この記事では、KSATコンソールの[アカウント設定]にある[フィッシング]セクションの[誤検知を回避するフィッシング対策]設定について説明します。フィッシングキャンペーンを実施中に異常な結果が見られる場合、誤クリックが発生している可能性があります。キャンペーン結果を確認する際、クリック率が100%になっていたり、組織に属していないIPアドレスが見られる場合は、誤検知の可能性があります。[誤検知を回避するフィッシング対策]設定を使用することで、誤検知の発生を最小限に抑え、より正確なフィッシングキャンペーンの結果を得ることができます。ボットによるクリックの詳細については、「誤検知の特定と解決」記事の「ボットクリックの特定方法」セクションを参照してください。

フィッシングシミュレーションにおける誤検知は、多くの場合、不適切なホワイトリスト登録、リンクスキャナーの干渉、またはセキュリティポリシーの設定ミスに起因します。これらの問題を最小限に抑えるために、スパムフィルタを適切に設定し、KnowBe4のフィッシングメールがリンクスキャンやプロービングの対象外となるようにしてください。

スマートホストおよび高度な配信ポリシーが、キャンペーン設定と一致していることを確認してください。リンクスキャナーによって発生した誤検知を調査する際は、ホワイトリスト登録の設定を確認し、IT管理者と連携して、セキュリティ設定が組織の基準を満たしつつ誤検知の発生を抑えられていることを確認してください。

誤検知を回避するフィッシング対策の設定

ユーザーがフィッシングリンクをクリックしていないのに発生するフィッシング失敗は、誤検知と呼ばれます。誤検知を解消しなければ、[フィッシングセキュリティテストレポート]に表示されるフィッシングキャンペーン結果が不正確になる可能性があります。

誤検知を回避するフィッシング対策は、送信されたフィッシングセキュリティテスト（PST）内の隠しリンクがアクセスされたタイミングを追跡することで機能します。この隠しリンクへのアクセス後に発生したフィッシング失敗は、設定された[ボットが関与するフィッシング失敗を無視する期間]で設定された期間内であればフラグが付けられ無視されます。さらに、[ボットが関与するフィッシング攻撃の失敗を無視するIPアドレスの一致]設定により、ボットに関連する失敗と実際のフィッシングテスト失敗のIPアドレスが比較されます。

[アカウント設定]の[フィッシング]セクションで、[誤検知を回避するフィッシング対策]設定を有効化およびカスタマイズできます。このセクションの設定の詳細については、以下のスクリーンショットとリストを参照してください。

1. [ボット関連のフィッシング不合格を無視する]：このチェックボックスを選択して、非表示リンクにアクセスした直後に発生するボット関連のフィッシング不合格を無視できます。この設定を有効にすると、[ボットが関与するフィッシング失敗を無視する期間]と[ボットが関与するフィッシング攻撃の失敗を無視するIPアドレスの一致]オプションが表示されます。

   

2. [ボットが関与するフィッシング失敗を無視する期間]：この設定では、隠しリンクにアクセスされた後、ボットに関連するその後のフィッシング失敗をどのくらいの期間無視するかを設定できます。利用可能な選択肢は、[保守的（5秒）]、[バランス（10秒）]、および[インクルーシブ（30秒）]です。
3. [ボットが関与するフィッシング攻撃の失敗を無視するIPアドレスの一致]：隠しリンクにアクセスしたIPアドレスと、ボットに関連する可能性のあるフィッシング失敗のIPアドレスを比較し、その結果に基づいて無視する一致条件を選択できます。利用可能な選択肢は、[一致なし]、[最初の2オクテット]、および[完全一致]です。[最初の2オクテット]オプションは、IPアドレスのクラスBネットワーク識別子に基づいて照合します。例えば、IPアドレスが54.70.53.60の場合、54.70.0.0/16サブネット内のIPアドレスが一致対象となります。

   

無視するボット関連のフィッシング失敗の詳細を表示する方法

[ボット関連のフィッシング失敗を無視する]設定を有効にすると、フィッシングキャンペーンの[ユーザー] > [無視される失敗]ページで、フィッシングテストで無視された失敗を確認できます。

このセクションに表示されるデータの説明については、以下のスクリーンショットおよびリストを参照してください。

1. [名前とメール]：この列には、無視されたホット関連のフィッシング失敗の名前とメールが表示されます。
2. [日時]：この列には、無視されたボット関連のフィッシング失敗の日時が表示されます。
3. [ボットイベント間隔]：この列には、隠しリンクがアクセスされた後、後続のボット関連のフィッシング失敗が無視された秒数が表示されます。
4. [無視される失敗タイプ]：この列には、無視されたボット関連のフィッシング失敗のタイプ（この場合は「クリック」）が表示されます。
5. [IPアドレス]：この列には、無視されたボット関連のフィッシング失敗のIPアドレスが表示されます。
6. [ブラウザ]：この列には、ボット関連のフィッシング失敗で使用されたブラウザ（例：Chrome）が表示されます。
7. [ブラウザバージョン]：この列には、ボット関連のフィッシング失敗で使用されたブラウザのバージョンが表示されます。
8. [OS]：この列には、ボット関連のフィッシング失敗で使用されたオペレーティングシステム（例：Mac）が表示されます。
9. [ボットイベント]：この列には、このユーザーについて無視された失敗の件数が表示されます。このカウンターは5で上限となり、それ以降に発生したボットイベントは、この行の他のデータには反映されません。このイベントが発生すると、[ボットイベント]列には「5+」と表示されます。
10. [キャンペーン失敗に変換]（ゴミ箱アイコン）：このアイコンを選択すると、コンソールは無視されたボット関連の失敗をフィッシングキャンペーンの失敗に変換します。この機能の仕組みの詳細については、以下で説明します。
11. [プレビュー]（封筒アイコン）：このアイコンを選択すると、フィッシングキャンペーンメールのプレビューが表示されます。

無視された失敗を本当の失敗に変換する方法

偽陰性が発生したと判断した場合、無視されたボットによる失敗を本当のフィッシングキャンペーンの失敗に変換できます。ユーザーがフィッシングテストに失敗したと判断されるにもかかわらず、コンソールにフィッシング失敗ではなく無視された失敗のイベントが表示されている場合は、無視されたボットによる失敗をフィッシングキャンペーンの失敗に変換できます。

この変換プロセスを完了するには、以下のステップに従って操作します。

1. KSATコンソールで[フィッシング] > [キャンペーン]に移動して、フィッシングキャンペーンを選択します。
2. [ユーザー]に移動します。
3. [ユーザー]セクションの右側で、[無視される失敗]をクリックします。
4. 無視された失敗のうち、実際のフィッシング失敗に変換したいものがある場合は、画面右側にあるゴミ箱アイコンをクリックします。

   

5. この操作は取り消すことができないため、ボットイベントをキャンペーンの失敗に変換するかどうかの確認が表示されます。

   

6. [確認]ボタンをクリックします。
7. 無視された失敗をフィッシング失敗に変換できるのは1回のみです。無視された失敗がフィッシング失敗に変換されると、ゴミ箱アイコンはグレーアウトされます。

   

8. フィッシング失敗に変換された後に、[無視される失敗タイプ]が表示されます。例えば、以下のスクリーンショットでは、[無視される失敗タイプ]は「クリック」タイプの失敗です。