フィッシング訓練🔗
サービス概要🔗
この訓練は、お客様の組織内のユーザーが不正なメールを認識できるかをテストし、個々のセキュリティ意識を高め、ソーシャルエンジニアリング攻撃への警戒心を強化することを目的としています。Secureworks Adversary Group(SwAG)のメンバーが、実際のフィッシング脅威を模倣した1つまたは複数のフィッシングキャンペーンを実施します。選択されたキャンペーンはお客様の組織に合わせて調整され、該当する場合は、ユーザー(従業員)が配信されたメールに対して反応する割合を高めるよう最適化されます。
サービス手法🔗
Secureworksは、以下の2種類のフィッシング訓練を提供します。
クリック&ログ
Secureworksは、標準で用意されたキャンペーンシナリオの中から選択し、事前に選定された従業員に対してキャンペーンを実施します。フィッシングメールには架空の不正リンクが含まれており、ターゲット従業員にメールが配信された後、Secureworksはリンクをクリックした従業員のトラフィックを監視し、不正メールへの反応を示すデータや統計情報を収集します。
認証情報取得
Secureworksは、オープンソースインテリジェンス(OSINT)収集およびパッシブ偵察を実施し、事前に選定された従業員がログイン認証情報を入力するよう誘導するフィッシングキャンペーンをカスタマイズします。メール配信後、Secureworksはトラフィックを監視し、フィッシングメールに反応した従業員および認証情報を送信した従業員のデータや統計情報を収集します。なお、取得した認証情報は本訓練中に一切利用しません。
成果物🔗
Secureworksは、お客様組織の指定された連絡先にレポートを提出します。レポートには、フィッシング対象者、使用した手法、各キャンペーンの成功状況が詳細に記載されます。
スコーピング情報🔗
| スコープ | 説明 |
|---|---|
| クリック&ログ - 小規模 | 最大1,000件のターゲットメールアドレス、最大2件のキャンペーン |
| クリック&ログ - 中規模 | 最大5,000件のターゲットメールアドレス、最大4件のキャンペーン |
| 認証情報取得 - 小規模 | 最大500件のメールアドレスおよび2件のキャンペーン |
| 認証情報取得 - 中規模 | 最大1,000件のメールアドレスおよび4件のキャンペーン |
お客様の義務および制限事項🔗
-
本訓練の目的はエンドユーザーを直接テストすることであり、メールセキュリティのテストではありません。そのため、フィッシングメールの送信ドメインはホワイトリストに登録し、すべてのメールフィルターやセキュリティデバイスで許可する必要があります(緩和技術でブロックしないでください)。これが守られない場合、フィッシング訓練は実施できません。
-
本訓練のサービスユニット費用は、Secureworksが使用する標準テンプレート(英語のみ利用可能)に基づいています。テンプレートのカスタマイズや追加言語が必要な場合は、追加のサービスユニットが発生します。
スケジューリングおよび予約情報🔗
本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。