ニュース

従業員のセキュリティ意識向上に、フィッシング詐欺の模擬演習サービス「F-Secure Phishd」提供開始

 エフセキュア株式会社は16日、企業向けのフィッシング攻撃の模擬演習サービス「F-Secure Phishd」の日本での提供を開始した。

 同サービスは、導入企業ごとにカスタマイズした疑似フィッシングメールにより、従業員がどのようなセキュリティ意識を持って行動しているのかを分析するもの。企業のビジネスやブランド価値を脅かすフィッシング詐欺に対して、効果的な対策方法を把握できるほか、セキュリティ意識の向上に繋がるとしている。

 基本パッケージとして、偽のログイン画面などを含む疑似フィッシングサイトの構築、疑似マルウェアの作成、フィッシング詐欺の実施(疑似攻撃メールの作成・送信、誘導のためのやり取り)、F-Secure Phishd管理ポータルへのアクセス用アカウント、効果測定および従業員へのセキュリティトレーニング、報告書作成、管理者向けへの結果報告会などが含まれる。

「F-Secure Phishd」標準サービスの流れ
エフセキュア株式会社の目黒潮氏(サイバーセキュリティ技術本部シニアセールスエンジニア)

 同サービスの特徴として、導入企業の要望に応じてトレーニングサービスの内容を変えることができるカスタマイズ性を、エフセキュアの目黒潮氏(サイバーセキュリティ技術本部シニアセールスエンジニア)は挙げる。

 また、同社のインシデントレスポンス・レッドチーム演習による経験を応用することで、最新の事例と傾向に即した詐欺メールを作成できることも特徴としている。従業員はMicrosoft Office 365プラグインから不審なメールを報告し、フィードバックを受け取ることができる。

 「メールの自動配信とクリック率の報告、指導用の文書だけではなく、カスタマイズされたウェブサイト、文書、タイミングによる実践的トレーニングにより、強固なセキュリティカルチャーの形成をサポートする。」(目黒氏)

 専用の管理ポータルでは、配信メールの確認、フィッシング詐欺のキャンペーン実施状況や結果を確認できる。また、キャンペーン結果は同サービスを導入する同業他社と比較することが可能だ。

F-Secure Phishd管理ポータルのダッシュボード
仕掛けたフィッシング詐欺のキャンペーン実施状況や結果画面を表示できる

 サービスの提供価格は導入規模によって異なるが、標準価格は400万円。メール作成やフィッシングサイトの構築などの追加キャンペーンは100万円/回、オンサイトトレーニングは100万円/回。電話でのオレオレ詐欺などを想定した「音声フィッシング」オプションの価格は要相談としている。

セキュリティ意識の向上が攻撃の成功率低下へのカギに

 企業の機密情報の窃取を目的とした標的型攻撃は、攻撃を仕掛けるまでに標的組織の偵察、攻撃プランの計画、下準備、攻撃開始の4段階に分けられ、この中でフィッシング詐欺は序盤である偵察の段階から使われる。そのため、標的型攻撃で重大なインシデントが起こる前に、まずはフィシング詐欺の被害を抑えることが重要になる。

 特にメールを使ったフィッシング詐欺が多く確認されているが、理由として、LinkedInやFacebook、ダークウェブなどからメールアドレスを入手しやすいこと、送信者アドレスを簡単に改ざんできること、新しい連絡先からでも疑わず内容を見られる可能性が高いことなどを目黒氏は挙げる。

フィッシング詐欺でメールが使われやすい理由

 フィッシング詐欺では、相手をフィッシングサイトなどへ誘導するために、相手を焦らせるなど圧力をかけること、好奇心につけこむこと、取引先や社内の人間になりすます方法があるが、被害を防ぐためには「身元を公開しないことや不自然さを見破ること、フィッシング詐欺ではないかの確認を習慣化する必要がある」という。

 また、攻撃の成功率低下には、セキュリティ技術による対策に加えて、F-Secure Phishdのようなサービスで従業員のセキュリティ意識を向上させることが重要だとした。