フィッシングのシミュレーションは、フィッシング攻撃を認識して対応する組織の能力をテストするサイバーセキュリティー演習です。

フィッシング攻撃とは、人々を騙してマルウェア（ランサムウェアなど）をダウンロードさせたり、機密情報（ユーザー名、パスワード、クレジットカード情報など）を漏洩させたり、間違った相手に送金させたりすることを目的とした詐欺のEメール、テキスト・メッセージや音声メッセージです。

フィッシングのシミュレーションでは、従業員は実際のフィッシングを模倣したフィッシング・メール（またはメールや電話）を受け取ります。このメッセージは、同じソーシャル・エンジニアリングの手口（例えば、受信者の知り合いや信頼する人物になりすましたり、緊急感を煽るなど）を使って受信者の信頼を得て、不用意な行動を取らせるように操作します。唯一の違いは、おとりに乗った受信者（悪意のあるリンクをクリックしたり、悪意のある添付ファイルをダウンロードしたり、不正なランディング・ページに情報を入力したり、偽の請求書を処理したりするなど) は、組織に悪影響を与えることなく、テストに合格するだけであることです。

場合によっては、偽の悪意のあるリンクをクリックした従業員は、模擬フィッシング攻撃の被害に遭ったことを示すランディング・ページに誘導され、今後、フィッシング詐欺やその他のサイバー攻撃をより的確に見分ける方法に関する情報が提供されます。シミュレーション後、組織は従業員のクリック率に関する指標も受け取り、多くの場合、追加のフィッシング意識向上トレーニングでフォローアップします。

近年のデータによると、フィッシングの脅威は増加し続けています。2019年以降、フィッシング攻撃の数は、年間で150%増加しており、Anti-Phishing Working Group（APWG）は、2022年度に過去最高を記録し、470万を超えるフィッシング・サイトを記録したと報告しています。Proofpoint社の報告では、2022年の間に、84%の組織が少なくとも1回以上フィッシング攻撃を受けました。

最高のEメール・ゲートウェイやセキュリティー・ツールであっても、あらゆるフィッシング攻撃から組織を保護することはできないため、多くの組織がますますフィッシングのシミュレーションを重視するようになっています。よく練られたフィッシングのシミュレーションは、2つの重要な理由でフィッシング攻撃の影響を軽減するのに役立ちます。シミュレーションにより、セキュリティー・チームは実際のフィッシング攻撃をより適切に認識して回避できるように、従業員を教育するための情報が得られます。また、セキュリティー・チームが脆弱性を正確に特定し、全体的なインシデント対応を改善し、フィッシング攻撃が成功した場合のデータ侵害や金銭的損失のリスクを軽減するのにも役立ちます。

フィッシング・テストは通常、IT部門またはセキュリティー・チームが主導する広範なセキュリティー意識向上トレーニングの一環として行われます。

このプロセスには通常、次の5つのステップが含まれます。

1. 計画：目的を定義し、範囲を設定し、使用するフィッシング・メールの種類とシミュレーションの頻度を決定することから始めます。また、特定のグループや部門、多くの場合は経営幹部をセグメント化するなど、対象ユーザーも決定します。
2. 立案：フィッシングのテンプレートやダークウェブで入手可能なフィッシング・キットを参考に、実際のフィッシングの脅威に近いリアルな模擬フィッシング・メールを作成します。件名、送信者アドレス、内容などの詳細に細心の注意を払い、現実的なフィッシング・シミュレーションを作成します。また、従業員がEメールをクリックする可能性を高めるために、役員や同僚の従業員を送信者として偽装（または「なりすまし」）するソーシャル・エンジニアリング戦術も含まれます。
3. 送信：メールが完成したら、ITチームまたは外部ベンダーは、プライバシーを考慮して、シミュレートしたフィッシング・メールを安全な手段で対象ユーザーに送信します。
4. 監視：悪質な模擬メールを送信したら、リーダーは従業員がシミュレートされたメールをどのように利用したかを綿密に追跡して記録し、リンクをクリックしたり、添付ファイルをダウンロードしたり、機密情報を提供したりしていないかを確認します。
5. 分析：フィッシング・テストが終了したら、ITリーダーはシミュレーションのデータを分析して、クリック率やセキュリティー上の脆弱性などの傾向を把握します。その後、フィッシングにひっかかった従業員にすぐにフィードバックを行ってフォローアップし、どうすればフィッシングを適切に特定できたのか、また今後、実際の攻撃を回避する方法について説明します。

