攻撃シミュレーション トレーニングの使用を開始する
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Microsoft Defender for Office 365 プラン 2 (アドオン ライセンスまたは Microsoft 365 E5 などのサブスクリプションに含まれる) を持つ組織では、Microsoft Defender ポータルの攻撃シミュレーション トレーニングを使用して、 で現実的な攻撃シナリオを実行できますorganization。 これらのシミュレートされた攻撃は、実際の攻撃が収益に影響を与える前に、脆弱なユーザーを特定して見つけるのに役立ちます。
この記事では、攻撃シミュレーション トレーニングの基本について説明します。
攻撃シミュレーション トレーニングの詳細については、この短いビデオをご覧ください。
注:
攻撃シミュレーション トレーニングは、脅威管理>攻撃シミュレーターまたはhttps://protection.office.com/attacksimulatorのセキュリティ & コンプライアンス センターで使用できた古い攻撃シミュレーター v1 エクスペリエンスに置き換えられます。
はじめに把握しておくべき情報
攻撃シミュレーション トレーニングには、プラン 2 のライセンスをMicrosoft 365 E5またはMicrosoft Defender for Office 365する必要があります。 ライセンス要件の詳細については、「 ライセンス条項」を参照してください。
攻撃シミュレーション トレーニングは、オンプレミスのメールボックスをサポートしますが、レポート機能は低下します。 詳細については、「 オンプレミス メールボックスに関する問題の報告」を参照してください。
Microsoft Defender ポータルを開くには、[https://security.microsoft.com] に移動します。 攻撃シミュレーション トレーニングは、Emailとコラボレーション>攻撃シミュレーション トレーニングで利用できます。 攻撃シミュレーション トレーニングに直接移動するには、https://security.microsoft.com/attacksimulatorを使用します。
さまざまな Microsoft 365 サブスクリプション間での攻撃シミュレーション トレーニングの可用性の詳細については、「Microsoft Defender for Office 365サービスの説明」を参照してください。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Microsoft Entraアクセス許可: 次のいずれかのロールのメンバーシップが必要です。
- グローバル管理者¹
- セキュリティ管理者
- 攻撃シミュレーション管理者²: 攻撃シミュレーション キャンペーンのすべての側面を作成および管理します。
- 攻撃ペイロード Author²: 管理者が後で開始できる攻撃ペイロードを作成します。
重要
¹ Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
² Microsoft Defender ポータルでのコラボレーションアクセス許可Email &このロール グループへのユーザーの追加は、現在サポートされていません。
現時点では、Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) はサポートされていません。
攻撃シミュレーション トレーニングに対応する PowerShell コマンドレットはありません。
攻撃シミュレーションとトレーニング関連データは、Microsoft 365 サービスの他の顧客データと共に格納されます。 詳細については、「 Microsoft 365 データの場所」を参照してください。 攻撃シミュレーション トレーニングは、APC、EUR、NAM の各リージョンで利用できます。 攻撃シミュレーション トレーニングが利用可能なこれらのリージョン内の国には、ARE、AUS、BRA、CAN、CHE、DEU、ESP、FRA、GBR、IND、ISR、ITA、JPN、KOR、LAM、MEX、NOR、POL、QAT、SGP、SWE、TWN、ZAF などがあります。
注:
NOR、ZAF、ARE、DEU が最新の追加です。 報告された電子メール テレメトリを除くすべての機能は、これらのリージョンで使用できます。 この機能の有効化に取り組んでおり、報告された電子メール テレメトリが利用可能になるとすぐにお客様に通知します。
