FAQ

共有

この記事は役に立ちましたか?

最終更新:

FAQ:PhishER

この記事では、KnowBe4のPhishERプラットフォームを使用するときのよくある質問とその回答を参照できます。この記事に記載されていないご質問がある場合は、KnowBe4のサポートチームKnowBe4のサポートチーム(新しいウィンドウでリンクが開きます)までお問い合わせください。

PhishERの詳細については、「PhishER製品マニュアル」を参照してください。

一般情報

PhishERに関する一般的な情報は、以下の質問と回答を参照してください。

  1. PhishERプラットフォームの自分の情報はどのように保護されますか?
  2. 組織の他のメンバーにPhishERへのアクセスを許可して管理するにはどうすればよいですか?
  3. PhishERを購入するにはどうすればよいですか?
  4. PhishERと互換性のあるURL書き換えツールと短縮ツールにはどのようなものがありますか?
  5. PhishERを使用して、ウイルスを処理してブロックすることは可能ですか?
  6. PhishERプラットフォームと送受信されるデータは暗号化されていますか?

PhishERプラットフォームの自分の情報はどのように保護されますか?

PhishERは、セキュリティ声明セキュリティ声明(新しいウィンドウでリンクが開きます)のページで詳述されているように、KnowBe4のセキュリティおよびプライバシーのベストプラクティスをすべて使用しています。さらに保護を強化するために、KSATコンソールの管理者アカウントで多要素認証を有効にできます。

組織の他のメンバーにPhishERへのアクセスを許可して管理するにはどうすればよいですか?

PhishERアカウントの管理者は、KSATコンソールの[ユーザープロフィール]でPhishERの設定を有効にして、組織の他のメンバーにPhishERへのアクセス権限を付与できます。KSATの管理者にはPhishERへのアクセス権限が自動的に付与されます。

アカウント管理者は、KSATの[ユーザープロフィール]からPhishERへのアクセス権限を無効にできます。

PhishERを購入するにはどうすればよいですか?

PhishERプラットフォームを購入される場合は、アカウントマネージャーにお問い合わせください。アカウントマネージャーが誰かわからない場合は、KnowBe4のサポートチームKnowBe4のサポートチーム(新しいウィンドウでリンクが開きます)にお問い合わせください。

PhishERと互換性のあるURL書き換えツールと短縮ツールにはどのようなものがありますか?

Webhookの設定に使用するURLなど、URLを書き換えまたは短縮する場合は、互換性のあるリ書き換えツールや短縮ツールなどを使用することをお勧めします。

注:Second Chanceと互換性のあるURL書き換えツールと短縮ツールにはどのようなものがありますか?

サポートされているURL短縮ツールのリストは、以下を参照してください。

名前 URL
Bitly bit.ly
Bitdo bit.do
Capsulink cli.re, [www.]capsulink.com
Googl goo.gl
Owly ow.ly
TinyURL tinyurl.com

サポートされているURL書き換えツールのリストは、以下を参照してください。

名前 URL
Barracuda linkprotect.cudasvc.com
Cisco secure-web.cisco.com
Egress Defend *.defend.egress.com
FireEye *.fireeye.com
Google(Gmail) [www.]google.com
Mimecast
  • protect-*.mimecast.com
  • *.mimecastprotect.com
Office 365 *.safelinks.protection.office365.us
Outlook *.safelinks.protection.outlook.com
PostOffice clicktime.cloud.postoffice.net
Proofpoint urldefense.proofpoint.com
Sophos *.protection.sophos.com
Symantec clicktime.symantec.com
TrendAI (旧Trend Micro) *.trendmicro.com
Trustwave scanmail.trustwave.com

PhishERを使用して、ウイルスを処理してブロックすることは可能ですか?

いいえ、PhishERを使用してウイルスを処理してブロックすることはできません。PhishERはメールフィルタとしては設計されていません。PhishERの目的は、ユーザーから報告された攻撃が疑われる全てのメールを評価するプラットフォームを提供することですが、PhishERを使用すると、報告されたメールに共通する要素を見つけて、インシデントレスポンスのためのアクションを自動化できます。

PhishERプラットフォームと送受信されるデータは暗号化されていますか?

