Office365を活用した標的型メール訓練 準備編
2020-12-21
azblob://2022/11/11/eyecatch/2020-12-21-Security-000.jpg

この記事はFIXER Advent Calendar 2020(https://adventar.org/calendars/5928)21日目の記事です。

みなさん標的型メール攻撃訓練やってますかー?
個人ではなかなか行う機会はないと思いますが、企業では実施されているところも多いのではないでしょうか。

弊社では、ISO27001(ISMS)の認証を取得していますが、その中の情報セキュリティ向上の施策として標的型メール攻撃訓練をOffice365を活用して実施しております。

これから標的型メール攻撃訓練の実施を検討されている、または現在Office365を契約しているが別サービスで実施されている企業様はご検討の余地があるかもしれません。

必要なライセンス

O365を活用して標的型メール攻撃訓練を行うには以下のライセンスが必要です。

Office365 E5

E5のみが現在対応しているようです。。お値段¥3,810/月!
標的型メール攻撃訓練のみを見た場合は割高に感じてしまいますね。
Office365としての基本ソフト(メール、Word、Excel、パワポ等々)に加え、他の機能もたくさんありますので、総合的に考えるとコスパがいいかもしれません。今回は詳細を記載しませんが、調べてみてください

準備

では実際に訓練を行うための準備をしていきたいと思います
標的型メール訓練の機能はOffice365 セキュリティ/コンプライアンスセンターにあります

https://protection.office.com/
脅威の管理 -> 攻撃シュミレーター

攻撃の種類

4種類の攻撃シュミレーターが用意されています。

  • スピアフィッシング (資格情報収集)
  • スピアフィッシング (添付ファイル) 
  • ブルート フォース パスワード (辞書攻撃)
  • パスワード スプレー攻撃

今回は、スピアフィッシング (資格情報収集)の準備を行います

テンプレートの作成

攻撃メールの見た目や文言を作成していきます。


攻撃詳細リンクを押下します。

テンプレートの作成リンクを押下します。

各設定項目を入力していきます。

大項目項目解説
開始名前テンプレートの名前
メールの詳細の構成差出人(名前)受信したメールの表示される名称
実際にありえる差出人
差出人(メール)メールの差出人。
どんなアドレスでも可能
フィッシングのログインサーバのURL好きなのを選んでね
カスタムランディングページのURLユーザが受信したメール内のリンクをクリックし、資格情報(ID,Password)を入力した場合に遷移するページ
カテゴリ未入力でも大丈夫
件名メールの件名
メールの作成メールの本文メール本文を作成します

本文内に以下の変数を埋め込みます
${username} 
受信者の名前を挿入します。
${loginserverurl} 
前の手順で検出された フィッシングログインサーバーの URL 値を挿入します。

メールサンプルは後述を参照してください

本文サンプル

<meta http-equiv="Content-Type" content="text/html; charset=utf-8"><meta content="text/html; charset=utf-8"><meta content="text/html; charset=utf-8"><meta content="text/html; charset=utf-8"><table bgcolor="#EFEFEF" width="100%" cellpadding="3" cellspacing="0" border="0" style="min-width:100%"><tbody><tr><td style="padding:10px 10px 10px 10px"><table class="container" bgcolor="#FFFFFF" align="center" width="600" cellpadding="3" cellspacing="0" border="0" style=""><tbody><tr><td bgcolor="#BFBFBF" style="text-align:center; color:rgb(0,0,0); font-size:14pt; padding:35px 20px 35px 20px"><img src="https://support.content.office.net/en-us/media/b6e6039c-bf02-456e-90cf-aecb2c0d8a82.png" alt="icon" height="160" width="268"><br>${username}, Please check your account status.<br><br><table align="center" cellpadding="0" cellspacing="0" width="240" style="font-family:sans-serif; text-align:center; line-height:1.5; font-size:11pt; margin:0px auto 0px auto"><tbody><tr><td align="center" bgcolor="#DF151A" height="20" valign="middle" class="" style="padding:12px 20px 12px 20px"><a class="phishing-link-do-not-delete" href="${loginserverurl}" style="color:#FFFFFF; text-transform:uppercase; text-decoration:none">Check Your Account Details </a></td></tr></tbody></table></td></tr><tr><td style="padding:40px 20px 40px 20px"><div style="text-align:center"><br></div>${username}<br><span>ネットワークセキュリティの継続的な評価の一環として、最近、疑わしいネットワークログオンアクティビティを監視するプログラムを実装しました。<br>あなたのアカウントは昨日あなたの日本のオフィスにログインしたことが分かり、そして数時間以内にアメリカのある地域からログインしたことも分かりました。<br>これは不可能なログオンイベントであり、アカウントで追加の疑わしい活動を特定するために、直ちに支援を求めています。<br></span><div><br></div><div>ポータルにログインして、追加のログオンアクティビティや、自分のアカウントからアクセスされた最近のデータを確認してください。<br></div><div><br></div><span>ご協力ありがとうございました。</span> </td></tr></tbody></table><table class="container" align="center" width="600" cellpadding="3" cellspacing="0" border="0" style=""><tbody><tr><td style="padding:20px 20px 40px 20px; color:#676767; font-size:8.5pt"><strong>Do not share this email</strong><br>This email contains a secure link to a secure site. Please do not share this link email with others.<br><br>If you have any questions about the site, please visit our support page <a class="&quot;phishing-link-do-not-delete&quot;" href="" style="">support page</a> rather than replying to this email. </td></tr></tbody></table></td></tr></tbody></table>

完了まで押下すると、テンプレートの一覧に作成したテンプレートがでてきます

これで準備は整いました。

次回は実際に攻撃メール訓練実施編をお送りします。