攻撃シミュレーション トレーニングは Microsoft 365 GCC、GCC High、DoD 環境で利用できますが、GCC High および DoD では特定の高度な機能を使用できません (ペイロードの自動化、推奨ペイロード、侵害率の予測など)。 organizationに Microsoft 365 G5、Office 365 G5、または Government 用のMicrosoft Defender for Office 365 (プラン 2) がある場合は、この記事の説明に従って攻撃シミュレーション トレーニングを使用できます。
注:
攻撃シミュレーション トレーニングは、試用版として E3 のお客様に機能のサブセットを提供します。 試用版オファリングには、Credential Harvest ペイロードを使用する機能と、"ISA フィッシング" または "マス マーケット フィッシング" トレーニング エクスペリエンスを選択する機能が含まれています。 E3 試用版の一部であるその他の機能はありません。
シミュレーション
攻撃シミュレーション トレーニングのシミュレーションは、現実的で無害なフィッシング メッセージをユーザーに配信する全体的なキャンペーンです。 シミュレーションの基本的な要素は次のとおりです。
- シミュレートされたフィッシング メッセージを取得するユーザーと、どのようなスケジュールで取得します。
- シミュレートされたフィッシング メッセージに対するアクションまたはアクションの欠如 (正しいアクションと正しくないアクションの両方) に基づいてユーザーが取得するトレーニング。
- シミュレートされたフィッシング メッセージ (リンクまたは添付ファイル) で使用される ペイロード と、フィッシング メッセージの構成 (パッケージの配信、アカウントの問題、賞品の獲得など)。
- 使用される ソーシャル エンジニアリング手法 。 ペイロードとソーシャル エンジニアリング手法は密接に関連しています。
攻撃シミュレーション トレーニングでは、複数の種類のソーシャル エンジニアリング手法を使用できます。 ハウツー ガイドを除き、これらの手法は MITRE ATT&CK® フレームワークからキュレーションされました。 さまざまなペイロードは、さまざまな手法で使用できます。
次のソーシャル エンジニアリング手法を使用できます。
資格情報の収集: 攻撃者は、リンク*を含むメッセージを受信者に送信します。 受信者がリンクをクリックすると、通常はユーザーにユーザー名とパスワードを求めるダイアログ ボックスが表示される Web サイトに移動します。 通常、宛先ページは、ユーザーの信頼を構築するためによく知られている Web サイトを表すようにテーマが設定されます。
マルウェアの添付ファイル: 攻撃者は、添付ファイルを含むメッセージを受信者に送信します。 受信者が添付ファイルを開くと、ユーザーのデバイスで任意のコード (マクロなど) が実行され、攻撃者が追加のコードをインストールしたり、さらに自分自身をエントレしたりするのに役立ちます。
添付ファイルのリンク: この手法は、資格情報の収集のハイブリッドです。 攻撃者は、添付ファイル内のリンクを含むメッセージを受信者に送信します。 受信者が添付ファイルを開いてリンクをクリックすると、通常はユーザーにユーザー名とパスワードを求めるダイアログ ボックスが表示される Web サイトに移動します。 通常、宛先ページは、ユーザーの信頼を構築するためによく知られている Web サイトを表すようにテーマが設定されます。
マルウェアへのリンク*: 攻撃者は、既知のファイル共有サイト (SharePoint Online や Dropbox など) 上の添付ファイルへのリンクを含むメッセージを受信者に送信します。 受信者がリンクをクリックすると、添付ファイルが開き、ユーザーのデバイスで任意のコード (マクロなど) が実行され、攻撃者が追加のコードをインストールしたり、さらにコードをインストールしたりするのに役立ちます。
Drive-by-url*: 攻撃者は、リンクを含むメッセージを受信者に送信します。 受信者がリンクをクリックすると、バックグラウンド コードを実行しようとする Web サイトに移動します。 このバックグラウンド コードは、受信者に関する情報を収集するか、デバイスに任意のコードを展開しようとします。 通常、宛先 Web サイトは、侵害された既知の Web サイトまたは既知の Web サイトの複製です。 Web サイトに関する知識は、リンクをクリックしても安全であることをユーザーに納得させるのに役立ちます。 この手法は、 水抜き穴攻撃とも呼ばれます。
OAuth Consent Grant*: 攻撃者は、データへのアクセスを求める悪意のあるAzure アプリケーションを作成します。 アプリケーションは、リンクを含む電子メール要求を送信します。 受信者がリンクをクリックすると、アプリケーションの同意付与メカニズムによってデータへのアクセスが求められます (ユーザーの受信トレイなど)。
