攻撃シミュレーション トレーニングの使用を開始する

ヒント

Office 365プラン2のMicrosoft 365 Defenderの機能を無料で試すことができることをご存知でしたか? Microsoft 365 Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 サインアップできるユーザーと試用版の条件については、 こちらを参照してください。

適用対象Microsoft Defender for Office 365プラン 2

Microsoft Defender for Office 365 プラン 2 (アドオン ライセンス、または Microsoft 365 E5 などのサブスクリプションに含まれる) を持つ組織では、Microsoft 365 Defender ポータルで攻撃シミュレーション トレーニングを使用して現実的な機能を実行できます攻撃シナリオをorganization。 これらのシミュレートされた攻撃は、実際の攻撃が収益に影響を与える前に、脆弱なユーザーを特定して見つけるのに役立ちます。 詳細については、この記事を参照してください。

攻撃シミュレーション トレーニングの詳細については、この短いビデオをご覧ください。

注:

攻撃シミュレーション トレーニングは、セキュリティ&で利用可能だった以前の攻撃シミュレーター v1 エクスペリエンスに置き換えられます脅威管理>攻撃シミュレーターまたは https://protection.office.com/attacksimulatorのコンプライアンス センター。

はじめに把握しておくべき情報

• 攻撃シミュレーション トレーニングには、プラン 2 のライセンスをMicrosoft 365 E5またはMicrosoft Defender for Office 365する必要があります。 ライセンス要件の詳細については、「 ライセンス条項」を参照してください。

• 攻撃シミュレーション トレーニングは、オンプレミスのメールボックスをサポートしますが、レポート機能は低下します。 詳細については、「 オンプレミス メールボックスに関する問題の報告」を参照してください。

• Microsoft 365 Defender ポータルを開くには、https://security.microsoft.com にアクセスします。 攻撃シミュレーション トレーニングは、Emailとコラボレーション>攻撃シミュレーション トレーニングで利用できます。 攻撃シミュレーション トレーニングに直接移動するには、 を使用しますhttps://security.microsoft.com/attacksimulator。

• さまざまな Microsoft 365 サブスクリプション間での攻撃シミュレーション トレーニングの可用性の詳細については、「Microsoft Defender for Office 365サービスの説明」を参照してください。

• この記事の手順を実行するには、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Azure AD RBAC: 次のいずれかのロールにメンバーシップが必要です。

    • グローバル管理者
    • セキュリティ管理者
    • 攻撃シミュレーション管理者^*: 攻撃シミュレーション キャンペーンのすべての側面を作成および管理します。
    • 攻撃ペイロード作成者^*: 管理者が後で開始できる攻撃ペイロードを作成します。

    ^*Microsoft 365 Defender ポータルでコラボレーション RBAC をEmail&でユーザーをこのロールに追加することは、現在サポートされていません。

• 攻撃シミュレーション トレーニングに対応する PowerShell コマンドレットはありません。

• 攻撃シミュレーションとトレーニング関連データは、Microsoft 365 サービスの他の顧客データと共に格納されます。 詳細については、「 Microsoft 365 データの場所」を参照してください。 攻撃シミュレーション トレーニングは、APC、EUR、NAM の各リージョンで利用できます。また、ARE、AUS、BRA、CAN、CHE、DEU、FRA、GBR、IND、JPN、KOR、LAM、NOR、QAT、SGP、SWE、ZAF です。

  注:

  NOR、ZAF、ARE、DEU が最新の追加です。 報告された電子メール テレメトリを除くすべての機能は、これらのリージョンで使用できます。 この機能の有効化に取り組んでおり、報告された電子メール テレメトリが利用可能になるとすぐにお客様に通知します。

• 2021 年 6 月の時点で、攻撃シミュレーション トレーニングは GCC で利用できます。 organizationに G5 GCC または Government のMicrosoft Defender for Office 365 (プラン 2) がOffice 365されている場合は、この記事の説明に従って攻撃シミュレーション トレーニングを使用できます。 gcc High または DoD 環境では、攻撃シミュレーション トレーニングはまだ使用できません。

注:

攻撃シミュレーション トレーニングは、試用版として E3 のお客様に機能のサブセットを提供します。 試用版オファリングには、Credential Harvest ペイロードを使用する機能と、"ISA フィッシング" または "マス マーケット フィッシング" トレーニング エクスペリエンスを選択する機能が含まれています。 E3 試用版の一部であるその他の機能はありません。

シミュレーション

フィッシング は、正当な送信者または信頼された送信者からと思われるメッセージの機密情報を盗もうとするメール攻撃の総称です。 フィッシング は、 ソーシャル エンジニアリングとして分類する手法のサブセットの一部です。