はい、PhishERはプラットフォームとのデータの送受信にTLS(Transport Layer Security)暗号プロトコルを使用しています。

使ってみる

PhishERの利用を開始するときのよくある質問については、以下を参照してください。

  1. PhishERプラットフォームをセットアップするにはどれくらいの時間がかかりますか?
  2. PhishERの[Inbox](受信箱)にメールを転送するために、Phish Alert Button(PAB)を使用する必要がありますか?
  3. 報告用のメールアドレスの作成数に制限はありますか?
  4. 保存したルームはどこにありますか?
  5. PhishERの[Inbox](受信箱)を特定のタグでフィルタリングすることはできますか?
  6. PhishERの[Inbox](受信箱)からメッセージを削除するにはどうすればよいですか?
  7. ユーザーの受信箱からメールを完全に削除するにはどうすればよいですか?
  8. 新しいルールを作りましたが、このルールは、ルールを作成する前にPhishER [Inbox](受信箱)にあったメッセージにも影響しますか?
  9. PhishERプラットフォームが対応しているYARAのバージョンは何ですか?
  10. YARAルールに正規表現を使用できますか?
  11. PhishERでは添付ファイルを安全に開くことができますか?
  12. メッセージがスパムとしてタグ付けされたときに、エンドユーザーに通知することができますか?
  13. 添付ファイルのプレフィックスを使用して、似たような添付ファイルがあるメールを探すことはできますか?
  14. PhishMLのしきい値について推奨設定はありますか?

PhishERプラットフォームをセットアップするにはどれくらいの時間がかかりますか?

セットアップにかかる時間は、メールサーバーの設定や、報告されたメールを手動で転送するか、Phish Alert Button(PAB)で自動的に転送するかによって異なります。自社でPABを使用している場合、報告されたメールは自動的にPhishERに送信されるため、PhishERをすばやく設定して開始できます。PhishERプラットフォームの[Rules](ルール)タブからメールの処理をすばやく開始するシステムルールを使用して、セットアップにかかる設定を短縮できます。PhishERの使用を開始するための情報については、「PhishERクイックスタートガイド」を参照してください。

PhishERの[Inbox](受信箱)にメールを転送するために、Phish Alert Button(PAB)を使用する必要がありますか?

PABを使用する代わりに、ユーザーが報告したメールを組織のPhishERプラットフォームに紐付けられている報告用メールアドレスに手動で転送することもできます。また、メールのEMLファイルをダウンロードし、新しいメールにEMLファイルを添付して、そのメールをPhishERに送信することも可能です。PhishERでは、この処理はPABレポートとして認識されます。[PhishER Settings](PhishERの設定)で報告用メールアドレスに[Forwarded Only](転送のみ)チェックボックスが選択されている場合、PhishERでは、この処理が手動のレポートとして認識されます。このメール転送の方法では、転送されるメールがRFC822メッセージ標準に準拠したEMLフォーマットで送信される必要があります。このフォーマットには、元のメールヘッダーとメール本文が完全に含まれます。

これらの方法の詳細については、「PhishERの設定:アカウント」の記事を参照してください。

報告用のメールアドレスの作成数に制限はありますか?

いいえ、制限はありません。報告メールアドレスはいくつでも作成できます。例えば、ユーザーグループ、Phish Alert Button(PAB)インスタンス、またはオフィスの場所について、それぞれ異なる報告用のメールアドレスを使用する場合、複数の報告用のメールアドレスを作成できます。

注:報告用のメールアドレスに転送された全てのメールは、PhishERの[Inbox](受信箱)に送信されます。

保存したルームはどこにありますか?

PhishERでルームを保存すると、[Rooms](ルーム)ページの[Saved Queries](保存されたクエリ)の下に保存されます。ルームの詳細については、「PhishERルームの作成と管理」の記事を参照してください。

PhishERの[Inbox](受信箱)を特定のタグでフィルタリングすることはできますか?

Luceneのクエリ構文を使用して、特定のタグでPhishERの[Inbox](受信箱)をフィルタリングできます。例えば、受信箱の検索バーに以下のクエリを入力すると、受信箱には「Threat」タグが付いている全てのメッセージが表示されます。

タグ:"threat"

受信箱の詳細については、「PhishERの受信箱ガイド」の記事を参照してください。

PhishERの[Inbox](受信箱)からメッセージを削除するにはどうすればよいですか?

PhishERの[Inbox](受信箱)にあるメッセージを選択し、[Message Details](メッセージの詳細)ページからメッセージを削除できます。メッセージを削除するには、以下のステップに従って操作します。

  1. PhishERの[Inbox](受信箱)ページに移動します。
  2. 削除するメッセージを選択します。[Message Details](メッセージの詳細)ページが表示されます。
  3. [Message Details](メッセージの詳細)ページの右側には[Actions](アクション)と[Discussion](ディスカッション)のサイドバーが表示されます。[Actions](アクション)タブで、[Delete Message](メッセージの削除)ボタンをクリックします。[Delete Message?](メッセージを削除しますか?)ポップアップウィンドウが表示されます。
  4. [Delete Message?](メッセージを削除しますか?)ポップアップウィンドウが開いたら、[Yes, delete it](はい、削除します)をクリックします。

ユーザーの受信箱からメールを完全に削除するにはどうすればよいですか?

