Phishing Guidance: Stopping the Attack Cycle at Phase One＜日本語訳＞ 作成者：にゃん☆たく（@taku888infinity） このスライドは下記文献（PDF）をあくまでも個人的に使用するメモとして翻訳したものになりますので、ご活用していただく際は原文を必ず確認していただきますようお願いいたします。 Phishing Guidance: Stopping the Attack Cycle at Phase One https://www.cisa.gov/resources-tools/resources/phishing-guidance-stopping-attack-cycle-phase-one Phishing Guidance - Stopping the Attack Cycle at Phase One_508c.pdf https://www.cisa.gov/sites/default/files/2023-10/Phishing%20Guidance%20-%20Stopping%20the%20Attack%20Cycle%20at%20Phase%20One_508c.pdf

1. Phishing Guidance:
Stopping the Attack Cycle at Phase One
＜日本語訳＞
2023/10/20
にゃん☆たく @taku888infinity

2. ※諸注意※
このスライドは下記文献（PDF）をあくまでも個人的に使用するメモとして翻訳したものになり
ますので、ご活用していただく際は原文を必ず確認していただきますようお願いいたします。
Phishing Guidance: Stopping the Attack Cycle at Phase One
https://www.cisa.gov/resources-tools/resources/phishing-guidance-stopping-at
tack-cycle-phase-one
Phishing Guidance - Stopping the Attack Cycle at Phase One_508c.pdf
https://www.cisa.gov/sites/default/files/2023-10/Phishing%20Guidance%20-%20
Stopping%20the%20Attack%20Cycle%20at%20Phase%20One_508c.pdf

3. ◆概要
◆ログイン情報を得るためのフィッシング
◆マルウェアベースのフィッシング
◆緩和策/対策方法（1/3）（2/3）（3/3）
◆中小企業 (SMB) または組織の場合の対策（1/2）（2/2）
◆ソフトウェアメーカー（製造元）が考慮すべきこと
◆インシデントレスポンス
◆レポート/報告
◆CISA及び MS-ISAC/CISのサービス
◆その他参考
目次

4. ソーシャル・エンジニアリングとは、誰かを騙して情報
(パスワードなど)を明かさせたり、システムやネットワークを侵害するために利用できる行動を取らせたりする試
みのことである。
フィッシングはソーシャルエンジニアリングの一形態であり、悪意のある行為者が被害者を（通常は電子メールを介して）誘い出し、悪意のあるサイトにアクセスさせた
り、ログイン認証情報を提供させたりします。
悪意のある行為者は、主に以下の目的でフィッシングを利用します：
◆ログイン認証情報の取得
悪意のある行為者は、最初のネットワークアクセスのためのログイン認証情報を盗むためにフィッシングキャンペーンを行います。
◆マルウェアの展開
悪意のある行為者は、一般的に、システムの中断や損傷、ユーザー権限の昇格、侵害されたシステムでの永続性の維持など、後続の活動のために
マルウェアを展開するためにフィッシングキャンペーンを行います。
Cybersecurity and Infrastructure Security Agency (CISA)、National Security Agency (NSA)、Federal Bureau of Investigation (FBI)、Multi-State
Information Sharing and Analysis Center (MS-ISAC)は、悪意のある行為者が一般的に使用するフィッシングのテクニックを概説し、ネットワーク防御者とソフト
ウェア製造者の両方にガイダンスを提供するために、この共同ガイドを発表します。
これにより、認証情報の取得やマルウェアの展開におけるフィッシング攻撃の影響を軽減することができます。
ネットワーク防御者向けのガイダンスは全ての組織に適用可能であるが、リソースが限られている組織にとっては実行不可能かもしれない。
そのため、本ガイドには、フィッシングの脅威から常に身を守るための
ITスタッフを雇うだけのリソースがない中小企業向けにカスタマイズされた推奨事項のセクショ
ンが含まれている。
ソフトウェアメーカー向けの手引きでは、セキュアな設計とデフォルトの戦術とテクニックに焦点を当てている。製造業者は最も一般的なフィッシングの脅威に対して安
全なソフトウェアを開発し、提供することで、顧客のサイバーセキュリティ態勢を強化することができる。
概要

