標的型攻撃メール訓練の「行動履歴」画面のセキュリティスキャン判定の「ユーザーによる行動」についてこの記事では説明しています。
セキュリオでは、メール訓練の防衛失敗(クリック等の訓練に引っ掛かる行動)を適切に判定するため、SVM(サポートベクターマシン)を用いて、セキュリティソフトによる判定またはユーザーによる行動であるかを、「行動履歴」画面に結果を返しています。
前提として、訓練メールの本文にあるURLや、添付ファイルは、ご利用のメールセキュリティソフトなどを介して、システムによって自動的にスキャンされる場合がございます。
(参考)訓練対象者が訓練メールを自ら閲覧・クリックしていないにもかかわらず、既読・開封(防衛失敗)判定がされる場合
それらのスキャンによって、訓練メールにあるリンクや添付ファイル読み込まれてしまい、訓練の防衛失敗する行動として判定されてしまうことを「セキュリティスキャンによる判定」とセキュリオでは呼称しています。
(参考)セキュリティスキャン判定とは?
一方で、セキュリティスキャンではなく、ユーザー様(配信対象者)の操作による、防衛失敗とする行動、つまりは「訓練に引っ掛かる行動」を、「ユーザーによる行動」と呼称しています。
<「行動履歴」画面の例>
セキュリティスキャンによる判定・ユーザーによる行動のそれぞれの違いは以下の通りです。
セキュリティスキャンによる判定 ※防衛失敗した人数・行動としてカウントしません
- (配信対象者当人ではないセキュリティソフト等による判定)
- メールセキュリティソフトによってスキャンされる
- セキュリティソフト例:Microsoft Defender, Exchange Online Protection, Safer with Google, Trend Microほか
- メールの既読
- リンクのスキャン
- 添付ファイルのスキャン
- 検疫による隔離
- セキュリティソフト例:Microsoft Defender, Exchange Online Protection, Safer with Google, Trend Microほか
- 本文内のリンクをチャットツールに貼り付け
- メールソフト標準の「フィッシングメールの報告機能」によってスキャンされる
- メールセキュリティソフトによってスキャンされる
ユーザーによる行動 判定 ※防衛失敗した人数としてカウント
- (配信対象者当人の操作への正当な判定)
- 配信対象者の手によるメールの閲覧
- 配信対象者の手による本文内のリンククリック
- 配信対象者の手によるフィッシングフォームへの入力・送信
- 配信対象者の手による添付ファイルの展開
- (配信対象者当人以外の操作による判定)
- メールを第三者に転送し、転送先の人がリンクをクリック
- 本文内のリンクをリンク(URL)チェッカーに貼り付け
- 必要に応じて、「セキュリティスキャン判定」に手動で変更ください。変更すると、防衛失敗した人数・行動としてカウントされなくなります
未判定
- 判定ができなかった場合
なお、セキュリティスキャンによる判定は、メールセキュリティのホワイトリスト登録などで一定回避することが可能です。訓練を行う前に、事前設定を行うことを強く推奨いたします。
- Microsoft 365 (Exchange Online) 環境における標的型攻撃メール訓練の事前設定について
- Exchange Online Protection を使用している環境下で訓練を実施する場合の事前設定
- 標的型攻撃メール訓練を社内テスト-本番実施する前に確認しておくことまとめ