エフセキュアは9月16日、フィッシング攻撃のトレーニングサービス「F-Secure Phishd」の国内提供を開始した。顧客企業別に特化したフィッシング攻撃の模擬演習を通じて、フィッシング攻撃被害の防止やセキュリティ意識の向上を支援する。

 F-Secure Phishdの標準フローとしては、まず模擬演習として、用意したフィッシングメールを配信し、それに対する従業員のアクションをテストする。終了後は演習結果を分析し、従業員に対し座学での教育を実施する。その後、再度フィッシングメールを配信して、教育後の効果を測定。エフセキュア側で最終的な報告書を作成し、顧客企業管理者向けに報告会を行う、という流れだ。一連のトレーニングを通じて、従業員のセキュリティ意識向上を図るとともに、フィッシング攻撃の成功率の低下につなげることを狙う。F-Secure Phishdの管理ポータル上では、配信するメールの確認や演習の進捗状況、結果を可視化する。

 15日に開いた説明会で、目黒潮・サイバーセキュリティ技術本部シニアセールスエンジニアは、顧客企業ごとに「フルカスタマイズが可能」な点が特徴と説明。フィッシング攻撃の模擬演習にあたり、エフセキュアのコンサルタントが顧客企業の事業内容や過去のセキュリティ被害などについて事前にヒアリングを行い、その企業の従業員が実際に受け取りそうなメールやアクセスしそうなサイトにカスタマイズした形で、模擬攻撃に使用するフィッシングメールやフィッシングサイトを用意するという。

 また、エフセキュアでは、インシデントレスポンスやレッドチーム演習も提供している。目黒シニアセールスエンジニアは、攻撃者の観点を利用してフィッシングメールを作成するなど「豊富な経験を基に、攻撃手法を熟知しているところも(他社サービスと比べた)優位性だ」と話した。

 標準価格は400万円。オプションで、追加のメールやフィッシングサイトの作成、オンサイトトレーニングの提供にも対応する。

 エフセキュアが15日に発表した2020年上半期(1月~6月)における攻撃トラフィックに関する調査レポートによると、新型コロナウイルスに関連するフィッシング攻撃が多数観測されたという。また、リモートワークへの移行に伴い利用が拡大している「Microsoft 365」などのクラウドサービスに対する攻撃も増加が見られたほか、サービス型のランサムウェア(RaaS)やソフトウェアの脆弱性を悪用した攻撃も多数確認されたという。

 同日の説明会でセキュリティ動向を解説したカルビン・ガン・戦術防衛ユニット(Tactical Defense Unit)マネージャーは、「Eメールがいまも成功率の高い感染経路になっている」と指摘。脆弱性に対するパッチ適用をはじめとする技術的対策とともに、「従業員に対する教育がこれまで以上に重要になっている」と語った。(前田幸慧)