5. ▼定義
ログイン認証情報を取得するために使用されるフィッシング攻撃では、悪意のある行為者が信頼できる情報源 （同僚、知人、組織など）を装って被害者を誘い、ログイン認証情報を提供
させます。悪意のある行為者は、漏洩した認証情報（ユーザ名やパスワードなど）を使用して、企業ネットワークや電子メールアカウントなどの保護されたリソースにアクセスすることがで
きます。
▼テクニックの例
ログイン認証情報を入手するために、悪意のある行為者は通常次のようなことを行います。
◆上司、信頼できる同僚、または IT 担当者になりすまして標的型電子メールを送信し、従業員を欺いてログイン認証情報を提供させる。
◆スマートフォンやタブレット端末とショートメッセージシステム（SMS）を使用して、Slack、Teams、Signal、WhatsApp、Facebook Messengerなどのプラットフォームでテキストメッセー
ジやチャットを送信し、ユーザーを誘い込んでログイン認証情報を漏えいさせる。
※注意：ハイブリッド環境で活動する組織は、対面でのやり取りが少なく、バーチャルなやり取りが頻繁に行われるため、このような環境のユーザーは、
頻繁に使用するプラットフォームに合わせたソーシャルエンジニアリングのテクニックに騙される可能性が高くなります。
◆ボイス・オーバー・インターネット・プロトコル(VoIP)を使って、発信者識別番号(ID)を簡単に詐称します。
これは、電話サービス、特に固定電話のセキュリティに対する社会的信用を利用したものです。
多要素認証（MFA）は、悪意のある行為者が侵害されたクレデンシャルを使用して初期アクセスする 能力を低下させることができる。
にもかかわらず、弱い形式の MFA が有効になっている場合、悪意のある行為者はフィッシングやその他の手法でアクセスを得ることができます。
弱い MFA 実装の例には、次のようなものがある。
◆Fast Identity Online（FIDO）MFAまたは公開鍵基盤（PKI）ベースのMFAが有効になっていないMFAを使用しているアカウント。
これらの形式の MFA は、悪意のある行為者が侵害された正規の認証情報を使用して、正規のログインポータルでユーザとして認証する可能性がある。
◆番号照合なしのプッシュ通知 MFA。悪意のある行為者は、ユーザが要求を受け入れるまで、多くの承認または拒否の「プッシュ要求」を送信することが
できます。したがって、悪意のある行為者は、番号照合が有効になっていない場合、侵害されたユーザの認証情報を使って認証する可能性があります。
◆SMS または音声 MFA。悪意のある行為者は、SMS または通話ベースの MFA コードを受信するために、ユーザの電話番号の管理権を譲渡するように
携帯電話会社の担当者を説得することができます。また、悪意のある行為者は、企業の正規のログインポータルを模倣した悪意のあるウェブサイトへのリンクを
含む電子メールを送信することで、ユーザーを欺くこともできます。ユーザは、ユーザ名、パスワード、および6桁のコードMFAを送信し、
悪意のある行為者はこれを受信して、正規のログインポータルでユーザとして認証します。
※注意：脆弱な MFA の実装に関する詳細については、CISA の「フィッシングに強い MFA の実装」および「MFA アプリケーションにおける番号照合の実装」を
参照のこと。 フィッシングに強い MFA の実装」および「MFA アプリケーションにおける番号照合の実装」を参照。
ログイン情報を得るためのフィッシング

