ソーシャルエンジニアリングテスト
メール、電話、物理的なベクトルを横断した現実的なソーシャルエンジニアリングシミュレーションで、組織の最も重大な脆弱性を特定し軽減するために、人的ファイアウォールをテストします。
人間こそが主要な標的
実際の攻撃はメール、電話、物理的手段を組み合わせて行われます。当社はマルチチャネル攻撃を安全にシミュレートし、リスクを可視化・低減します。
標的型フィッシング
OSINT(公開情報収集)を駆使したスピアフィッシングで、判断力・報告フロー・統制効果を検証。
侵害の74%に人的要因が関与音声・SMS攻撃
Vishing(音声フィッシング)とSmishing(SMSフィッシング)のシミュレーションにより、本人確認手順、対応スクリプト、エスカレーション手順を評価します。
2024年にVishing攻撃は550%増加オンサイトソーシャルエンジニアリング
ロビー、バッジ、エスコート管理を検証するための物理的なプレテクスティングおよびテールゲーティング。
ソーシャルエンジニアリング侵害の平均コストは488万ドル包括的なソーシャルエンジニアリングシミュレーション
実際の攻撃者が悪用する全チャネル・シナリオをテスト。
フィッシングキャンペーン
OSINT(公開情報収集)と組織に合わせた口実を用いた現実的なメールベースの攻撃で、検知と報告のワークフローをテストします。
ボイスフィッシング(音声フィッシング)
電話ベースの攻撃により、本人確認手順、ヘルプデスクのプロトコル、音声脅威に対する従業員の認識をテストします。
スミッシング(SMSフィッシング)
テキストメッセージを利用したソーシャルエンジニアリング攻撃。モバイルセキュリティ意識とSMS脅威への対応をテストします。
物理的偽装
物理的セキュリティと従業員確認手順を評価するため、偽装(ベンダー、配達員、請負業者)を用いた現場テスト。
テールゲティング&ピギーバッキング
許可された従業員に続いて不正な入室を試み、物理的アクセス制御と従業員のセキュリティ意識をテストする。
USB ドロップ攻撃
駐車場や共用エリアに感染USBデバイスを放置し、従業員のメディア発見対応やリムーバブルデバイスポリシー遵守状況を検証する。
人、プロセス、および管理
検出、報告、エスカレーション、検証というエンドツーエンドの連鎖を評価します。
メールセキュリティ
- 添付ファイルとリンクの処理
- フィッシング報告ワークフロー
- メールゲートウェイの有効性
- 送信者検証の実践
本人確認
- コールバックおよびワンタイムパスワード手順
- 個人識別情報(PII)およびシステムアクセスの開示
- スクリプト順守
- エスカレーション手順
物理的手順
- バッジ確認とエスコート
- 訪問者管理
- 安全区域管理
- テールゲティング防止
意識向上と訓練
- 対象を絞った研修計画
- 指標とKPI
- 経営陣向けブリーフィング
- 継続的な意識向上プログラム