フィッシング訓練🔗
サービス概要🔗
この訓練は、お客様の組織内のユーザーが不正なメールを認識し、個々のセキュリティ意識を高め、ソーシャルエンジニアリング攻撃に対する警戒心を強化することを目的としています。Secureworks Adversary Group(SwAG)のメンバーが、実際のフィッシング脅威を模倣した1つまたは複数のフィッシングキャンペーンを実施します。選択されたキャンペーンはお客様の組織に合わせて調整され、該当する場合は、ユーザー(従業員)が配信されたメールに対して反応する割合を高めるよう最適化されます。
サービス手法🔗
Secureworksは、以下の2種類のフィッシング訓練を提供します。
Click and Log
Secureworksは、標準的な事前作成済みのキャンペーンシナリオからキャンペーンを作成し、事前に選定された従業員に配信します。フィッシングメールには架空の不正リンクが含まれており、ターゲット従業員にメールが配信されると、Secureworksはリンクをクリックした従業員のトラフィックを監視し、不正メールへの反応を示すクリックデータや統計情報を収集します。
Credential Capture
Secureworksは、オープンソースインテリジェンス(OSINT)収集およびパッシブ偵察を実施し、事前に選定された従業員がログイン認証情報を入力するよう誘導するフィッシングキャンペーンをカスタマイズします。メール配信後、Secureworksはトラフィックを監視し、フィッシングメールに反応した従業員および認証情報を送信した従業員のデータや統計情報を収集します。なお、取得した認証情報は本訓練中に一切利用しません。
成果物🔗
Secureworksは、お客様組織の指定された連絡先にレポートを提出します。レポートには、フィッシング対象者、使用した手法、各キャンペーンの成功状況が詳細に記載されます。
スコーピング情報🔗
| スコープ | 説明 |
|---|---|
| Click and Log - Small | 最大1,000件のターゲットメールアドレス、最大2件のキャンペーン |
| Click and Log - Medium | 最大5,000件のターゲットメールアドレス、最大4件のキャンペーン |
| Credentials Capture - Small | 最大500件のメールアドレスおよび2件のキャンペーン |
| Credentials Capture - Medium | 最大1,000件のメールアドレスおよび4件のキャンペーン |
お客様の義務および制限事項🔗
-
この訓練の目的はエンドユーザーを直接テストすることであり、メールセキュリティのテストではありません。そのため、フィッシングメールの送信ドメインはホワイトリストに登録し、すべてのメールフィルターやセキュリティデバイスで許可する必要があります(緩和技術でブロックしないでください)。これができない場合、フィッシング訓練は実施できません。
-
本訓練のサービスユニット費用は、Secureworksが使用する標準テンプレート(英語のみ利用可能)に基づいています。テンプレートのカスタマイズや追加言語が必要な場合は、追加のサービスユニットが発生します。