capture
Secureworksは、オープンソースインテリジェンス(OSINT)収集およびパッシブ偵察を実施し、事前に選定された従業員がログイン認証情報を入力するよう誘導するフィッシングキャンペーンをカスタマイズします。メール配信後、Secureworksはトラフィックを監視し、フィッシングメールに反応した従業員および認証情報を送信した従業員のデータと統計情報を収集します。なお、取得した認証情報は本訓練中に利用されることはありません。
成果物🔗
Secureworksは、お客様組織の指定された連絡先にレポートを提出します。レポートには、フィッシングのターゲット、使用した手法、および各キャンペーンの成功状況が詳細に記載されます。
スコーピング情報🔗
| スコープ | 説明 |
|---|---|
| Click and Log - Small | 最大1,000件のターゲットメールアドレス、最大2つのキャンペーン |
| Click and Log - Medium | 最大5,000件のターゲットメールアドレス、最大4つのキャンペーン |
| Credentials Capture - Small | 最大500件のメールアドレスおよび2つのキャンペーン |
| Credentials Capture - Medium | 最大1,000件のメールアドレスおよび4つのキャンペーン |
お客様の義務および制限事項🔗
-
この訓練の目的はエンドユーザーを直接テストすることであり、メールセキュリティをテストするものではありません。そのため、フィッシングメールの送信ドメインは、すべてのメールフィルターやセキュリティデバイスでホワイトリスト登録し、許可する必要があります(対策技術でブロックしないでください)。これができない場合、フィッシング訓練は実施できません。
-
本訓練のサービスユニット費用は、Secureworksが使用する標準テンプレート(英語のみ利用可能)に基づいています。テンプレートのカスタマイズや追加言語が必要な場合は、追加のサービスユニットが発生します。
スケジューリングおよび予約情報🔗
本サービスのスケジューリングについては、サービススケジューリングをご参照ください。