ユーザーの受信箱からメールを完全に削除する前に、PhishERの[Settings](設定)の[PhishRIP]サブタブで[Allow Permanent Message Deletion](メッセージの完全な削除を許可する)設定を有効にする必要があります。メールを完全に削除するには、この設定を有効にした後に、PhishRIPによってメールを隔離する必要があります。この設定の詳細については、「PhishRIPガイド」の記事を参照してください。

新しいルールを作りましたが、このルールは、ルールを作成する前にPhishER [Inbox](受信箱)にあったメッセージにも影響しますか?

ルールを変更する前に受信したメッセージは影響を受けません。作成したルールを、そのルールを作成する前に受信したメッセージに対して実行するには、以下のステップに従って操作します。

  1. PhishERの[Inbox](受信箱)ページに移動します。
  2. メッセージの左側にあるチェックボックスを選択して、メッセージを選択します。[Run](実行)ドロップダウンメニューが[Inbox](受信箱)ページの左上隅に表示されます。
  3. [Run](実行)ドロップダウンメニューから、選択したメッセージに対して実行するアクションを選択します。

PhishERプラットフォームが対応しているYARAのバージョンは何ですか?

PhishERでは現在、YARAのバージョン4.1.2がサポートされています。このバージョンの詳細については、YARAの「YARAルールの記述」「YARAルールの記述」(新しいウィンドウでリンクが開きます)のドキュメントを参照してください。

YARAルールに正規表現を使用できますか?

はい、YARAのルールを記述するときには、正規表現を使用できます。ただし、すべての正規表現コマンドがYARAコンパイラで認識されるわけではありません。YARAが認識する正規表現コマンドのリストは、YARAの「正規表現」「正規表現」(新しいウィンドウでリンクが開きます)のドキュメントを参照してください。

PhishERでは添付ファイルを安全に開くことができますか?

KnowBe4は、VirusTotalで安全とマークされている場合であっても、PhishERで添付ファイルを開くことをお勧めしません。添付ファイルは、安全なサンドボックス環境で開いて解析することをお勧めします。

メッセージがスパムとしてタグ付けされたときに、エンドユーザーに通知することができますか?

PhishERでは、ユーザーに通知するアクションを作成して、メッセージがスパムとしてタグ付けされたことを通知できます。このアクションを作成するには、次の画像にあるステップ1、2、3を設定します。

  1. [Choose how this action should be triggered](アクションをトリガーする方法を選択する):[Specify Tags](タグを指定)オプションを選択します。次に、[Has]に[Any]を選択し、スパムに関連する全てのPhishERタグを追加します。
  2. (オプション)[Choose the action to be taken on matched messages](一致したメッセージに対して実行するアクションを選択する):[Set Status](ステータスの設定)、[Set Priority](優先度の設定)、および[Set Category](カテゴリの設定)オプションを選択します。[Set Status](ステータスの設定)オプションで、ドロップダウンメニューから[Resolved](解決済)を選択します。[Set Priority](優先度の設定)オプションで、ドロップダウンメニューから[Low](低)を選択します。[Set Category](カテゴリの設定)オプションで、ドロップダウンメニューから[Spam](スパム)を選択します。
  3. [Choose how you would like to report this action](このアクションをレポートする方法を選択する):[Send Email](メール送信)オプションを選択します。このオプションを選択すると、メッセージがスパムとしてタグ付けされたときに、選択した受信者に自動的に送信する独自のメール応答を作成できます。詳細については、「PhishERでのカスタムメールテンプレートの作成」の記事を参照してください。

添付ファイルのプレフィックスを使用して、似たような添付ファイルがあるメールを探すことはできますか?

はい、プレフィックスが含まれている場合は、そのプレフィックスを使用できます。例えば、添付ファイルの名前が「請求書20230623.xml」の場合、次のようなプレフィックスを使用して似たような添付ファイルがあるメールを見つけることができます。

  • 請求
  • 請求書
  • 請求書2023

PhishMLのしきい値について推奨設定はありますか?

