TOP > ソリューション > 不審メール対応
 
 
 

PhishMe
 ヒトによる標的型攻撃対策ソリューション(フィッシュミー)

 

 
サイバーセキュリティにおいて、技術的な対策に主に投資が行われてきました。しかし、現在では「感染は防げない、という前提が必要」と言われるようになり、多層防御などの対策の効果に限界があることが明らかになってきました。 しかしながら、ほとんどのサイバー攻撃がメールであることを考えると、「ヒトによる防御」にもっと注目するべきではないでしょうか?
そして、「メールを開くことは止められない」、「不審メール訓練には限界がある」とあきらめている企業が多いのが現状です。
PhishMeの Human Phishing Defense Solution(ヒトによる標的型攻撃対策ソリューション) は、多層防御をすり抜けてきた標的型攻撃などのメールを、ヒトが「気付く」、「開かない」、「報告する」という行動ができるように支援するシステムです。

<構 成>

PhishMe Simulator(フィッシュミー・シミュレーター)

  • PhishMeが独自に収集している実際に行われている攻撃(キャンペーン)情報に基づく豊富なテンプレートからコンテンツ(メールのタイトルや本文)を作成できます。

PhishMe Reporter(フィッシュミー・レポーター)

  • 「不審メール提出ボタン」をメールプログラムにインストールすることにより、報告を安全に容易に行うことができます。

PhishMe Triage(フィッシュミー・トリアージュ)

  • PhishMe Reporterにより報告された不審メールが自動的に分類・分析されるので、自社に対するサイバー攻撃の状況を把握することができます。報告の正確性により社員を自動的に分類し、報告されたメールをグラフィカルに表示します。作成された不審メールの情報に基づき、SIEMやファイアウォール、IPSなどのセキュリティ機器に設定を送り込むことができます。

PhishMe Intelligence(フィッシュミー・インテリジェンス)

  • PhishMe社が独自に収集したフィッシングメールを専門チームが分析し、情報提供するサービスです。提供された情報は、人間が読める形式だけでなく、各種セキュリティ機器が読み込める形式でも提供されるので、素早く最新の脅威情報を展開することができます。


PhishMe Simulator(フィッシュミー・シミュレータ)とPhishMe Reporter(フィッシュミー・レポーター)は、標的型攻撃メールに「気付く」、「開かない」、「報告する」という能力を向上させるトレーニングシステムです。

「2016 SC Magazine ITセキュリティ関連のベスト訓練プログラム賞」を受賞しました。

最近の調査においては、メールによるサイバー攻撃の97%がランサムウェアによるものでした。この97%のランサムウェアは大きな脅威ですが、ランサムウェアに注目が集まっている一方で、残りの3%も大きな脅威です。
これらの標的型攻撃などのサイバー攻撃のほとんどはメールで行われています。また、主要なブラウザによるFlash無効化は、ますますサイバー攻撃の手段がメールに移行することを意味しています。しかし、ファイアウォール、IDS/IPS、SIEM、最新の振る舞い検知や機械学習によるウイルス検知システムなどを用いた「多層防御システム」であってもすり抜けてきます。
技術的な多層防御をすり抜けてきたメールを開くか開かないかは「ヒト」にかかっています。「ヒト」のサイバー攻撃対応能力を向上させることは、最終防衛ラインとして必要な訓練なのです。

これまで標的型攻撃など対策のための訓練には、 1年に1回か2回の不審メール送信サービスが使われてきました。これらの訓練は不審なメールの添付ファイルやリンクを「開かないように」することが主目的となっています。そして多くの組織では「不審なメールは削除すること」、あるいは「不審なメールが届いたら電話すること」などの対応を従業員に教育しています。以下に、主な対応と課題について示します。

 


また、既存の不審メール訓練では、重要なコンテンツとなるメールのタイトルや本文が、実際に行われている攻撃(キャンペーン)に基づかずに作成されている例が多くみられます。それは、訓練事業者とお客様が実際の攻撃に関する情報を収集できていないためです。

 
 

PhishMe Simulator を用いて、以下の手順で不審メール訓練を行います。

 
訓練用の不審メールは、豊富なテンプレートから選択し、自由にカスタマイズすることができます。日本語などの各国語のメールも作成できます。

 
メールは、時間ごとの閾値を設定して送信ができ、閲覧・開封などの状況はリアルタイムに確認できます。


PhishMe Reporter は、OutlookやNotesにインストールして利用します。不審なメールが届いたら、ユーザは「不審メール提出ボタン」を押します。ボタンが押されると自動的にメールはゴミ箱に移動され、管理者にメールそのものが転送されます。管理者は不審メールを分析し、セキュリティシステムに設定を反映させることができるようになります。

 

PhishMe Triageを使うことで、従業員から報告された不審メールを自動的に分類することができます。報告はReporterを使った場合に限らず、不審メールを特定のメールアドレスに送信するようになっていれば、Triageで分析することができます。報告者の正確性、時間、同じメールかどうか、報告された数などを円で表現して、視覚的にサイバー攻撃の状況を把握することができます。

