攻撃シミュレーション トレーニングの展開に関する考慮事項と FAQ

• 適用対象:

  ✅ Microsoft Defender for Office 365 Plan 2

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

攻撃シミュレーション トレーニングを使用すると、Microsoft 365 E5または Microsoft Defender for Office 365 Plan 2 組織は、実際の無害なフィッシング ペイロードを利用したフィッシング シミュレーションの作成と管理を可能にすることで、ソーシャル エンジニアリング リスクを測定および管理できます。 Terranova セキュリティと提携して提供されるハイパーターゲット トレーニングは、知識の向上と従業員の行動の変更に役立ちます。

攻撃シミュレーション トレーニングの概要の詳細については、「攻撃シミュレーション トレーニングの使用を開始する」を参照してください。

シミュレーションの作成とスケジューリングのエクスペリエンスは、自由に流れ、摩擦のない設計になっていますが、エンタープライズ 規模でのシミュレーションには計画が必要です。 この記事は、お客様が独自の環境でシミュレーションを実行する場合に発生する特定の課題に対処するのに役立ちます。

エンド ユーザー エクスペリエンスに関する問題

Google セーフ ブラウズによってブロックされたフィッシング シミュレーション URL

URL 評判サービスでは、攻撃シミュレーション トレーニングによって使用される 1 つ以上の URL が安全でないと識別される場合があります。 Google Chrome の Google セーフ ブラウズでは、 詐欺サイトの先行 メッセージを含むシミュレートされたフィッシング URL の一部がブロックされます。 多くの URL 評判ベンダーと連携して、シミュレーション URL を常に許可していますが、常に完全なカバレッジを提供するとは限りません。

この問題は Microsoft Edge には影響しません。

計画フェーズの一環として、フィッシング キャンペーンで URL を使用する前に、サポートされている Web ブラウザーで URL の可用性をチェックしてください。 Google セーフ ブラウズによって URL がブロックされている場合は、Google の このガイダンスに従って URL へのアクセスを許可します。

攻撃シミュレーション トレーニングで現在使用されている URL の一覧については、「攻撃シミュレーション トレーニングの使用を開始する」を参照してください。

ネットワーク プロキシ ソリューションとフィルター ドライバーによってブロックされるフィッシング シミュレーションと管理者 URL

フィッシング シミュレーション URL と管理 URL の両方が、中間セキュリティ デバイスまたはフィルターによってブロックまたは削除される可能性があります。 以下に例を示します。

• ファイアウォール
• Web Application Firewall (WAF) ソリューション
• サード パーティ製フィルター ドライバー (カーネル モード フィルターなど)

このレイヤーでブロックされているお客様はほとんどいませんが、これは発生します。 問題が発生した場合は、必要に応じて、セキュリティ デバイスまたはフィルターによるスキャンをバイパスするように次の URL を構成することを検討してください。

• 「攻撃シミュレーション トレーニングの使用を開始する」で説明されているシミュレートされたフィッシング URL。
• https://security.microsoft.com/attacksimulator
• https://security.microsoft.com/attacksimulationreport
• https://security.microsoft.com/trainingassignments

すべてのターゲット ユーザーに配信されないシミュレーション メッセージ

シミュレーションの電子メール メッセージを実際に受信するユーザーの数が、シミュレーションの対象となるユーザーの数よりも少ない可能性があります。 次の種類のユーザーは、ターゲット検証の一部として除外されます。

• 受信者のメール アドレスが無効です。
• ゲスト ユーザー。
• Microsoft Entra IDでアクティブでなくなったユーザー。

配布グループまたはメールが有効なセキュリティ グループを使用してユーザーをターゲットにする場合は、PowerShell のGet-DistributionGroupMember コマンドレットExchange Online使用して、配布グループのメンバーを表示および検証できます。

攻撃シミュレーション トレーニングレポートに関する問題

攻撃シミュレーション トレーニング レポートにアクティビティの詳細が含まれていない

攻撃シミュレーション トレーニングには、従業員の脅威に対する準備状況の進捗状況を常に把握できる、豊富で実用的な分析情報が用意されています。 攻撃シミュレーション トレーニングレポートにデータが入力されていない場合は、organizationで監査ログが有効になっていることを確認します (既定ではオンになっています)。

イベントをキャプチャ、記録、読み取ることができるように、攻撃シミュレーション トレーニングでは監査ログが必要です。 監査ログをオフにすると、攻撃シミュレーション トレーニングに次の結果が生じることがあります。

• レポート データは、すべてのレポートで使用できるわけではありません。 レポートは空で表示されます。
• データを使用できないため、トレーニングの割り当てはブロックされます。

監査ログが有効になっていることを確認するか、有効にするには、「 監査のオンとオフを切り替える」を参照してください。

注:

