フィッシングキャンペーン中、ユーザーはフィッシングセキュリティテスト（PST）を受けます。フィッシングセキュリティテストに失敗したか成功したかに基づいて、ユーザーはフィッシング詐欺ヒット率を受け取ります。フィッシング詐欺ヒット率が低いユーザーは、フィッシング詐欺ヒット率が高いユーザーよりも、実際のフィッシング攻撃を受ける可能性は低くなります。PSTについてもっと詳しく知りたい場合は、「フィッシングセキュリティテスト（PST）の概要」の記事を参照してください。 

失敗とは？

ユーザーが安全でない方法でメールを操作した場合、その操作は失敗となり、ユーザーはテストに失敗したことになります。フィッシングキャンペーン中、ユーザーはPSTで複数回失敗することがあります。重大度が高い順から低い順に、さまざまなタイプの失敗を以下に示します。

• ランディングページにデータを入力した
• コールバックフィッシングの通話で個人情報を入力した
• 添付ファイルのマクロを有効にした
• 模擬フィッシングメールに返信した
• 添付ファイルを開いた
• QRコードを読み取った
• コールバックフィッシングメールある番号に電話をかけ、コールバックコードを入力した
• 埋め込まれているリンクをクリックした

フィッシング詐欺ヒット率の計算方法

フィッシング詐欺ヒット率は、フィッシングリンクをクリックしやすい従業員の割合を示します。フィッシング詐欺ヒット率は、ユーザーがどのように失敗したかを正確に追跡するものであり、フィッシング失敗率とは異なります。1通のメールでユーザーが複数回失敗することがあります。その場合、フィッシング詐欺ヒット率は100％を超えることになります。例えば、ユーザーがメールを開き、リンクをクリックし、添付ファイルを開いた場合、2回失敗しており、フィッシングテストに1回失敗したと見なされます。その結果、このユーザーは1回のテストで2回失敗したため、そのユーザー個人のフィッシング詐欺ヒット率は200％になります。

個人のフィッシング詐欺ヒット率が高いほど、そのユーザーがメールを利用したソーシャルエンジニアリング攻撃に対して脆弱である可能性が高いことを示します。ユーザーが模擬フィッシングメールを開いて複数回失敗した場合、それはレッドフラグを見抜けていないことを意味します。失敗の回数やタイプを把握することで、そのユーザーにどのようなトレーニングが必要かを判断するのに役立ちます。

キャンペーンのフィッシング詐欺ヒット率

フィッシングキャンペーンでは、総失敗数をそのキャンペーンで配信されたメールの総数で割ることで、フィッシング詐欺ヒット率が算出されます。

100人がメールを受け取り、そのうち52人がメール内のリンクをクリックした場合、52％の人が失敗したことを意味します。その52人のうち8人がランディングページに情報を入力した場合、キャンペーンのフィッシング詐欺ヒット率は60％に上昇します。