エフセキュアは9月15日、都内で記者会見を開き、企業向けのフィッシング攻撃の模擬演習サービス「F-Secure Phishd」の日本での提供開始を同16日から開始すると発表した。標準価格は400万円、追加キャンペーン(メール作成、フィッシングサイト構築)とオンサイトトレーニングが各100万円/回、音声フィッシングは要相談、対応言語は日本語および英語となる。
-
「F-Secure Phishd」のダッシュボード
新サービスは、カスタマイズメールの作成(4通)やカスタマイズフィッシングサイト構築(4サイト、偽のログイン画面なども含む)、Phishd管理ポータルへのアクセス用アカウントをはじめとした「トレーニング用事前準備」、フィッシングメール配信(4回実施)の「フィッシングキャンペーン」、経営者・IT管理者・各従業員に対する「効果測定およびトレーニング」と「トレーニング用マテリアル」、「キャンペーン実施結果報告会」、「報告書提出」で構成。
-
「F-Secure Phishd」のサービス概要
フローは、フィッシングサイト構築・フィッシングキャンペーン(2回実施)→キャンペーン実施結果分析→従業員のセキュリティトレーニング→トレーニング後に再度フィッシングキャンペーン(2回実施)→トレーニング後の効果測定→レポート提出・管理者向け報告会という流れだ。
-
「F-Secure Phishd」のフロー
新サービスの主な特徴としては「フルカスタマイズのトレーニングサービス」「最新の事例と傾向に即した攻撃」「専門知識に裏付けられた理論」の3点を挙げている。
フルカスタマイズのトレーニングサービスはメールの自動配信とクリック率の報告、指導用の文書だけでは不十分なため、カスタマイズされたサイト、文書、タイミングによる実践的トレーニングで強固なセキュリティカルチャーの形成を支援するという。
最新の事例と傾向に即した攻撃に関しては、同社のインシデントレスポンス・レッドチームによる経験を応用し、攻撃者の観点を熟知したアナリストの支援を受けて詐欺メールを作成する。
専門知識の理論を応用することについては、疑似科学的なマーケティングや無価値な煽りビジネスを排除し、研究者の観点から心理学のプロセスとエビデンスを重視している。
新サービスの説明を行ったエフセキュア サイバーセキュリティ技術本部 シニアセールスエンジニアの目黒潮氏は、フィッシングについて「メールフィッシングとSMSフィッシング、音声フィッシング、物理的な侵入の4種類が存在する。その中でもメールフィッシングはハッカーが特定の企業を攻撃するにあたり、最もメジャーな攻撃手法だ」と説明する。
-
エフセキュア サイバーセキュリティ技術本部 シニアセールスエンジニアの目黒潮氏
メールフィッシングは、アドレス自体がLinkedInやFacebook、ダークウェブなどから簡単に発見・推測でき、送信者アドレスは簡単に改ざんすることを可能とし、攻撃者がIDを隠すことも簡単だという。また、大半の企業は新しい連絡先から直接電子メールを受信してもあまり疑われないことに加え、電子メールアカウントが侵害されると確実な攻撃も可能であり、自動メール保護はスパムや悪意のある添付ファイルの検出が主な機能なため、テキストから悪意の検出は困難となっている。
-
メールフィッシングの概要
目黒氏は「フィッシングの目的はパスワードや情報、コンピュータのリソースなどを換金するためだ。米Apple 共同創業者のスティーブ・ウォズニアックは『ハッキングは以前からあるもの。ヒューマンハッキングは人間がいる限りあるもの』と述べており、人を欺くことは今後も続く」と話す。
昨今のサイバー犯罪者は、圧力をかける、好奇心につけこむ、なりすますといった手法で、人々の“うっかり”を誘導し、身元を公開しない、不自然さを見破る、確認を習慣化することで誘導されない対策ができるという。しかし、同氏は「言うは簡単だが実行は困難だ。そのような背景もあることから新サービスを提供する」と強調する。
そして「そのほかの企業でも同様のサービスを提供しているが、新サービスはセキュリティ技術+セキュリティを意識したトレーニングにより、攻撃の成功率を低下させる。セキュリティ向上までの流れとしては、状況の理解と整理、状況に合わせたトレーニングの実施、取得したことの実践と定期的な再トレーニングの三段構えで支援する」と目黒氏は説明していた。