攻撃シミュレーション トレーニングでは、複数の種類のソーシャル エンジニアリング手法を使用できます。

• 資格情報の収集: 攻撃者は、URL を含むメッセージを受信者に送信します。 受信者が URL をクリックすると、通常はユーザーにユーザー名とパスワードを求めるダイアログ ボックスが表示される Web サイトに移動します。 通常、宛先ページは、ユーザーの信頼を構築するためによく知られている Web サイトを表すようにテーマが設定されます。

• マルウェアの添付ファイル: 攻撃者は、添付ファイルを含むメッセージを受信者に送信します。 受信者が添付ファイルを開くと、ユーザーのデバイスで任意のコード (マクロなど) が実行され、攻撃者が追加のコードをインストールしたり、さらに自分自身をエントレしたりするのに役立ちます。

• 添付ファイルのリンク: この手法は、資格情報の収集のハイブリッドです。 攻撃者は、添付ファイル内の URL を含むメッセージを受信者に送信します。 受信者が添付ファイルを開き、URL をクリックすると、通常はユーザーにユーザー名とパスワードを求めるダイアログ ボックスが表示される Web サイトに移動します。 通常、宛先ページは、ユーザーの信頼を構築するためによく知られている Web サイトを表すようにテーマが設定されます。

• マルウェアへのリンク: 攻撃者は、既知のファイル共有サイト (SharePoint Online や Dropbox など) 上の添付ファイルへのリンクを含むメッセージを受信者に送信します。 受信者が URL をクリックすると、添付ファイルが開き、ユーザーのデバイスで任意のコード (マクロなど) が実行され、攻撃者が追加のコードをインストールしたり、さらにコードをインストールしたりするのに役立ちます。

• ドライブバイ URL: 攻撃者は、URL を含むメッセージを受信者に送信します。 受信者が URL をクリックすると、バックグラウンド コードの実行を試みる Web サイトに移動します。 このバックグラウンド コードは、受信者に関する情報を収集するか、デバイスに任意のコードを展開しようとします。 通常、宛先 Web サイトは、侵害された既知の Web サイトまたは既知の Web サイトの複製です。 Web サイトに関する知識は、リンクをクリックしても安全であることをユーザーに納得させるのに役立ちます。 この手法は、 水抜き穴攻撃とも呼ばれます。

• OAuth 同意付与: 攻撃者は、データへのアクセスを求める悪意のあるAzure アプリケーションを作成します。 アプリケーションは、URL を含む電子メール要求を送信します。 受信者が URL をクリックすると、アプリケーションの同意付与メカニズムによって、データへのアクセスが求められます (ユーザーの受信トレイなど)。