ハウツー ガイド: ユーザー向けの手順 (フィッシング メッセージを報告する方法など) を含む教育ガイド。
* リンクには、URL または QR コードを指定できます。
攻撃シミュレーション トレーニングで使用される URL を次の表に示します。
注:
フィッシング キャンペーンで URL を使用する前に、サポートされている Web ブラウザーでシミュレートされたフィッシング URL の可用性を確認します。 詳細については、「 Google セーフ ブラウズによってブロックされたフィッシング シミュレーション URL」を参照してください。
シミュレーションを作成する
シミュレーションを作成して起動する方法については、「 フィッシング攻撃をシミュレートする」を参照してください。
シミュレーションの ランディング ページ は、ペイロードを開いたときにユーザーが移動する場所です。 シミュレーションを作成するときに、使用するランディング ページを選択します。 組み込みのランディング ページ、既に作成したカスタム ランディング ページから選択することも、シミュレーションの作成時に使用する新しいランディング ページを作成することもできます。 ランディング ページを作成するには、「攻撃シミュレーション トレーニングのランディング ページ」を参照してください。
シミュレーションのエンド ユーザー通知は、定期的なアラーム (トレーニングの割り当てやアラーム通知など) をユーザーに送信します。 組み込みの通知、既に作成したカスタム通知から選択することも、シミュレーションの作成時に使用する新しい通知を作成することもできます。 通知を作成するには、「攻撃シミュレーション トレーニングのエンド ユーザー通知」を参照してください。
ヒント
シミュレーションの自動化により、 従来のシミュレーションに比して次の改善が行われます。
- シミュレーションの自動化には、複数のソーシャル エンジニアリング手法と関連するペイロードを含めることができます (シミュレーションには 1 つだけが含まれます)。
- シミュレーション自動化では、自動スケジューリング オプションがサポートされます (シミュレーションの開始日と終了日だけではありません)。
詳細については、「攻撃シミュレーション トレーニングのシミュレーション自動化」を参照してください。
[Payloads (ペイロード)]
攻撃シミュレーション トレーニングには、使用可能なソーシャル エンジニアリング手法用の多数の組み込みペイロードが含まれていますが、既存のペイロードのコピーやカスタマイズなど、ビジネス ニーズに適したカスタム ペイロードを作成できます。 ペイロードは、シミュレーションを作成する前、またはシミュレーションの作成時にいつでも作成できます。 ペイロードを作成するには、「攻撃シミュレーション トレーニングのカスタム ペイロードを作成する」を参照してください。
Attachment ソーシャル エンジニアリング手法で Credential Harvest または Link を 使用するシミュレーションでは、 ログイン ページ は選択したペイロードの一部です。 ログイン ページは、ユーザーが資格情報を入力する Web ページです。 該当する各ペイロードは既定のログイン ページを使用しますが、使用するログイン ページを変更できます。 組み込みのログイン ページ、既に作成したカスタム ログイン ページから選択することも、シミュレーションまたはペイロードの作成時に使用する新しいログイン ページを作成することもできます。 ログイン ページを作成するには、「攻撃シミュレーション トレーニングのログイン ページ」を参照してください。
シミュレートされたフィッシング メッセージに最適なトレーニング エクスペリエンスは、organizationが発生する可能性がある実際のフィッシング攻撃にできるだけ近づけることです。 Microsoft 365 で検出された、無害なバージョンの実際のフィッシング メッセージをキャプチャして使用し、シミュレートされたフィッシング キャンペーンで使用できる場合はどうでしょうか。 ペイロードの自動化 (ペイロードの収集とも呼ばれます) を使用できます。 ペイロードの自動化を作成するには、「攻撃シミュレーション トレーニングのペイロードの自動化」を参照してください。
攻撃シミュレーション トレーニングでは、ペイロードでの QR コードの使用もサポートされています。 組み込みの QR コード ペイロードの一覧から選択することも、カスタム QR コード ペイロードを作成することもできます。 詳細については、「攻撃シミュレーション トレーニングの QR コード ペイロード」を参照してください。
レポートと分析情報
シミュレーションを作成して起動したら、その動作を確認する必要があります。 以下に例を示します。
- 誰もが受け取りましたか?