これらの手順を完了したら、多くの組織はフィッシングのシミュレーション結果を要約した包括的なレポートを作成して、関係者と共有します。また、サイバーセキュリティー意識を高めて、進化するサイバー脅威の先へ行くために、シミュレーション・プロセスを定期的に繰り返す前に、シミュレーションで得たインサイトに基づいて、セキュリティー意識向上トレーニングを改善する場合もあります。

フィッシングのシミュレーションを実施するにあたって考慮すべき点は、次のとおりです。

• テストの頻度と種類：多くの専門家は、さまざまなフィッシングの技法を使ったフィッシング・シミュレーションを年間を通して、定期的に実施することを推奨しています。頻度と種類の増加は、進化するフィッシングの脅威に対して全従業員が常に警戒を続けると同時に、サイバーセキュリティーの意識を高めるのに役立ちます。
• 内容と方法：内容に関しては、現実的なフィッシングの試みに似せた、模擬フィッシング・メールを開発すべきです。1つの方法は、従業員をターゲットとした、一般的なフィッシング攻撃をモデルにしたフィッシング・テンプレートを使用することです。たとえば、CEO詐欺とも呼ばれるビジネス・メール詐欺（BEC）焦点を当てたテンプレートが考えられます。これは、サイバー犯罪者が組織の経営幹部からのメールを模倣して、従業員を騙して機密情報を漏洩させたり、ベンダーと称する企業に多額の資金を送金させたりしようとするスピア・フィッシングの一種です。実際にビジネス・メール詐欺を仕掛けるサイバー犯罪者と同様に、シミュレーションを設計するセキュリティー・チームは、メールの信憑性を高めるために、送信者と受信者を注意深く調査する必要があります。
• タイミング：組織がフィッシング・シミュレーションを実施する理想的なタイミングについては、議論が続いています。ベンチマークを確立し、将来のフィッシング・シミュレーション・ソリューションの効率を測定するために、従業員が意識向上トレーニングを完了する前にフィッシング・テストを実施することを好む組織もあります。意識向上トレーニングが完了するまで待ってから、モジュールの有効性をテストし、従業員がインシデントを適切に報告するかどうかを確認することを好む組織もあります。フィッシング・シミュレーションを実施するタイミングは、組織のニーズと優先順位によって異なります。
• 教育的フォローアップ：組織がいつフィッシング・テストを実施するにしても、通常、より大規模で包括的なセキュリティー意識向上トレーニング・プログラムの一環として行います。フォローアップ・トレーニングは、テストに合格しなかった従業員が単にだまされたのではなく、サポートされていると感じてもらうのに役立ち、将来的に不審なメールや実際の攻撃を特定するための知識とインセンティブを提供します。
• 進捗状況と傾向の追跡：シミュレーションを行った後で、シミュレーション・テストごとの結果を測定して分析する必要があります。これにより、追加のトレーニングを必要とする従業員を含めて、改善すべき領域を特定できます。また、セキュリティー・チームは、最新のフィッシングの傾向と戦術を常に把握しておく必要があります。そうすることで、次回にフィッシング・シミュレーションを実行する際に、最も関連性の高い現実の脅威に対して従業員をテストできます。

フィッシングのシミュレーションとセキュリティー意識向上トレーニングは重要な予防策ですが、セキュリティー・チームには、フィッシング攻撃が成功した場合の影響を軽減するための最先端の脅威検知および対応能力も必要です。