フィッシング対策

アンチフィッシングセキュリティエンジンは、フィッシング、フィッシングの疑い、およびスパムメールを検出します。添付ファイル、リンク、送信者の評価、ドメイン分析、OCR、QRコードの背後にあるURLなど、メールのさまざまな要素を分析します。

アンチフィッシングエンジンは、すべての言語のメール内のフィッシングを検出します。言語ベースの検出は、次に記載されている言語でサポートされています付録F:アンチフィッシングでサポートされている言語.

フィッシング信頼度レベル(しきい値)

アンチフィッシングアルゴリズムは、分析された各メールについて、最低から最高までの信頼度を伴う判定を返します。

フィッシング信頼度レベル(しきい値)以上の信頼度レベルでフィッシングとして分類されたメールは、Phishing イベントを生成し、関連するワークフローをトリガします。

定義されたフィッシング信頼度レベル(しきい値)未満の信頼度レベルでフィッシングとして分類されたメールは、Suspected Phishing イベントを生成し、関連するワークフローをトリガします。

たとえば、フィッシング信頼度レベル(しきい値)がHighに設定されており、アンチフィッシングエンジンがメールをMediumのフィッシング信頼度レベル(しきい値)でフィッシングとして分類した場合、Suspected Phishing ワークフローをトリガします。

デフォルトでは、フィッシング信頼度レベル(しきい値)はHighに設定されています。

フィッシング信頼度レベル(しきい値)を設定するには:

  1. Email Security Administrator Portalにアクセスします。

  2. Security Settings >Security Engines にアクセス。

  3. Configure をクリックして、フィッシング対策.

  4. Phishing confidence level で、必要なしきい値を選択します。

  5. ここをSave.

ニックネームなりすまし

役員なりすましに対する保護

役員なりすましは、サイバー犯罪者が企業の役員の名前やメールアドレスになりすまし、社内の従業員をだまして機密情報を開示させたり、支払いを実行させたりしようとする不正です。

アンチフィッシングには、このようななりすましの試みをEmail Security Administrator Portal管理者が自動的にブロックできる設定があります。

ニックネームなりすましの設定

アンチフィッシングセキュリティエンジンがニックネームなりすましを検出すると、管理者はEmail Security Administrator Portalを設定して、Phishing または Suspected Phishing ワークフローをトリガできます。

ニックネームなりすましを設定するには:

  1. Security Settings > Security Engines に移動します。

  2. Configure をクリックして、フィッシング対策.

  3. ユーザのスコープを選択します:

    • 重要な人物/キーパーソン

      - デフォルトでは、アンチフィッシングはユーザの役職名を参照して、その上位性を判定します。上位の役職の例としては、CEO、CFOなどがあります。または、上位ユーザ向けのセキュリティグループ(Office 365 または Gmail 内)を作成し、指定されたフィールドにそのセキュリティグループの正確な名前を入力することで、独自の上位ユーザを定義することもできます。このフィールドでは大文字と小文字が区別されます。

    • すべての内部ユーザ

  4. 検出に対して Phishing または Suspected Phishing ワークフローを選択します。

ニックネームなりすましを検出するためのベストプラクティス

  • まずは少人数の上位者グループの保護から開始し、その後ほかの人々に拡大するか、または Suspected Phishing ワークフローを使用することを推奨します。

  • すべての内部ユーザにニックネームなりすましワークフローを拡張したい場合は、誤検知を避けるために Suspected Phishing ワークフローを使用することを推奨します。

  • 保護対象ユーザには、個人用メールアドレスを使用しないよう周知する必要があります。個人用メールアドレスはなりすましとして検出されるためです。

- アンチフィッシングは、常にすべてのユーザに対してニックネームなりすましを検出します。

誤検知への対処

SalesforceやServiceNowのような多くの一般的に使用されるサービスは、ほかのユーザに代わって正当なメールを送信します。アンチフィッシングエンジンは、これらのメールをニックネームなりすましとして検出します。したがって、この設定によってフィッシング/フィッシングの疑いの誤検知が生成されていないことを確認することが重要です。

検出をモニタするには、ニックネームなりすましを含む検出をフィルタする カスタムクエリ を作成します。

- なりすまし検出は優先されるため、SPFの失敗によりAllow-Listルールが上書きされる場合があります。メールがSPFの失敗またはなりすましの疑いによって上書きされないようにする必要がある場合は、Allow-Listルールを編集して Ignore SPF check にします。

クエリに表示される正当なサービスを Allow-List に追加してください。これを行うには、Security Settings > Exceptions > Anti-Phishing に移動します。

詳細については、以下にお問い合わせくださいCheck Point Support.

