LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

はじめての一人アドベントカレンダーに挑戦Advent Calendar 2024

Day 4
@shumasod

Gophishを使った効果的な社内フィッシングメール訓練方法に関して

Posted at

はじめに

フィッシング攻撃は、近年、サイバー攻撃の中でも特に多い手法の一つです。これに対応するためには、従業員がフィッシングメールを見分け、適切に対応するスキルを身につけることが重要です。

この記事では、オープンソースツール「Gophish」を活用して、社内フィッシング訓練を効果的に実施する方法を具体例とともに解説します。また、技術的手順だけでなく、倫理的配慮や教育戦略についても触れていきます。

1. Gophishのセットアップ

1.1 セットアップ方法

直接インストール

  1. Gophishの公式サイトから適切なバージョンをダウンロードします。
  2. ファイルを解凍し、以下のコマンドを実行して起動します: 
    ./gophish
  3. 初回起動時に管理者アカウントを作成する必要があります。

Dockerを使用したインストール

  1. Dockerをインストールし、以下のコマンドを実行: 
    docker pull gophish/gophish
docker run -d --name gophish -p 3333:3333 -p 80:80 gophish/gophish
  2. トラブルシューティング:
    • ポート競合エラーが発生する場合は、異なるポート番号を指定してください: 
      docker run -d --name gophish -p 3334:3333 -p 8080:80 gophish/gophish

2. 訓練キャンペーンの準備

2.1 ランディングページの作成

  • ランディングページは、「フィッシングメール」に見せかけるリンク先となるページです。
  • SSL/TLS証明書を適用し、HTTPS接続を使用することで、安全性と信頼性を確保します。

SSL/TLS証明書の適用(Let's Encryptの利用例) 

sudo apt install certbot
sudo certbot certonly --standalone -d example.com

証明書を取得後、Dockerコンテナ内にマウントして使用します。

2.2 メールテンプレート作成

  • 推奨されるテンプレート例:
    • 「パスワード変更リクエスト」
      件名: 「【重要】アカウントの安全性を確保してください」
      内容: 「IT部門です。セキュリティ向上のため、次のリンクからパスワードを更新してください。」
      (リンクはランディングページに接続)

2.3 ユーザーグループの設定

  • 公平性を保つため、すべての部署や職種から均等に対象者を選びます。

3. キャンペーンの実施とモニタリング

3.1 キャンペーンの作成

  • 「Campaigns」タブで、送信プロファイル、メールテンプレート、ランディングページ、ユーザーグループを設定。

3.2 リアルタイムの監視

  • ダッシュボードで以下のデータをリアルタイムで確認可能です:
    • メール開封率
    • リンククリック率
    • 情報提供率(入力フォームがある場合)

4. 結果の分析と教育戦略

4.1 結果の可視化

  • グラフやチャートでの分析例:
    • 開封率の時間帯別推移
    • 部署ごとのクリック率比較

4.2 教育セッションの具体例

  1. ワークショップ形式:
    実際のフィッシングメールと訓練メールを比較し、特徴を議論。
  2. オンライン学習モジュール:
    インタラクティブなクイズ形式で、フィッシングメールの見分け方を学習。

5. 他ツールとの比較

ツール 特徴 メリット デメリット
Gophish オープンソース、使いやすいUI コストが低い、簡単に導入可能 高度な分析機能は少ない
King Phisher 高度なカスタマイズが可能 詳細なレポート機能 導入・設定がやや複雑

6. 法的・倫理的な配慮

  • 事前告知:
    従業員に対し、フィッシング訓練が実施されることを通知し、目的を明確に説明します。
  • 同意の取得:
    訓練対象者から事前に同意を得ることで、法的リスクを回避します。
  • プライバシー保護:
    訓練結果を個人単位で公開せず、統計データとして活用します。

7. 成功事例と改善策

成功事例

  • 第1回訓練でクリック率が40% → 第2回訓練で10%に減少。
    教育セッションを行い、従業員の意識向上が確認されました。

改善策

  • 高クリック率の部署に対して追加訓練を実施し、成功事例を共有。

まとめ

Gophishを活用した社内フィッシング訓練は、組織のセキュリティ意識を高めるための強力なツールです。ただし、従業員への心理的負担を最小限に抑え、教育的な目的を重視することが成功の鍵となります。
定期的な訓練を通じて、組織全体でセキュリティ意識を高める取り組みを推進しましょう。

参考リンク

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?