PhishMLのしきい値の推奨設定については、「PhishMLガイド」の記事の「信頼値としきい値の設定」のセクションを参照してください。

PhishRIPとPhishFlipの使用

PhishRIPとPhishFlipの使用方法に関するよくある質問については、以下を参照してください。

  1. Microsoft 365インスタンスをPhishRIPに接続するには、どのような権限が必要ですか?
  2. Google WorkspaceでPhishRIPを有効にするには、どのような権限が必要ですか?
  3. PhishRIPを有効にするために、管理者アカウントでグローバル権限が必要になるのはなぜですか?
  4. PhishRIPを利用するときに情報の漏洩や窃取を防ぐために、どのようなセキュリティ対策を講じていますか?
  5. PhishFlipキャンペーンを開始すると、追跡期間は必ず3日間に設定されますか?追跡期間を変更する方法はありますか?
  6. PhishFlipでは、報告されたメールで見つかった添付ファイルも利用できますか?

Microsoft 365インスタンスをPhishRIPに接続するには、どのような権限が必要ですか?

Microsoft 365インスタンスの全ての受信箱にPhishRIPのアクセス権限を付与するには、「グローバル管理者」の権限が有効なMicrosoft 365の管理者アカウントが必要です。この権限があるアカウントにログインし、Microsoft 365に接続するために必要な権限を許可します。必要な権限の詳細については、「PhishRIPガイド」の記事をご覧ください。

注:Microsoft 365へのサインインに使用するアカウント情報は、PhishERに保存されることはありません。このメールアドレスは、別のMicrosoft 365管理者が削除することも可能です。

Google WorkspaceでPhishRIPを有効にするには、どのような権限が必要ですか?

Google WorkspaceでPhishRIPを有効にするには、Google Workspaceアカウント管理者のメールアドレスが必要です。

PhishRIPを有効にするために、管理者アカウントでグローバル権限が必要になるのはなぜですか?

PhishRIPがメールサーバーへの初期接続に必要なアクセスを許可するには、管理者アカウントでグローバル権限を有効にする必要があります。PhishRIPが有効になった後には、この機能ではグローバル権限は使用されません。

PhishRIPを利用するときに情報の漏洩や窃取を防ぐために、どのようなセキュリティ対策を講じていますか?

KnowBe4の情報セキュリティチームは、KnowBe4サービスの不正使用や攻撃が疑われるアクティビティを監視しています。KnowBe4は、クエリの改ざん、ワイルドカード検索、アカウント全体のアクセスを防止する制御機能を備えています。情報セキュリティチームは、これらの制御機能が正しく実行されることを確認するテストを行っています。

PhishRIPは、保存されず一回限りのMicrosoft GraphAPIトークンを使用して、Microsoftと通信します。PhishRIPは、Microsoft 365アカウントに対して実行できる固定クエリ数を制限しており、これらのクエリは、PhishERに報告されたメッセージの特定の条件に一致する必要があります。メッセージ、クエリ、クエリ応答は全て暗号化されます。KnowBe4の従業員は、許可を得ることなく組織のPhishERアカウントにアクセスすることはできません。

PhishERでは、PhishRIPを使用するときに、顧客の情報の漏洩や窃取を防ぐためのいくつかの方法を提供しています。

まず、セキュリティロールを作成することで、PhishERプラットフォームに追加するユーザーのアクセス権限を制限できます。セキュリティロールを使用すると、以下のコンソールの領域について、ユーザーに制限付きのアクセス権限または完全なアクセス権限を付与できます。

  • [Rooms](ルーム)
  • [Inbox](受信箱)
  • [Rules](ルール)
  • [Actions](アクション)
  • [PhishRIP]
  • [Settings](設定)

セキュリティロールを使用すると、PhishRIPクエリを開始できるアクセス権限がある管理者を指定できます。

次に、カスタマイズした条件を指定できます。PhishERが、Phish Alert Button (PAB)からPhishERに送信された脅威である可能性があるメールと類似するメールを削除するためにこの条件を使用します。

最後に、メッセージが隔離され、そのメッセージが実際にクリーンであることがわかった場合、PhishERプラットフォームからそのメッセージを復元できます。

PhishFlipキャンペーンを開始すると、追跡期間は必ず3日間に設定されますか?追跡期間を変更する方法はありますか?

はい。デフォルトでは、全てのPhishFlipキャンペーンの追跡期間は3日間に設定されます。現在、この設定を変更することはできません。

PhishFlipでは、報告されたメールで見つかった添付ファイルも利用できますか?