フィッシングシミュレーションソリューション

多くの組織では、従業員にフィッシング攻撃の検知方法と報告方法を教育するために、フィッシングシミュレーションソリューションを使用しています。これらのソリューションは、従業員に偽のフィッシングメールを送信し、操作の実行、添付ファイルの開封、またはフィッシングURLのクリックを行わせようとします。

Email Securityは、一般的に使用されているフィッシングシミュレーションソリューションからのこのようなメールを自動的に検知します。これらのメールに関するユーザからのフィッシングレポートは自動的に拒否されます。

Email Securityは、以下のフィッシングシミュレーションソリューションを検知します。

フィッシング シミュレーションソリューション

ActiveTrail

攻撃シミュレーショントレーニング

BenchMark

CybeReady

Hook Security

Hoxhunt

HubSpot

Infosec IQ

KnowBe4

MailChimp

MailGun

MailJet

MimeCast

Phished

PhishMe

ProofPoint

SendGrid

SendInBlue

Sophos Phish Threat V2

TargetHero

TerraNova

ZoHo

別のフィッシング シミュレーションソリューションを使用している場合:

  • フィッシング シミュレーションメールの検知を回避するには、そのソリューションのIPアドレスに基づくアンチフィッシング許可リストルールを追加してください。

    許可リストの追加については、以下を参照してくださいアンチフィッシングの例外.

  • 既知のフィッシング シミュレーションツールのフィッシング レポートは自動的に拒否されます。

  • 新しいフィッシングシミュレーションソリューションのサポートをリクエストするには、以下にお問い合わせくださいCheck Point Support.

  • フィッシングシミュレーションメールに関するエンドユーザ'のフィッシングレポートを自動的に拒否するには、以下にお問い合わせくださいCheck Point Support.

フィッシングトレーニングメールをフィッシングとして報告したユーザに対して、Email Security Administrator Portalが自動的にフィードバックを送信するよう設定するには:

  1. Email Security Administrator Portalにアクセスします。

  2. Security Settings > User Interaction > Phishing Reportsをクリックします。

  3. Phishing simulation emails セクションで、Notify user チェックボックスを選択します。

  4. (任意)フィードバック内のデフォルトテキストを変更するには:

    1. チェックボックスの横にある Notify user アイコンをクリックします。

      Configure Auto-Reply to Users Reporting Phishing Simulation Emails ポップアップが表示されます。

    2. 必要な変更を行ってから Save をクリックします。

  5. Save and Applyをクリックします。

- ユーザがフィッシングシミュレーションメールを報告すると、Email Securityは関連するフィッシング報告を自動的に却下します。

Office 365で、フィッシングシミュレーションソリューションからのユーザ報告フィッシングレポートを表示するには、以下を参照してくださいAutomatic Ingestion of End User Reports.

上流メッセージ転送エージェント(MTA)

学習モード中学習モード、アンチフィッシングエンジンの精度を向上させるために、Email SecurityはメールがMicrosoft/Googleに到達する前に処理するMTAを自動的に検出します。

Email Securityによって検出されないほかのMTAがある場合は、それらを手動で追加できます。

MTAを手動で追加するには:

  1. Email Security Administrator Portalにアクセスします。

  2. Security Settings >Security Engines をクリックします。

  3. Configureフィッシング対策.

  4. SMTP host/s acting as Mail Transfer Agent/s (MTA) までスクロールダウンし、カンマ区切りでMTAの完全DNS名またはIPアドレスを入力します。

  5. ここをSave.

DMARCに失敗したメールのブロック

一部の組織では、DMARC(Domain-based Message Authentication, Reporting and Conformance)チェックに失敗したメールを隔離または拒否するように、DMARCレコードを設定しています。ほとんどの組織は、Microsoft/Googleで受信メールに対してこの拒否を適用するように選択しています。

Email Securityでこれを適用する場合は、DMARCチェックに失敗したメールに対して、Suspected Phishing または Phishing のワークフローをトリガするよう設定できます。

デフォルトでは、アンチフィッシングセキュリティエンジンで、DMARCに失敗したメールに対して No extra action が選択されています。

DMARCに失敗したメールのワークフローを、Quarantine または Reject アクションで設定するには:

  1. Email Security Administrator Portalにアクセスします。

  2. Security Settings > Security Enginesに移動します。

  3. Configureフィッシング対策.

  4. When emails fail DMARC with action reject/quarantine policy セクションまでスクロールダウンし、次のいずれかを選択します。

  5. ここをSave.