6. ▼定義
マルウェアベースのフィッシング攻撃では、悪意のある行為者が信頼できる情報源（同僚、知人、組織など）を装って被害者を誘い、悪意のあるハイパーリンクにアクセスさせたり、電子
メールの添付ファイルを開かせたりして、ホストシステム上でマルウェアを実行させます。
▼テクニックの例
ホストシステム上でマルウェアを実行するために、悪意のある行為者は一般的に次のような手口を用います。
◆ユーザーにマルウェアをダウンロードさせるような悪意のあるハイパーリンクや添付ファイルを送信し、初期アクセス、情報の窃取、システムやサービスへの
損害や中断を行い容易にアカウント権限の昇格を実施する
・悪意のある行為者は、無料で一般に利用可能なツール（GoPhishやZphisherなど）を使用して、特定の説得力のある誘い文句で
個々のユーザーを標的にしたスピアフィッシング・キャンペーンを促進することがあります
・悪意のある行為者は、マクロスクリプトを含む悪意のある添付ファイルや、悪意のある実行可能ファイルをダウンロードさせようと一見良良さそうに見える
リンクや難読化されたリンクを含むメッセージを送信してくる可能性があります。
◆スマートフォンやタブレット端末のアプリを SMS とともに使用して、テキストメッセージやコラボレーションプラットフォーム（Slack、Teams、Signal、WhatsApp、 iMessage、Facebook
Messenger など）のチャットを送信し、マルウェアを実行する悪意のあるハイパーリンクや添付ファイルにユーザーを誘導します。
※注意：これらの小規模なプラットフォーム(スマホやタブレット)では、制約のあるユーザーインターフェース（UI）を使用しているため、
ユーザーが悪意のあるユニフォームリソースロケータ（URL）を検出することが困難な場合があります。
マルウェアベースのフィッシング

7. ▼すべての組織
以下の緩和策は、CISA および米国国立標準技術研究所（NIST）が組織向けに策定した「クロスセクター・サイバーセキュリティ・パフォーマンス・ゴール（CPG）」に沿ったものであり、組織
のネットワークに最も一般的なサイバー脅威を緩和するのに役立ちます。その他の推奨ベースライン保護など、CPGの詳細については、CISA の Cross-Sector Cybersecurity
Performance Goals をご覧ください。
▼ログイン認証情報（クレデンシャル）の保護
CISA、NSA、FBI、および MS-ISAC は、ログイン認証情報のフィッシングが成功する可能性を低減するために、組織が以下を実施することを推奨します。
◆ソーシャル・エンジニアリングおよびフィッシング攻撃に関するユーザ・トレーニングを実施する [CPG 2.I]。
不審な電子メールやリンクを識別すること、それらの不審なアイテムにアクセスしないこと、不審な電子メール、リンク、添付ファイル、またはその他の
潜在的な誘い文句に対して開いた事例を報告することの重要性について、定期的にユーザーを教育する。
◆受信した電子メールについて、Domain-based Message Authentication, Reporting, and Conformance (DMARC)を有効にする。
・DMARCは、Sender Policy Framework (SPF)やDomain Keys Identified Mail (DKIM)と共に、公開されているルールをチェックすることで、受信したメールの
送信サーバーを確認します。電子メールのチェックに失敗した場合、その電子メールはなりすましの電子メールアドレスとみなされ、メールシステムはその電子メール を隔離し、悪意
のある電子メールとして報告します。
・DMARCレポート受信のために複数の受信者を定義することができる。
・これらのツールは、DMARCの拒否ポリシーが有効になっている場合、ドメインが偽装されている受信メールを拒否する。
◆送信メールのDMARCが「拒否（ “reject”）」に設定されていることを確認する [CPG 2.M]。
・これにより、ドメインを偽装したメールを他のユーザが受信することを防ぐことができます。なりすましメールは配信前にメールサーバーで拒否される。
・DMARCレポートは、なりすまされたドメインの所有者に、偽造者の送信元を含めて通知するメカニズムを提供する。
・DMARCポリシーを有効にすることで、サイバー脅威者が組織のドメインから送信されたように見えるメールを作成する可能性を下げることができます。
・詳細は、CISA Insights Enhance Email and Web SecurityおよびCenter for Internet Security（CIS）のDMARCに関するページ、MicrosoftのAnti-Spoofingガイダンスを
参照してください
◆社内メールと送受信の監視を実施する。ユーザが標的型ネットワークの外部から、または組織のセキュリティチームが知らないうちにフィッシングされる可能性が
あるため、不審な活動を特定するための社内メールと送受信の監視は不可欠です。正常なネットワーク・トラフィックのベースラインを確立し、逸脱があれば精査する。
◆OpenDNS Homeのような無料のセキュリティ・ツールを導入し、サイバー脅威者がユーザーを悪意のあるWebサイトにリダイレクトして認証情報を盗むのを防ぐ。
詳細については、CISAの無料のサイバーセキュリティ・サービスとツールのウェブページを参照のこと。
緩和策/対策方法（1/3）