空のアクティビティの詳細は、E5 ライセンスがユーザーに割り当てられていないことも原因で発生する可能性があります。 少なくとも 1 つの E5 ライセンスがアクティブ ユーザーに割り当てられていることを確認して、レポート イベントがキャプチャされて記録されていることを確認します。

オンプレミスメールボックスに関する問題の報告

攻撃シミュレーション トレーニングでは、オンプレミスのメールボックスがサポートされていますが、レポート機能が低下しています。

• ユーザーがシミュレーションメールを読み取り、転送、または削除したかどうかに関するデータは、オンプレミスのメールボックスでは使用できません。
• シミュレーション電子メールを報告したユーザーの数は、オンプレミスのメールボックスでは使用できません。

シミュレーション レポートはすぐに更新されない

詳細なシミュレーション レポートは、キャンペーンを開始した直後には更新されません。 心配する必要はありません;この動作が予想されます。

すべてのシミュレーション キャンペーンにはライフサイクルがあります。 最初に作成されると、シミュレーションは スケジュールされた 状態になります。 シミュレーションが開始されると、[ 進行中 ] 状態に遷移します。 完了すると、シミュレーションは 完了 状態に遷移します。

シミュレーションが スケジュールされた 状態にある間、シミュレーション レポートはほとんど空です。 この段階では、シミュレーション エンジンはターゲット ユーザーのメール アドレスの解決、配布グループの拡張、一覧からのゲスト ユーザーの削除などを行います。

シミュレーションが [進行中 ] ステージに入ると、情報がレポートに取り込み始めます。

個々のシミュレーション レポートが [進行中 ] 状態に移行した後に更新されるまでに最大 30 分かかることがあります。 レポート データは、シミュレーションが 完了 状態になるまでビルドを続けます。 レポートの更新は、次の間隔で行われます。

• 最初の 60 分間は 10 分ごとに。
• 60 分後 15 分ごとに 2 日まで。
• 2 日後 30 分ごとに 7 日まで。
• 7 日後の 60 分ごとに。

[概要] ページのウィジェットは、時間の経過に伴うorganizationのシミュレーションベースのセキュリティ態勢の迅速なスナップショットを提供します。 これらのウィジェットは、全体的なセキュリティ体制と時間の経過に伴う体験を反映するため、各シミュレーション キャンペーンが完了すると更新されます。

注:

さまざまなレポート ページの [エクスポート] オプションを使用して、データを抽出できます。

ユーザーによってフィッシングとして報告されたメッセージがシミュレーション レポートに表示されない

攻撃シミュレーター トレーニングのシミュレーション レポートでは、ユーザー アクティビティの詳細が提供されます。 以下に例を示します。

• メッセージ内のリンクをクリックしたユーザー。
• 資格情報をあきらめたユーザー。
• メッセージをフィッシングとして報告したユーザー。

ユーザーがフィッシングとして報告したメッセージが攻撃シミュレーション トレーニングシミュレーション レポートにキャプチャされない場合は、報告されたメッセージの Microsoft への配信をブロックしている Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) が存在する可能性があります。 メール フロー ルールが、次のメール アドレスへの配信をブロックしていないことを確認します。

• junk@office365.microsoft.com
• abuse@messaging.microsoft.com
• phish@office365.microsoft.com
• not_junk@office365.microsoft.com

シミュレートされたメッセージを報告した後、ユーザーにトレーニングが割り当てられます

ユーザーがフィッシング シミュレーション メッセージを報告した後にトレーニングが割り当てられている場合は、チェック、organizationがレポート メールボックスを使用して でhttps://security.microsoft.com/securitysettings/userSubmissionユーザーから報告されたメッセージを受信するかどうかを確認します。 レポート メールボックスの前提条件で説明されているように、多くのセキュリティ チェックをスキップするように レポート メールボックスを構成する必要があります。

カスタム レポート メールボックスに必要な除外を構成しない場合、メッセージは安全なリンクまたは安全な添付ファイル保護によって爆発し、トレーニングの割り当てが発生する可能性があります。

その他のよく寄せられる質問

Q: シミュレーション キャンペーンのターゲットユーザーに推奨される方法は何ですか?

A: ターゲット ユーザーには、いくつかのオプションを使用できます。

• すべてのユーザーを含めます (現在、40,000 人未満のユーザーを持つ組織で使用できます)。
• 特定のユーザーを選択します。
• CSV ファイルからユーザーを選択します (1 行に 1 つのメール アドレス)。
• グループベースのターゲット設定をMicrosoft Entraします。

ターゲットユーザーがMicrosoft Entraグループによって識別されるキャンペーンの管理が容易になることがわかりました。

Q: CSV からのインポートまたはユーザーの追加中にユーザーをターゲットにすることに制限はありますか?