    警告 - 受信メールがMicrosoft/Googleに到達する前にセキュアメールゲートウェイ(SEG)を通過する場合、そのメールはSEGから送信されてくるため、Microsoft/GoogleがこれらのメールをDMARC違反としてフラグする可能性があります。SEGのIPはSPF/DMARCレコードで認可されていない可能性があります。

    このような場合、Suspected Phishing または Phishing ワークフローをトリガするよう選択すると、多数の誤検知が発生し、メール配信に影響を与える可能性があります。

    これらのワークフローを選択する前に、DMARCレコードが適切に設定されていることを確認してください。

新規登録ドメインのワークフローの設定

新規登録ドメインのワークフローを設定するには:

  1. Email Security Administrator Portalにアクセスします。

  2. Security Settings >Security Engines にアクセス。

  3. ConfigureAnti-Phishing をクリックします。

  4. Configure Anti-Phishing ポップアップで、When a newly registered domain sends an email, apply the following workflow セクションまでスクロールダウンし、次のワークフローのいずれかを選択します:

    • 追加のアクションなし

    • "Suspected Phishing" ワークフローをトリガ

    • "Phishing" ワークフローをトリガ

  5. Minimum age of newly registered domain (in days) フィールドに、必要な日数を入力します

    指定された最小経過日数より新しいドメインから送信されたメールは、上記で定義したワークフローに従います。

  6. Saveをクリックします。

パートナーのなりすまし

Email Securityは、すべてのパートナーをパートナーリスク評価(侵害されたパートナー)ダッシュボードに一覧表示します。

新規登録ドメインの送信者が組織にメールを送信すると、アンチフィッシングエンジンは、その送信者ドメインがパートナードメインに類似しているかどうかを確認します。デフォルトでは、そのようなドメインの類似性が検出されると、AIベースのアンチフィッシングセキュリティエンジンにおける指標と見なされます。これによりPhishing判定になる場合もあれば、ならない場合もあります。

パートナーなりすまし攻撃 - ワークフロー

管理者は、このような類似性が検出された場合に、アンチフィッシングセキュリティエンジンのAIベースの判定を上書きして、特定のワークフローをトリガするよう選択できます。

パートナードメインに類似したドメインからのメールに対して特定のワークフローを設定するには:

  1. Email Security Administrator Portalにアクセスします。

  2. Security Settings >Security Engines をクリックします。

  3. Configureフィッシング対策.

  4. When the sender domain resembles the domain of a partner セクションまでスクロールダウンし、これらのワークフローのいずれかを選択します。

    • 標準のアンチフィッシング検査(デフォルト)でインジケータとして考慮する

    • Suspected Phishingワークフローをトリガ

    • Phishingワークフローをトリガ

  5. ここをSave.

保護された(暗号化された)メールの処理

管理者は、Microsoft RPMSG や Microsoft 365 Message Encryption などを含め、エンドユーザ向けの受信暗号化メールの管理方法を選択できます。

暗号化メールの内容を表示するには、エンドユーザはメール内で提供されたリンクをクリックし、認証する必要があります。

保護された(暗号化された)メールのワークフローを設定するには:

  1. Email Security Administrator Portal にアクセスします。

  2. Security Settings > Security Engines をクリックします。

  3. Configure をクリックして、フィッシング対策.

  4. Secured encrypted emails セクションまでスクロールダウンし、ワークフローを選択します。

    • いかなるフィッシングワークフローもトリガしない

    • 繰り返し発生する初回送信者に対して Suspected Phishing ワークフローをトリガ

    • 初回送信者に対して Suspected Phishing ワークフローをトリガ

    • Suspected Phishing ワークフローをトリガ

    • 繰り返し発生する初回送信者に対して Phishing ワークフローをトリガ

    • 初回送信者に対して Phishing ワークフローをトリガ

    • Phishing ワークフローをトリガ

    - 繰り返し発生する初回送信者とは、複数のメールを送信しており、すべてのCheck Pointのお客様全体で初回送信者と見なされる送信者を指します。

  5. ここをSave.