8. ◆以下の方法で認証情報（クレデンシャル）を保護する
・FIDO または PKI ベースの MFA [CPG 2.H]を実装する。
これらの形式の MFA はフィッシングに耐性があり、前のセクションで列挙した脅威に対して耐性がある。モバイルプッシュ通知ベースのMFAを使用する組織が
フィッシング耐性のある MFA を実装できない場合、番号照合を使用して 多要素認証疲労攻撃を軽減することができる。
詳細については、CISA のファクトシート「フィッシングに強いMFAの実装」および「MFAアプリケーションにおける番号照合の実装」を参照。
・注意：PKI ベースのMFAを導入するには、高度に成熟したIDアクセスおよび管理プログラムが必要であり、一般的に使用されているサービスでは広くサポート
されていない。
・電子情報開示ツールへのアクセスや、顧客データや財務データへの広範なアクセスなど、管理者や特権ユーザ・アカウントに対するMFAを優先する。
・シングルサインオン(SSO)プログラムによる集中ログインを導入する。SSOはユーザー・ライフサイクル管理メカニズムであり、特にMFAやフィッシング耐性のある MFAと組み合わ
せることで、ユーザーがソーシャルエンジニアリングされ認証情報を入力する可能性を減らすことができます。
SSOは、セキュリティ侵害が疑われる、または確認された後、IT専門家に予防的または遡及的に調査するための監査証跡を提供します。
◆MFA ロックアウトとアラート設定を見直し、拒否された（または試行された）MFA ログインを追跡する [CPG 2.G]。
・異常なアクティビティまたは継続的な悪意のあるログイン試行が発生した場合はアカウントのロックアウトを実行し、悪意のある行為者によるMFAバイパスを
防止する。
・不必要な中断を最小限に抑える。これには、一従業員の短期的な生産性よりも、組織や消費者のデータの健全性を優先することが含まれる。
重大なネットワーク・セキュリティ・インシデントが発生すると、多くの従業員の生産性だけでなく、リソースの可用性、さらには顧客やパートナーのデータにも
影響が及ぶ可能性がある。
・成功したフィッシング攻撃を特定し、修復する。
・フィッシング・インシデントを迅速に報告する（「報告」のセクションを参照）。
・文書化されたインシデント対応計画を策定する。詳細については、CISAのファクトシート「インシデント対応計画の基本」を参照。
緩和策/対策方法（2/3）