はい。PhishFlipは、添付ファイルをHTMLテンプレートに変換して、フィッシングテンプレートを作成できます。

インテグレーション

PhishERのインテグレーションに関するよくある質問については、以下を参照してください。

  1. PhishERとKSATコンソールを連携させると何ができるようになりますか?
  2. Syslog向けのPhishERのTLS接続設定に必要となるPEM TLS証明書のフォーマットは何ですか?
  3. VT_Scannedタグの意味は何ですか?
  4. 合計500件のファイルまたはURLに達するまでメールを受信していないのに、VirusTotaパブリックAPIのリクエスト数が上限に達しているのはなぜですか?

PhishERとKSATコンソールを連携させると何ができるようになりますか?

PhishERプラットフォームとKSATコンソールを統合すると、自社のユーザーが実際のフィッシングメールをどのように処理しているかをより深く理解できます。PhishERプラットフォームで、KSATコンソールとのインテグレーションを設定して、KSATユーザータイムラインのイベントを更新できます。PhishERの特定のアクションがKSATコンソールに報告されるときに、実際のフィッシングメールの処理方法に基づいて、特定のユーザーを対象とするスマートグループを作成できます。例えば、脅威を報告しなかったユーザーを検索するスマートグループ を作成できます。次に、この情報をもとに、特定のユーザーを対象とするトレーニングキャンペーンを実施し、Phish Alert Button(PAB)を使用する重要性を改めて認識してもらうことができます。

詳細については、「KSATコンソール」のセクション(「PhishERの設定:インテグレーション」の記事を参照してください。

Syslog向けのPhishERのTLS接続設定に必要となるPEM TLS証明書のフォーマットは何ですか?

PEM(Privacy Enhanced Mail)TLS(Transport Layer Security)証明書のフォーマットには、ヘッダー、改行、証明書情報、改行、フッターが順番に含まれる必要があります。受け入れられるフォーマットの例は以下を参照してください。

-----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----

VT_Scannedタグの意味は何ですか?

VTタグはVirusTotalタグを意味し、VirusTotalのスキャン後にメッセージに適用されます。VirusTotalアカウントとPhishERプラットフォームを連携させる方法の詳細については、「PhishERプラットフォームとVirusTotalの連携」の記事を参照してください。

各VTタグの詳細については、以下のリストを参照してください。

  • VT_Scanned:VirusTotalのスキャンが完了し、メッセージに悪意がないと判断された場合に、このタグがメッセージに付けられます。
  • VT_Bypassed:設定したタイムアウト時間内にVirusTotalから応答がない場合に、このタグがメッセージに付けられます。
  • VT_Pending:PhishERがVirusTotalからの応答を待っているときに、このタグがメッセージに付けられます。
  • VT_Bad:VirusTotalが1つ以上のスキャン項目について悪意があると評価した場合に、このタグがメッセージに付けられます。

合計500件のファイルまたはURLに達するまでメールを受信していないのに、VirusTotaパブリックAPIのリクエスト数が上限に達しているのはなぜですか?

スキャンを実行するために、PhishERは各メールに含まれる各ファイルまたはURLをAPIエンドポイントへのクエリとしてVirusTotalに送信します。次に、PhishERはファイルまたはURLごとにAPIコールをVirusTotalに送信し、各アイテムのスキャン結果が出たかどうかを判断します。VirusTotalがスキャン結果を提供する準備ができていない場合、PhishERはAPIコールを追加で送信する必要があります。そのため、PhishERはクエリを再試行する前に、ファイルまたはURLごとに最低3回リクエストを送信しなければなりません。

トラブルシューティング

PhishERに関するトラブルシューティングについては、以下の質問と回答を参照してください。

  1. 隔離フォルダが削除されるとどうなりますか?
  2. 報告されたメールにNULL値が設定される理由は何ですか?

隔離フォルダが削除されるとどうなりますか?

回答:隔離フォルダを削除すると、そのフォルダ内の全てが削除されます。しかし、新たにPhishRIPクエリを実行すれば、削除された隔離フォルダをもう一度生成できます。詳細については、「PhishFlipガイド」を参照してください。

報告されたメッセージにNULL値が設定される理由は何ですか?

Cisco Ironportスパムフィルタリングを使用しており、報告されたメッセージにNULL値が表示される場合、Cisco Ironportで例外を作成する必要がある場合があります。この例外は、PhishERの報告用のメールアドレスへの送信メールに対して作成できます。

追加のサポートが必要な場合には、Cisco Ironportのサポートチームにお問い合わせください。

この記事は有用でしたか?

15人中15人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