3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Day 24

Microsoft Security Advent Calendar 2025

@ys-yoshida

Microsoft Defender 攻撃シミュレーショントレーニングを試してみた

Last updated at Posted at 2025-12-23

きっかけ

昨今、フィッシング攻撃やランサムウェアなどのサイバー攻撃が増加する中、組織のセキュリティ対策として技術的な防御だけでなく、ユーザー自身のセキュリティ意識向上が重要になっています。

Microsoft 365 E5ライセンスに含まれる「攻撃シミュレーション トレーニング」機能を使えば、外部サービスを契約することなく、社内で簡単にフィッシング訓練を実施できます。今回、この機能を実際に試してみたので、その手順と効果をレポートします。

前提条件

必要なライセンス

  • Microsoft 365 E5
  • Microsoft Defender for Office 365 Plan 2

アクセス先

Microsoft Defender ポータル: https://security.microsoft.com
→「メールとコラボレーション」
→「攻撃シミュレーション トレーニング」
image.png

管理者側で作成する手順

攻撃シミュレーショントレーニングは、ウィザード形式で簡単に設定できます。

Step 1: 攻撃手法の選択

まず、シミュレーションで使用する攻撃手法を選択します。主な選択肢は以下の通りです。

  • 資格情報収集: 偽のログインページでID/パスワードの入力を促す(最も一般的)
  • マルウェアの添付ファイル: 悪意のあるファイルを開かせようとする
  • URL誘導: 悪意のあるURLをクリックさせようとする

今回は、最も代表的な攻撃手法である「資格情報収集」を選択しました。
image.png

Step 2: ペイロードとログインページの選択

次に、実際にユーザーに送信する訓練メール(ペイロード)と、クリック後に表示される偽のログインページを選択します。

Microsoftが提供する「グローバル ペイロード」には、日本語のテンプレートが豊富に用意されています。
今回は、予測される侵害率が最も高いQRコードを使った未配信メールの通知を装うペイロードを選択しました。
image.png

余談: 日本語バージョンを選択すると、よく見るようなサービスのペイロードもありました。さすがに業務メールアドレスでNetflixを登録している人はいないと思いますが...笑
image.png

Step 3: ターゲットユーザーの指定とトレーニングの割り当て

ターゲットユーザーの指定

訓練の対象となるユーザーまたはグループを指定します。部署単位やセキュリティグループで指定することも可能です。

トレーニングの割り当て

シミュレーションで「失敗」したユーザー(メールをクリックした、資格情報を入力したなど)に対して、自動的にセキュリティトレーニングを割り当てる設定を行います。

今回は、訓練失敗時に「Ransomware」のトレーニングコースが自動で割り当てられるように設定しました。

Step 4: シミュレーションの実行とレビュー

設定内容を最終確認し、必要に応じてテスト送信を行います。問題がなければ、シミュレーションを起動します。
image.png

注意: テスト送信で実際の挙動を確認してから本番実行することをおすすめします。

ユーザーが体験する手順

メールの受信

ユーザーには、通常のOutlookメールと同じように訓練メールが届きます。
image.png

リンクのクリック

メール内のリンクやQRコードをスキャンすると、偽のサインインページに誘導されます。

資格情報の入力

偽のログインページで資格情報(ID/パスワード)を入力すると...
image.png

教育ページの表示

訓練に「引っかかった」ことが通知され、教育的なランディングページが表示されます。
このページでは、どのような点に注意すべきだったかが説明されます。
image.png

トレーニングコースの自動割り当て

同時に、管理者が設定したセキュリティトレーニングコース(今回はランサムウェアに関するもの)が自動的に割り当てられ、ユーザーはすぐに学習を開始できます。
image.png

この即座のフィードバックにより、ユーザーは自分の行動を振り返り、セキュリティ意識を高めることができます。

管理者側で確認する手順

シミュレーション完了後、管理者は詳細なレポートを確認できます。
image.png

主要なメトリクス

レポートには以下のような重要な指標が表示されます。

シミュレーションの影響

攻撃に影響を受けたユーザーの割合が表示されます。これにより、組織全体のセキュリティ意識レベルを把握できます。

配信状態

  • メールが何通配信されたか
  • 何通開封されたか
  • 配信に失敗したメールの数

ユーザーアクティビティ

ユーザーの具体的な行動を詳細に追跡できます。

  • メッセージを開封した
  • リンクをクリックした
  • 資格情報を入力した
  • 添付ファイルを開いた

レポートの活用方法

このレポートにより、以下のような分析が可能になります。

  • 組織全体のセキュリティ意識の現状把握
  • 特に注意が必要なユーザーの特定
  • 部署ごとのセキュリティ意識の比較
  • 今後の教育プログラムの改善点の洗い出し

定期的に訓練を実施し、結果を比較することで、セキュリティ意識の向上度合いを測定することもできます。

まとめ

Microsoft Defenderの攻撃シミュレーション トレーニングは、以下の点で優れたツールです。

  • オールインワン: 訓練の実施から結果分析、自動トレーニング割り当てまで一気通貫
  • コスト効率: M365 E5ライセンスに含まれており、追加費用不要
  • 簡単な操作: ウィザード形式で誰でも簡単に設定可能
  • 豊富なテンプレート: 日本語を含む多様なペイロードが用意済み
  • 即座のフィードバック: ユーザーが失敗した瞬間に教育を開始

この機能を活用し、定期的に訓練を実施することで、組織のサイバーセキュリティ防御力を継続的に高めていきましょう。

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?