攻撃シミュレーション トレーニングで使用される URL については、次の一覧で説明します。

• https://www.attemplate.com
• https://www.bankmenia.com
• https://www.bankmenia.de
• https://www.bankmenia.es
• https://www.bankmenia.fr
• https://www.bankmenia.it
• https://www.bankmenia.org
• https://www.banknown.de
• https://www.banknown.es
• https://www.banknown.fr
• https://www.banknown.it
• https://www.banknown.org
• https://www.browsersch.com
• https://www.browsersch.de
• https://www.browsersch.es
• https://www.browsersch.fr
• https://www.browsersch.it
• https://www.browsersch.org
• https://www.docdeliveryapp.com
• https://www.docdeliveryapp.net
• https://www.docstoreinternal.com
• https://www.docstoreinternal.net
• https://www.doctorican.de
• https://www.doctorican.es
• https://www.doctorican.fr
• https://www.doctorican.it
• https://www.doctorican.org
• https://www.doctrical.com
• https://www.doctrical.de
• https://www.doctrical.es
• https://www.doctrical.fr
• https://www.doctrical.it
• https://www.doctrical.org
• https://www.doctricant.com
• https://www.doctrings.com
• https://www.doctrings.de
• https://www.doctrings.es
• https://www.doctrings.fr
• https://www.doctrings.it
• https://www.doctrings.org
• https://www.exportants.com
• https://www.exportants.de
• https://www.exportants.es
• https://www.exportants.fr
• https://www.exportants.it
• https://www.exportants.org
• https://www.financerta.com
• https://www.financerta.de
• https://www.financerta.es
• https://www.financerta.fr
• https://www.financerta.it
• https://www.financerta.org
• https://www.financerts.com
• https://www.financerts.de
• https://www.financerts.es
• https://www.financerts.fr
• https://www.financerts.it
• https://www.financerts.org
• https://www.hardwarecheck.net
• https://www.hrsupportint.com
• https://www.mcsharepoint.com
• https://www.mesharepoint.com
• https://www.officence.com
• https://www.officenced.com
• https://www.officences.com
• https://www.officentry.com
• https://www.officested.com
• https://www.passwordle.de
• https://www.passwordle.fr
• https://www.passwordle.it
• https://www.passwordle.org
• https://www.payrolltooling.com
• https://www.payrolltooling.net
• https://www.prizeably.com
• https://www.prizeably.de
• https://www.prizeably.es
• https://www.prizeably.fr
• https://www.prizeably.it
• https://www.prizeably.org
• https://www.prizegiveaway.net
• https://www.prizegives.com
• https://www.prizemons.com
• https://www.prizesforall.com
• https://www.prizewel.com
• https://www.prizewings.com
• https://www.resetts.de
• https://www.resetts.es
• https://www.resetts.fr
• https://www.resetts.it
• https://www.resetts.org
• https://www.salarytoolint.com
• https://www.salarytoolint.net
• https://www.securembly.com
• https://www.securembly.de
• https://www.securembly.es
• https://www.securembly.fr
• https://www.securembly.it
• https://www.securembly.org
• https://www.securetta.de
• https://www.securetta.es
• https://www.securetta.fr
• https://www.securetta.it
• https://www.shareholds.com
• https://www.sharepointen.com
• https://www.sharepointin.com
• https://www.sharepointle.com
• https://www.sharesbyte.com
• https://www.sharession.com
• https://www.sharestion.com
• https://www.supportin.de
• https://www.supportin.es
• https://www.supportin.fr
• https://www.supportin.it
• https://www.supportres.de
• https://www.supportres.es
• https://www.supportres.fr
• https://www.supportres.it
• https://www.supportres.org
• https://www.techidal.com
• https://www.techidal.de
• https://www.techidal.fr
• https://www.techidal.it
• https://www.techniel.de
• https://www.techniel.es
• https://www.techniel.fr
• https://www.techniel.it
• https://www.templateau.com
• https://www.templatent.com
• https://www.templatern.com
• https://www.windocyte.com

注:

フィッシング キャンペーンで URL を使用する前に、サポートされている Web ブラウザーでシミュレートされたフィッシング URL の可用性を確認します。 多くの URL 評判ベンダーと連携して、これらのシミュレーション URL を常に許可していますが、常に完全なカバレッジ (Google セーフ ブラウズなど) があるとは限りません。 ほとんどのベンダーは、特定の URL (たとえば https://support.google.com/chrome/a/answer/7532419) を常に許可できるガイダンスを提供しています。

シミュレーションを作成する

新しいシミュレーションを作成して送信する手順については、「 フィッシング攻撃をシミュレートする」を参照してください。

ペイロードを作成する

シミュレーション内で使用するペイロードを作成する手順については、「攻撃シミュレーション トレーニングのカスタム ペイロードを作成する」を参照してください。

分析情報の取得

レポートを使用して分析情報を取得する手順については、「攻撃シミュレーション トレーニングを通じて分析情報を得る」を参照してください。

予測される侵害率

フィッシング シミュレーションの最も重要な要素の 1 つは、ペイロードの選択です。 クリックスルーのみを品質メトリックとして追跡する場合は、見つけやすいフィッシング ペイロードを選択してクリック率を下げるインセンティブがあります。 最終的には、実際のフィッシング メッセージが表示されたときにユーザーが動作を変更する可能性は低くなります。

低クリック 率のペイロードを使用し、教育的なリターンを最大化する傾向に対処するために、予測された侵害率 (PCR) と呼ばれるすべてのグローバル ペイロードに対して新しいメタデータを作成しました。

PCR では、Microsoft 365 全体の履歴データを使用して、ペイロードによって侵害されるユーザーの割合を予測します。 PCR は、ペイロード コンテンツ、侵害率 (集計および匿名化)、ペイロード メタデータなどの情報に基づいて構築されたインテリジェントなメカニズムです。 PCR は、ペイロードがシミュレーション内で使用されるときに、より正確な潜在的な侵害率を予測します。 PCR の利点は、特定のシミュレーションとペイロードに対して実際のクリックスルーと予測されたクリックスルーを予測することです。

トレーニングの有効性レポートを使用して、シミュレーション全体の予測された侵害率と実際の侵害率の差を測定することで、organizationの全体的なパフォーマンスを確認することもできます。

注:

攻撃シミュレーターでは、Defender for Office 365の [安全なリンク] を使用して、フィッシング キャンペーンのターゲット受信者に送信されるペイロード メッセージの URL のクリック データを安全に追跡します (安全なリンク ポリシーの [ユーザーのクリックを追跡する] 設定がオフになっている場合でも)。