A: CSV ファイルから受信者をインポートするか、個々の受信者をシミュレーションに追加するための制限は 40,000 です。

受信者には、個々のユーザーまたはグループを指定できます。 グループには数百または数千人の受信者が含まれている可能性があるため、個々のユーザーの数に実際の制限は設定されません。

大きな CSV ファイルを管理したり、多数の個々の受信者を追加したりするのは面倒な場合があります。 Microsoft Entra グループを使用すると、シミュレーションの全体的な管理が簡略化されます。

Q: Microsoft は他の言語でペイロードを提供していますか?

A: 現在、英語、スペイン語、ドイツ語、日本語、フランス語、ポルトガル語、オランダ語、イタリア語、スウェーデン語(簡体字)、ノルウェー語、ボクマル、ポーランド語、ロシア語、フィンランド語、韓国語、トルコ語、ハンガリー語、ヘブライ語、タイ語、アラビア語、ベトナム語、スロバキア語、ギリシャ語、インドネシア語、ルーマニア語、スロベニア語、クロアチア語、カタロニア語、その他の 40 以上のローカライズされたペイロードがあります。 既存のペイロードを他の言語に直接または機械翻訳すると、不正確になり、関連性が低下すると判断されました。

つまり、カスタム ペイロード作成エクスペリエンスを使用して、任意の言語で独自のペイロードを作成できます。 また、特定の地域のユーザーをターゲットにするために使用された既存のペイロードを収集することも強くお勧めします。 つまり、攻撃者がコンテンツをローカライズできるようにします。

Q: 利用できるトレーニング ビデオの数はいくつですか?

A: 現在、コンテンツ ライブラリには 85 を超えるトレーニング モジュールが用意されています。

Q: 管理ポータルとトレーニングエクスペリエンスのために他の言語に切り替えるにはどうすればよいですか?

A: Microsoft 365 または Office 365では、言語構成はユーザー アカウントごとに固有で一元化されています。 言語設定を変更する方法については、「 Microsoft 365 for Business で表示言語とタイム ゾーンを変更する」を参照してください。

構成の変更は、すべてのサービス間で同期するまでに最大 30 分かかる場合があります。

Q: 本格的なキャンペーンを開始する前に、テスト シミュレーションをトリガーして、どのように見えるかを理解できますか?

A: はい、可能です。 新しいシミュレーション ウィザードの最後の [シミュレーションの確認 ] ページで、[ テストの送信] を選択します。 このオプションは、現在ログインしているユーザーにサンプル フィッシング シミュレーション メッセージを送信します。 受信トレイでフィッシング メッセージを検証した後、シミュレーションを送信できます。

Q: 同じシミュレーション キャンペーンの一環として、別のテナントに属しているユーザーをターゲットにすることはできますか?

回答: いいえ。 現時点では、テナント間シミュレーションはサポートされていません。 対象となるすべてのユーザーが同じテナント内にあることを確認します。 テナント間ユーザーまたはゲスト ユーザーは、シミュレーション キャンペーンから除外されます。

Q: リージョン対応の配信のしくみ

A: リージョン対応配信では、対象ユーザーのメールボックスの TimeZone 属性と "前ではない" ロジックを使用して、メッセージを配信するタイミングを決定します。 たとえば、次のようなシナリオについて考えてみます。

• 太平洋タイム ゾーン (UTC-8) の午前 7 時に、管理者はキャンペーンを作成し、同じ日の午前 9 時に開始するようにスケジュールします。
• UserA は東部タイム ゾーン (UTC-5) にあります。
• UserB は太平洋タイム ゾーンにも含まれます。

同じ日の午前 9 時に、シミュレーション メッセージが UserB に送信されます。 リージョン対応の配信では、太平洋標準時の午前 9:00 は東部標準時の午後 12:00 であるため、メッセージは同じ日に UserA に送信されません。 代わりに、メッセージは翌日の午前 9 時 (東部標準時) に UserA に送信されます。

そのため、リージョン対応配信が有効になっているキャンペーンの最初の実行では、シミュレーション メッセージが特定のタイム ゾーンのユーザーにのみ送信されたように見える場合があります。 ただし、時間が経過し、スコープに入るユーザーが増えるにつれて、対象ユーザーが増えます。

Q: Microsoft は、資格情報の収集シミュレーション手法で使用される [Credential Harvest サインイン] ページでユーザーが入力した情報を収集または格納しますか?

回答: いいえ。 資格情報の収集サインイン ページで入力された情報はすべて、サイレントで破棄されます。 "クリック" のみが記録され、侵害イベントがキャプチャされます。 Microsoft では、この手順でユーザーが入力した詳細を収集、ログ記録、または保存しません。