訓練メールを配信後に、メールソフトやメールセキュリティサービス側で自動スキャンが稼働し、自動的に訓練メールの開封判定がなされる事象を確認しております。
自動スキャンによる開封が考えられる挙動について
(1)メールを既読していないのに、ユーザーにネタバラシメールが届いた
(2)標的型攻撃メール訓練機能の「行動履歴」画面より確認できる内容
-
- ご自身でメールソフトからリンククリックをしていないのに、開封されている
- 同一ユーザーにおいて、同時刻で複数回開封の行動履歴があった
- 同一ユーザーにおいて、同時刻で複数回開封しているがそれぞれIPアドレスは異なっていた
- 配信対象者全員が、訓練メール配信直後に同時刻で開封、または開封時刻が近い
- メール配信から行動までの時間がほぼ同時刻であり、明らかに人が操作した時刻ではない
(3)主にMicrosoft 365ご利用環境において確認している事象について
-
- Outlookの「フィッシング詐欺の報告」を利用し、不信報告をすると開封判定された
- 配信されたメールがスパムメールとして検疫に引っかかっている
確認・回避方法について
(1)標的型攻撃メール訓練機能の「行動履歴」画面に記録されているIPアドレスを確認する
IPアドレス検索サイト(whois検索)にて確認を行い、自社ネットワーク以外のセキュリティサービス等が利用しているサーバーのIPアドレスが表示されているかご確認ください。
(2)ご利用のメールソフトやメールセキュリティサービスの設定を確認する
訓練メールにおける送信元ドメインをセキュリティホワイトリストへの登録をお願いいたします。送信元ドメインについては、標的型攻撃メール訓練機能の「ドメイン一覧」画面にて記載がございます。
▼訓練実施前の確認・設定手順
https://support.lrm.jp/hc/ja/articles/4404837091981
(3)Microsoft 365環境をご利用の場合
スパム対策のバイパス設定をお願いいたします。 ※詳細は以下ページの「3」に記載
▼Microsoft 365(Exchange Online)環境における標的型攻撃メール訓練の事前設定についてhttps://support.lrm.jp/hc/ja/articles/21377109958169
(4)Microsoft 365環境において、上記スパム設定を行っても自動スキャンによる影響がある場合
Microsoft Defender における高度な設定にて、送信元ドメインならびに配信元IPアドレスのご入力をすることで回避できる可能性がございます。
▼配信元IPアドレス
https://support.lrm.jp/hc/ja/articles/16960219646233
また、以下のMicrosoft社がアナウンスしている設定により回避できる例も確認しております。ご参考までに以下Microsoft社公表のサポートページについてもご参照ください。
▼ご参考/スパムフィルターポリシーの構成(365上位プラン)
▼ご参考/サードパーティ製フィッシングシミュレーションとSecOpsメールボックスへの電子メール配信の高度な配信ポリシーを構成する
https://learn.microsoft.com/ja-jp/defender-office-365/advanced-delivery-policy-configure
上記にて解決しない場合は、誠に恐れ入りますが、外部ツール(セキュリオ)で行っているスパムフィルターの設定に関しまして、Microsoft社へのお問合せくださいますようお願いいたします。