セキュリオ側において、セキュリティスキャン判定機能(SVM*セキュリティスキャン判定)が適用されており、セキュリティソフトによるスキャン判定がなされている場合には訓練結果への集計対象外となるため、最終的なユーザー行動としての結果が反映がされません。
セキュリティスキャン判定機能機能により、メールソフトやメールセキュリティサービスに伴うセキュリティスキャンによる行動が発生した場合、「行動履歴」画面における「セキュリティスキャン判定」の箇所にて「セキュリティソフトによるスキャン」との判定が表示されます。
- 当該判定がされている場合、「ユーザーによる行動」と判定とは異なるため、訓練結果としては、既読や防衛失敗の各行動としてカウントはされません。
- 行動履歴の「IPアドレス」をご確認いただき、アクセスされているIPアドレスがどちらのサービスであるか、whois検索等でご確認ください。
各種参考ページ
メールソフトやメールセキュリティサービスによるセキュリティスキャンとは?
- 訓練対象者が訓練メールを自ら閲覧・クリックしていないにもかかわらず、既読・開封(防衛失敗)判定がされる場合
https://support.lrm.jp/hc/ja/articles/41120532405913
「行動履歴」画面で記録される各行動の内容やセキュリティスキャン判定機能とは?
- 「行動履歴」画面とは何をするための画面ですか?
https://support.lrm.jp/hc/ja/articles/39705257234713 - セキュリティスキャン判定の「ユーザーによる行動」とは何ですか?
https://support.lrm.jp/hc/ja/articles/56125396151449 - セキュリティスキャン判定とは?
https://support.lrm.jp/hc/ja/articles/56133386271129
「セキュリティソフトによるスキャン」をそもそも回避することは可能ですか?
メールソフト側の設定に伴い、セキュリティソフトにおけるスキャンを回避することが可能です。
標的型攻撃メール訓練機能のご活用にあたり、各メールソフトにおける以下の各種設定をご対応いただくことを推奨しております。ただし、個社環境により完全に回避できないケースもございますこと、あらかじめご留意ください。
なお、メールセキュリティサービスよるセキュリティスキャンの発生の場合には、具体的な回避に関する設定方法については、ご利用サービス企業様へお問い合わせください。
Microsoft 365をご利用の場合
- Microsoft 365 (Exchange Online) 環境における標的型攻撃メール訓練の事前設定について
https://support.lrm.jp/hc/ja/articles/21377109958169
かつ、Microsoft Defenderをご利用可能な場合の推奨設定
- Exchange Online Protection を使用している環境下で訓練を実施する場合の事前設定
https://support.lrm.jp/hc/ja/articles/53058993162649
Google Workspace(Gmail)をご利用の場合
- Google Workspace(Gmail)で、標的型攻撃メール訓練のメールについて迷惑メールフィルターをバイパスする
https://support.lrm.jp/hc/ja/articles/520292709715
上記設定をご対応済みにおいても、セキュリティソフトによるスキャンが発生している場合
以下のケース1 または2が当てはまる場合には、当社より別途機能の開放をいたしますので、機能開放の旨をリクエストフォームよりお問い合わせください。
※以下の1 または 2機能の開放に伴い、別途追加費用の発生はございません。
1.該当行動のアクセスされているIPアドレスが、自社等特定のネットワークやプロキシにより「セキュリティソフトによるスキャン」と判定されている場合
ホワイトリストにおけるセキュリティスキャン判定機能のご利用にて、回避可能な場合がございます。
セキュリオ側の「設定」画面より、該当の特定のネットワークやプロキシのIPアドレスを設定することで、ユーザーによる行動として判定することが可能です。
また、「行動履歴」画面中の「セキュリティスキャン判定」箇所においても、当該機能による判定がなされた場合には、該当の行動にマウスカーソルを合わせると判定結果内容が表示されます。
- ホワイトリストによるセキュリティスキャン判定とは?
https://support.lrm.jp/hc/ja/articles/45265294298905
2.【Microsoft 365をご利用の方向け】Microsoft Defender において、高度な配信における配信元IPアドレスの設定をした際についても、「セキュリティソフトによるスキャン」と判定されている場合
当該機能の配信元IPアドレスについては、より確実に訓練メールを配信するために、AWSにおける共有IPアドレスを使用しております。
Defender における高度な配信に登録可能な配信元IPアドレス数は、Microsoftの仕様に伴い10個までとなっており、AWS側の変更によりIPアドレス帯が変更する可能性もあります。対象の共有IPアドレスが、登録上限数の10個を超える場合には、登録以外の配信元IPアドレスにて訓練メールが配信される可能性がございます。
上記懸念がある場合には、固定IPアドレスからの配信機能により、上記懸念の回避が可能です。
ただし、固定IPアドレスからの配信についてはデメリットもございますため、以下ページをご一読ください。
- 「固定IPからの配信」機能について
https://support.lrm.jp/hc/ja/articles/42377421459353
3.既読情報が想定通りに取得できない場合
既読情報については、Webビーコンのしくみを利用しており、画像コンテンツブロック等により取得が不可となっている可能性がございます。
また、ご利用のメールソフトの仕様により、管理者側でWebビーコンの自動読み込みの設定が難しい場合もございます。
※現在、Google Workspace(Gmail)においてはGoogleの仕様に伴い、管理者側における設定が難しいことを確認しています。
ご利用環境により、既読情報の取得が難しい場合には、訓練作成時に「未読・既読の取得」を「取得しない」の設定にてご実施いただくことをご検討ください。
- メールの既読判定について教えてください
https://support.lrm.jp/hc/ja/articles/8750728832793
Microsoft 365をご利用の場合
管理者によるWebビーコン自動読み込みの設定をご案内しております。
※上段にてご案内の以下ページの「設定手順5」の内容が該当です。
Microsoft 365 (Exchange Online) 環境における標的型攻撃メール訓練の事前設定について