Email Bomb 攻撃の防止

Email Bomb は、不要なメールで受信トレイを圧倒するソーシャルエンジニアリング攻撃です。通常は、ユーザが登録した覚えのないニュースレターへの購読確認です。

これらの攻撃の対象となったユーザは業務メールにアクセスできなくなり、攻撃者はこれを気をそらす手段として利用し、ユーザに成り代わって悪意のある活動を実行することさえあります。

このような攻撃を防ぐには、管理者は Email Security で次の項目を設定する必要があります:

  • 進行中の Email Bomb 攻撃を検出して処理するための条件。

  • このような攻撃が検出されたときにトリガされるワークフロー。

Email Bomb 攻撃の識別

Email Security は、共通の攻撃時間枠内で新規送信者からのメール数が定義されたしきい値を超えると、Email Bomb 攻撃を識別します。

- 攻撃時間枠は動的であり、Check Pointのセキュリティアナリストの判断に応じて変化します。通常は数時間です。

Email Bomb 攻撃のしきい値を設定するには:

  1. Email Security Administrator Portal にアクセスします。

  2. Security Settings >Security Engines をクリックします。

  3. Configure をクリックして、フィッシング対策.

  4. Email Bomb – Threshold までスクロールダウンし、しきい値を入力します。

  5. ここをSave.

共通の攻撃時間枠内で新規送信者からのメール数がしきい値を超えると、Email Security はその後に任意の新規送信者から届くすべてのメールを攻撃の一部として扱います。これは、新規送信者からのメール数がしきい値を超えないまま攻撃時間枠が経過するまで継続します。

たとえば、管理者が Email Bomb のしきい値を 50 に設定した場合、Email Security は 51 通目以降のメールを攻撃の一部としてカウントします。

Email Bomb 攻撃のメールの処理

デフォルトでは、Email Security が Email Bomb 攻撃を検出すると、攻撃の一部である各メールを個別に評価して Spam および Phishing を判定します。管理者は、これらのメール専用のワークフローを設定できます。

Email Bomb 攻撃のワークフローを設定するには:

  1. Email Security Administrator Portal にアクセスします。

  2. Security Settings >Security Engines をクリックします。

  3. Configureフィッシング対策.

  4. Email Bomb – Workflow までスクロールし、必要なワークフローを選択します。

    • 各メールをスパム/フィッシングとして個別に評価する

    • Spamワークフローをトリガ

    • Suspected Phishingワークフローをトリガ

    • Phishingワークフローをトリガ

  5. ここをSave.

スパム保護設定

スパムコンフィデンス レベル

スパムコンフィデンス レベル(しきい値)以上のコンフィデンス レベルでスパムとして分類されたメールは、Spam イベントを生成し、関連するワークフローをトリガします。

スパムコンフィデンス レベル(しきい値)を設定するには:

  1. Email Security Administrator Portalにアクセスします。

  2. Security Settings >Security Engines をクリックします。

  3. Configureフィッシング対策.

  4. Spam confidence level セクションまでスクロールし、必要なしきい値を選択します。

    • 最低

    • 最高

      - コンフィデンス レベルが低いと、誤検知が多く発生する可能性があります。

  5. ここをSave.

Trusted Senders - エンドユーザ スパム許可リスト

参照: トラスト送信者 - エンドユーザ許可リスト.

悪意のあるQRコードの検出

アンチフィッシング セキュリティエンジンは、QRコードの背後にあるリンクを分析し、悪意のあるリンクがあれば報告します。

QRコードの背後にあるリンクを表示するには、Email Profile ページを開き、Link analysis セクションまでスクロールします。

QRコードを含むメールのフィルタリング

管理者は、Detection reason 内のQRとして Custom Queries を使用して、悪意のあるQRコードを含むメールをフィルタできます。詳細:カスタムクエリ.

Microsoftの誤検知をスパムとして上書きする(迷惑メールに送信)

管理者は、Microsoft / Google がスパムとしてフラグを立て、ユーザ's の迷惑メールフォルダに送信しようとするフィッシングメールを管理するように Email Security を設定できます。一方、Check Pointはそのメールをクリーンと分類します。これを行うには、以下を実行します。

  1. Security Settings >Security Engines にアクセス。

  2. ConfigureAnti-phishing をクリックします。

  3. Emails flagged as Spam by Microsoft / Google but Clean by Check Point セクションまでスクロールし、次のいずれかを選択します。

    • Treat as Clean emails- システムは、Microsoft が検出したフィッシングメールをクリーンとして扱い、ワークフローを適用して、メールをユーザ's のメールボックスに配信します。

    • Treat as Spam emails (leave SCL score as is) - システムは、Microsoft が検出したフィッシングメールをスパムとして扱い、ユーザ's の迷惑メールフォルダに送信します。ただし、Email Security のメールプロファイルページには、Check Pointがそのメールをクリーンと分類していることが表示されます。

  4. Saveをクリックします。

- このワークフローは、Prevent (Inline) ポリシーによって検査および適用されたメールにのみ適用されます。

アンチフィッシングの例外

参照: アンチフィッシングの例外.