フィッシングキャンペーンを実施中に異常な結果が見られる場合、誤クリックが発生している可能性があります。キャンペーン結果を確認する際、クリック率が100%になっていたり、組織に属していないIPアドレスが見られる場合は、誤検知の可能性があります。以下に、誤検知の一般的な原因と、対処方法のヒントをいくつか紹介します。

クリックと見なされるものは何か？

クリックは、ユーザーがシミュレーションメール内のフィッシングリンクをクリックした際に追跡されます。しかし、別の方法でもクリックが登録される場合があります。ユーザーがフィッシングリンクをクリックしていないのにフィッシングが失敗する場合、誤検知となります。誤検知が発生する一般的ないくつか理由を以下に説明します。

• スパムフィルタの不適切なホワイトリスト登録。ホワイトリストが不適切に設定されていると、自動クリックやボットによるクリックの原因となる可能性があります。クリックがボットによるものかどうかを判断する方法については、以下の「ボットクリックの特定方法」セクションを参照してください。
• 追加のホワイトリスト登録が必要となる可能性がある。模擬フィッシングメールをリンク解析やリンクプロービングから除外するために、スパムフィルタで追加のホワイトリスト登録が必要となる場合があります。
• ホワイトリストに登録されていないセキュリティアドオンパックのあるメールフィルタ。
• エンドポイントセキュリティやウイルス対策ソフト。
• モバイルデバイスのオペレーティングシステムに組み込まれているリンクプレビュー機能。
• モバイルデバイス管理（MDM）システムに組み込まれているセキュリティソフトウェア。
• ユーザーから別のユーザーへ転送されたフィッシングメール。このアクションは、転送されたメールがメールサーバーによってサンドボックス化されてチェックされたため、あるいは、転送先の受信者がリンクをクリックしたために、クリックとして記録される場合があります。

ボットクリックの特定方法

ホワイトリスト登録が不適切または不十分な場合、ボットクリックが発生する可能性があります。ボットクリックは、使用しているインフラストラクチャの自動化プロセスによって発生します。フィッシングキャンペーンの結果を確認することで、ボットクリックを特定できます。以下に、ボットクリックを特定するための方法をいくつか示します。

• [配信]、[オープン]、および[クリック]列に表示される時刻がすべて同一、または1分以内の差である場合。
• [クリックしたこと]タブに表示されるブラウザまたはブラウザのバージョンが、自社環境で使用されていない、または古い場合があります。
• 表示されているオペレーティングシステムが、ユーザーが利用できない環境のものである。
• IPアドレスが、使用しているセキュリティ製品のプロバイダーに属している。

キャンペーン結果に表示される予期しないIPアドレス

コンソールでクリックが記録されると、そのクリックが発生した元のIPアドレスも記録されます。以下に、予期しないIPアドレスが表示される理由の例を示します。

• ユーザーがモバイルデバイスでリンクをクリックした場合、携帯通信サービスプロバイダーからのクリックとして表示されることがあります。
• ユーザーが自宅のWi-Fiを利用している場合、そのクリックはインターネットサービスプロバイダー（ISP）のIPアドレスとして記録されます。
• ユーザーが公共のWi-Fiに接続している場合、そのクリックはクリック時の接続場所に基づくIPアドレスとして記録されます。
• お客様またはご利用の製品がAWSなどのサービスプロバイダーのホストを使用している場合、別の場所、または別の国のIPアドレスとして記録される可能性があります。一部のリンク解析プロセスはクライアント側では実行されず、リンクがセキュリティプロバイダーのバックエンド処理や分析センターに送信される場合があります。
• URLがVirusTotalに送信された場合、別の場所のIPアドレスとして記録されることがあります。このリンクは、使用している製品またはユーザーによって自動的に送信される場合があります。URLがVirusTotalに送信されると、そのURLが脅威として定義に追加する必要があるかどうかを判断するために分析されます。このリンク解析は、場合によっては即座に実行されることがあります。一方で、数時間にわたって実行される場合もあります。これらのIPアドレスは、セキュリティベンダーとして、またはISPとして記録される場合があります。

誤検知の一般的な原因

フィッシングシミュレーションにおける誤検知は、一般的に3つの主な要因に起因します。

• リンクスキャナーの干渉：ユーザーがメールを見る前にリンクを自動的に選択するセキュリティツール
• 不十分なホワイトリスト登録：KnowBe4のドメインがセキュリティスキャンの対象から適切に除外されていない
• セキュリティポリシーの設定ミス：フィッシングテストの配信と競合するスパムフィルタやメールフロールール

誤検知を最小限に抑えるために、KnowBe4のフィッシングメールがリンク解析やプロービングの対象外となるよう、スパムフィルタを設定してください。スマートホストおよび高度な配信ポリシーが、キャンペーン設定と一致していることを確認してください。リンクスキャナーに関連する問題を調査する際は、セキュリティ要件とトレーニング指標の正確性のバランスを取るために、IT管理者とともにホワイトリスト登録の設定を見直してください。

誤検知を防ぐ方法

自社のインフラストラクチャを正しく把握することが、誤検知を防ぐための最も重要なステップです。セキュリティソフトウェア製品にはさまざまな種類があるため、ご利用中のソフトウェアやサービスプロバイダーのドキュメントを確認し、リンクスキャン、リンク解析、またはリンクプロービングの対象からリンクやドメインを除外する方法についての記載があるかを確認することをお勧めします。

また、ユーザーのワークステーションと同じ設定のマシンで、いくつか異なるテンプレートを使ったテストキャンペーンを実施することもできます。これらのテストキャンペーンにより、現在の設定が誤検知を引き起こすかどうかを確認できます。

ユーザーがメールを報告する際は、メールサーバーのフィッシング報告ボタンや他のサードパーティのレポート機能ではなく、Phish Alert Buttonのみを使用するよう徹底してください。

お使いのセキュリティ製品に、追加のホワイトリスト登録オプションがあるかどうかを確認してください。可能であれば、KnowBe4のフィッシングリンクドメインおよびランディングページドメインをホワイトリストに登録してください。この追加のステップは、誤検知の防止に役立ちます。KnowBe4のルートフィッシングドメインのリストを確認するには、KnowBe4コンソールの[フィッシング]タブに移動し、[ドメイン]サブタブを選択します。[ドメイン]サブタブの詳細については、「フィッシングリンクのドメインの管理」の記事を参照してください。

それでも誤検知の問題が解消しない場合は、サポートチームサポートチームにお問い合わせください。