訓練メールを配信後に、メールソフトやメールセキュリティサービス側でセキュリティスキャンが稼働し、ユーザーによる開封判定にかかる行動がないにもかかわらず、自動的に訓練メールの開封(防衛失敗)判定がなされる事象を確認しております。
- ユーザー(訓練の配信対象者)によらない開封(防衛失敗)行動の例
- セキュリティソフトによるスキャン
- チャットやメッセージツールにリンクを入力、プレビュー
- リンクの安全性確認サイトにリンクを入力
- 訓練メールを転送した先でのクリック
- メールの転送・自動転送による転送元・転送先でのセキュリティスキャン
- Microsoft(Outlook)標準のフィッシングメール報告機能での報告によるクリック
原理としては以下の通りです。
- メールの未読・既読判定
- メール内に含まれる画像の読み込み
- リンクのクリック判定
- 訓練対象者が本文内のリンクにアクセスすると、以下のように推移します。
- ①メール本文にある文字列を認識してアクセスする(表示されているURLやテキスト)→②統計取得用のURLに遷移(セキュリオ側で自動的に訓練ごとに割り当て)→③ネタバラシページのURLへ遷移・ページを表示
- セキュリティソフトのスキャンや安全確認サイトへリンク入力などを介して、ご自身でクリックを行う以外の手段で、①および①に埋め込まれた②のURLにアクセスすることで、「クリック」と判定されることがあります。
- 訓練対象者が本文内のリンクにアクセスすると、以下のように推移します。
セキュリティスキャンによる既読(開封・防衛失敗)が考えられる挙動について
2026年3月に「SVMによるセキュリティスキャン判定」をリリースしています。
その機能により、セキュリティスキャンによる判定(行動履歴画面に記録される行動データ)は、セキュリティスキャンによるものとして記録するようにしています。セキュリティスキャンによる判定ではない場合は、「ユーザーによる行動」として記録します。
「ユーザーによる行動」として記録された行動のみ、訓練の統計として扱います。
▽セキュリティスキャン判定とは?
https://support.lrm.jp/hc/ja/articles/56133386271129
(1)メールを既読していないのに、ユーザーにネタバラシメールが届いた
- <参考>訓練メールが届ていないのにネタバラシページメールが届いた
https://support.lrm.jp/hc/ja/articles/39986157059353
(2)標的型攻撃メール訓練機能の「行動履歴」画面より確認できる内容
- ご自身でメールソフトからメールを閲覧・本文のリンクをクリックしていないのに、勝手に既読や開封が判定されている
- 同一ユーザーにおいて、同時刻で複数回開封の行動履歴があった
- 同一ユーザーにおいて、同時刻で複数回開封しているがそれぞれIPアドレスは異なっていた
- 配信対象者全員が、訓練メール配信直後に同時刻で開封、または開封時刻が近い
- メール配信から行動までの時間がほぼ同時刻であり、明らかに人が操作した時刻ではない
(3)主にMicrosoft 365をご利用環境において確認している事象について
- Outlookの「フィッシング詐欺の報告」を利用し、不信報告をすると開封判定された
- 配信されたメールがスパムメールとして検疫に引っかかっている
(4)主にGmailをご利用環境において確認している事象について
- 訓練メールが迷惑メールフォルダに分類される
- 訓練メールを閲覧していると警告が表示される
確認・回避方法について
(1)標的型攻撃メール訓練機能の「行動履歴」画面に記録されているIPアドレスを確認する
IPアドレス検索サイト(whois検索)にて確認を行い、自社ネットワーク以外のセキュリティサービス等が利用しているサーバーのIPアドレスが表示されているかご確認ください。
(2)ご利用のメールソフトやメールセキュリティサービスの設定を確認する
訓練メールにおける送信元ドメインをセキュリティホワイトリストへの登録をお願いいたします。送信元ドメインについては、標的型攻撃メール訓練機能の「ドメイン一覧」画面にて記載がございます。
- 訓練実施前の確認・設定手順
https://support.lrm.jp/hc/ja/articles/4404837091981
(3)Microsoft 365環境をご利用の場合
スパム対策のバイパス設定をお願いいたします。 ※詳細は以下ページの「3」に記載
- Microsoft 365(Exchange Online)環境における標的型攻撃メール訓練の事前設定についてhttps://support.lrm.jp/hc/ja/articles/21377109958169
(4)Microsoft 365環境において、上記スパム設定を行っても自動スキャンによる影響がある場合
Microsoft Defender における「高度な配信」にて、送信元ドメインならびに配信元IPアドレスのご入力をすることで回避できる可能性がございます。
- 配信元IPアドレス
https://support.lrm.jp/hc/ja/articles/16960219646233
Microsoft Defender 高度な配信における配信元IPアドレスの登録について
https://support.lrm.jp/hc/ja/articles/43710741882137
また、以下のMicrosoft社がアナウンスしている設定により回避できる例も確認しております。ご参考までに以下Microsoft社公表のサポートページについてもご参照ください。
- ご参考/スパムフィルターポリシーの構成(365上位プラン)
https://learn.microsoft.com/ja-jp/defender-office-365/anti-spam-policies-configure?view=o365-worldwide - ご参考/サードパーティ製フィッシングシミュレーションとSecOpsメールボックスへの電子メール配信の高度な配信ポリシーを構成する
https://learn.microsoft.com/ja-jp/defender-office-365/advanced-delivery-policy-configure
上記にて解決しない場合は、誠に恐れ入りますが、外部ツール(セキュリオ)で行っているスパムフィルターの設定に関しまして、Microsoft社へのお問合せくださいますようお願いいたします。
(4)Gmail環境をご利用の場合
迷惑メールフォルダのバイパス設定をお願いいたします。
- Google Workspace(Gmail)で、標的型攻撃メール訓練のメールについて迷惑メールフィルターをバイパスする