- シミュレートされたフィッシング メッセージとその中のペイロードに対して何を行ったか (削除、報告、ペイロードの開き、資格情報の入力など)。
- 割り当てられたトレーニングを完了したユーザー。
攻撃シミュレーション トレーニングで使用可能なレポートと分析情報については、「攻撃シミュレーション トレーニングの分析情報とレポート」を参照してください。
予測される侵害率
多くの場合、特定の対象ユーザー向けにシミュレートされたフィッシング キャンペーンを調整する必要があります。 フィッシングメッセージが完璧に近すぎる場合、ほとんどすべての人がそれにだまされます。 あまりにも疑わしい場合は、それにだまされることはありません。 また、一部のユーザーが特定しにくいと考えるフィッシング メッセージは、他のユーザーによって簡単に識別されると見なされます。 では、バランスを取る方法を説明します。
予測された侵害率 (PCR) は、ペイロードがシミュレーションで使用される場合の潜在的な有効性を示します。 PCR では、Microsoft 365 全体のインテリジェントな履歴データを使用して、ペイロードによって侵害されるユーザーの割合を予測します。 以下に例を示します。
- ペイロード コンテンツ。
- 他のシミュレーションからの集約された匿名化された侵害率。
- ペイロード メタデータ。
PCR を使用すると、フィッシング シミュレーションの予測されたクリックスルーレートと実際のクリック率を比較できます。 また、このデータを使用して、予測された結果と比較してorganizationのパフォーマンスを確認することもできます。
ペイロードの PCR 情報は、ペイロードを表示および選択する場所、および次のレポートと分析情報で使用できます。
ヒント
攻撃シミュレーターでは、Defender for Office 365の [安全なリンク] を使用して、フィッシング キャンペーンのターゲット受信者に送信されるペイロード メッセージの URL のクリック データを安全に追跡します (安全なリンク ポリシーの [ユーザーのクリックを追跡する] 設定がオフになっている場合でも)。
テクニックのないトレーニング
従来のフィッシング シミュレーションでは、疑わしいメッセージと次の目標がユーザーに提示されます。
- ユーザーにメッセージを疑わしいと報告してもらう。
- ユーザーがシミュレートされた悪意のあるペイロードをクリックまたは起動し、資格情報を放棄した後にトレーニングを提供します。
ただし、トレーニングを行う前に、ユーザーが正しいアクションや不適切なアクションを実行するのを待ちたくない場合があります。 攻撃シミュレーション トレーニングには、待機をスキップしてトレーニングに直接進む次の機能が用意されています。
トレーニング キャンペーン: トレーニング キャンペーンは、対象ユーザーのトレーニング専用の割り当てです。 シミュレーションのテストを通じてユーザーを配置することなく、トレーニングを直接割り当てることができます。 トレーニング キャンペーンを使用すると、毎月のサイバーセキュリティ認識トレーニングなどの学習セッションを簡単に実施できます。 詳細については、「攻撃シミュレーション トレーニングでのトレーニング キャンペーン」を参照してください。
ヒント
トレーニング モジュール はトレーニング キャンペーンで使用されますが、通常のシミュレーションで トレーニングを割り当てるときにトレーニング モジュールを使用することもできます。
シミュレーションのハウツー ガイド: How-to Guide ソーシャル エンジニアリング手法に基づくシミュレーションでは、ユーザーのテストは試行されません。 ハウツー ガイドは、ユーザーが受信トレイに直接表示できる軽量の学習エクスペリエンスです。 たとえば、次の組み込みの How-to Guide ペイロードを 使用でき、独自のペイロードを作成できます ( 既存のペイロードのコピーとカスタマイズを含む)。
- 教育ガイド: フィッシング メッセージを報告する方法
- 教育ガイド: QR フィッシング メッセージを認識して報告する方法
ヒント
攻撃シミュレーション トレーニングには、QR コードベースの攻撃に対して次の組み込みのトレーニング オプションが用意されています。
- トレーニング モジュール:
- 悪意のあるデジタル QR コード
- 悪意のある印刷された QR コード
- シミュレーションのハウツー ガイド: 教育ガイド: QR フィッシング メッセージを認識して報告する方法