特に、「正確性が高い社員からのみの報告」や「経営者からの報告」などは優先度を上げて対応することができます。また、報告された不審メールを分析した後に、結果を報告者に返信することができます。
ばら撒き型のように多くのメールが報告される場合、一通づつCSIRTが分析して返信するのではなく、まとめて対応することができ、さらに同じ報告が続いた場合でも自動的に返信されます。CSIRTの対応労力が大幅に削減され、本来対応すべき脅威への対応に注力することができるようになります。

 
 報告されたメールはTriageで自動的に分類される

 

Reporterで報告された不審メールは、Triageで処理された後、報告ユーザの正確性が自動的に評価されます。

 


PhishMe Intelligence は、PhishMe社が独自に収集した
フィッシングメールを専門チームが分析し、 情報提供するサービスです。提供された情報は、 人間が読める形式だけでなく、各種セキュリティ機器が 読み込める形式でも提供されるので、素早く最新の 脅威情報を展開することができます。 PhishMe Intelligenceの専門チームは、 世界中から1日に数百万通のメールを収集しています。 その中からマルウェア(RAT、BOT、ランサムウェアなど) に感染するフィッシングメールを抽出し、分析しています。 分析され提供された情報をユーザの各種セキュリティ機器に 取り込むことで、素早く最新の脅威に対応することができます。 さらに、人間が読むことのできる形式でも情報が提供されますので、CSIRTでの分析に有用です。

分析され提供された情報をユーザの
各種セキュリティ機器に取り込むことで、 素早く最新の脅威に対応することができます。 さらに、人間が読むことのできる形式でも情報が 提供されますので、CSIRTでの分析に有用です。

また、最新の脅威情報をトピックスとしてまとめた 情報を PhishMe Threat Alert として提供してい ますので、大量の脅威情報を全て把握しなくても、 最新の脅威情報をフォローアップすることができます。 CSIRTに展開することによって、最新の脅威情報を 共有することができ、自社における脅威への対応能力を 常に最新に保つことができるようになります。



 

不審メール報告訓練

 
これまでのセキュリティ運用やインシデント対応の知見/実績に加え、PhishMeのグローバル情報(全世界2000万ユーザ)を基に、PhishMeの運用サービスを提供しています。
 

①不審メール訓練計画の策定 
不審メール訓練の年間計画の策定やどのようなシナリオ(どの部署に、いつ、どのような内容で)にするのかをコンサルティングいたします。当社独自の知見とPhishMeのインテリジェンス情報をもとに、最新動向を反映した訓練を実施することが出来るようになります。

      • 訓練メールの案作成(添付ファイル or リンクつきメール、ランサム等流行っているもの or 標的型)  
      • 部門ごとの種別・回数の設定  
      • 時間ごと、曜日ごとに設定ができるので、効果的な日時を選択 

 
②不審メール報告訓練の実施と報告
訓練メールを作成して送信する PhishMe Simulatorを利用して、シナリオ設定、メールアドレス登録(部門ごと、組織ごと)、送信日時設定などを行います。指定した時間になると、指定した数のメールを指定した時間間隔、指定した時間、指定した曜日に送ることが出来ます。受信者がメール本文を閲覧した(HTML表示に限る)、添付ファイルを開いたり、リンクをクリックした場合にリアルタイムに情報を収集することが出来ます。
また、不審メールを報告する PhishMe Reporterを利用して、訓練メールを不審なメールとして報告する訓練が行えます。不審メールであると報告した従業員の把握ができます。
繰り返し訓練メールの送信と、不審メールの報告をセットで行うことにより、「不審メールを報告する」という基本的な動作を身に着けることができるようになります。欧米では、3ヶ月に一度程度訓練が行われており、その中でも成績の良くない部門に対しては毎週実施するなどして、効果的に不審メールの開封率の低下と報告率の向上を実現しています。

      • 年4回実施(別途回数を増やすこともできます) 
      • 送信数、メールの閲覧件数、リンククリック/添付ファイル開封件数の日次報告
      • 部門別、シナリオ別に集計結果の報告
      • 繰り返し、リンクをクリック/添付ファイル開封する社員、部門の特定と再訓練の実施


 

不審メール分析

 
開く前に不審と思ったメールや開いた後に不審と思ったメールなど、従業員からPhishMe Reporterで報告されたメールをマルウェアに感染する有害なメールかどうかを分析します。従業員から報告された不審メールをS&Jが分析し、開いても大丈夫なのか、マルウェアに感染する有害なものかどうかを分析して報告します。
 
明らかに有害とは判定されないものの、有害である可能性がある場合には、画像化して提供します。
 
マルウェアに感染するような危険なメールで外部通信を行うものについては、外部通信先の情報を提供しますので、お客様でログ分析やプロキシなどにブロックする設定を実施することができます。
 
このサービスでは、PhishMeを利用していなくても、不審メールを転送により報告している組織であれば、S&Jにそのメールを転送して分析することができます。