9. ▼マルウェア実行の防止
CISA、NSA、FBI、およびMS-ISACはフィッシング攻撃後にマルウェアが実行される可能性を低減するために、組織に対して以下の対策を実施することを推奨しています。
◆電子メールゲートウェイに拒否リストを組み込み、ファイアウォールルールを有効にしてマルウェアの感染を防ぐ。
◆拒否リストを使用して、既知の悪意のあるドメイン、URL、IPアドレス、および.scr、.exe、.pif、.cplなどのファイル拡張子、および誤ったラベルのファイル拡張子
（たとえば、.docファイルとラベル付けされた.exeファイル）をブロックする。
・州・地域・部族・準州（SLTT）エンティティは、悪意のあるドメインへの接続を防止する再帰的ドメイン名システム（DNS）技術を備えたクラウドベースの
ソリューションである、悪意のあるドメインのブロックと報告を有効にする必要があります。詳細については、CISの悪意のあるドメインのブロックと報告（MDBR） に関するウェブペー
ジを参照のこと。
・保護フィッシング・フィルターの詳細については、Microsoft、MacOS、またはGoogleのフィッシングおよびマルウェア保護に関するガイダンスを確認する
CISA、NSA、FBI、およびMS-ISACは、どのようなフィッシング・フィルターおよびマルウェア保護が利用可能かについて、ベンダーまたはサービス・プロバイダーに 問い合わせるこ
とを推奨する。
◆MacOS および Windows ユーザの管理者権限を制限する [CPG 2.E]。
◆ユーザ・アカウントを管理する際に最小特権の原則（PoLP）を導入し、指定された管理者アカウントのみを管理目的に使用できるようにする。
◆アプリケーション許可リスト［CPG 2.Q］を実装する。アプリケーション許可リストは、定義された基本基準に基づいて、ネットワーク内に存在することを許可された アプリケーション・コン
ポーネントを列挙するセキュリティ管理である。詳細については、NISTのApplication Allowlisting を参照。
◆マクロをデフォルトでブロックする [CPG 2.N]。
◆リモートブラウザ隔離(RBI)ソリューションの実装: ユーザがマルウェアを実行すると、マルウェアのサンプルを検疫することで、マルウェアの拡散を防止します。
RBIソリューションは、ユーザが悪意のあるリンクやバイナリを実行したときにマルウェアを隔離するアプリケーションを実行し、さらなる拡散を防止します。
リモート・ワークステーションにRBIソリューションを構成し、マルウェアが隔離境界内に格納され、組織のリソースにアクセスできないようにする。
◆Quad9やGoogle Safe Browsingのような無料のセキュリティ・ツールを導入し、ユーザーによる実行時にマルウェアを特定して阻止する。
詳細については、CISAの無料のサイバーセキュリティ・サービスとツールのウェブページを参照。
◆顧客が承認されたアプリのみインストールできるようにし、他のソースからのアプリや実行可能ファイルをブロックできるセルフサービスのアプリストアを設定する。
◆悪意のある行為者がユーザーを悪意のあるウェブサイトにリダイレクトして認証情報を盗むのを防ぐために、無料の保護DNSリゾルバを導入する。
OpenDNS HomeやCloudflare Zero Trust Servicesなど、個人的な使用例から専門的な使用例まで、いくつかのサービスが無料のセキュリティツールを提供している。
詳細については、CISAの無料のサイバーセキュリティ・サービスとツールのウェブページを参照してください。連邦政府組織は、CISAのファクトシート
「Protective Domain Name System (DNS) Resolver Service」を参照してください。
緩和策/対策方法（3/3）

10. CISA、NSA、FBI、およびMS-ISACは、リソースが限られている中小規模の組織が、蔓延するフィッシングの脅威からネットワークリソースを保護するために、
以下のベストプラクティスを優先的に実施することを推奨しています：
◆ユーザーのフィッシングに対する意識向上トレーニング:標準的なフィッシング対策トレーニングプログラムを実施し、従業員には毎年フィッシングに関する
トレーニング資料を見直すことを義務づける。さらに、従業員がトレーニングプログラムに概説された情報をすべて理解していることを証明するトレーニングチェック を行い、プログラム
を終了させる。
・中小企業は、従業員に対して市販のフィッシング認識トレーニングプログラムを実施することが推奨される。
さらに、NISTはSmall Business Cybersecurity Cornerで中小企業向けに無料のフィッシング対策トレーニングリソースを提供している
・司法省(DOJ)は連邦政府組織に対してフィッシング対策トレーニングプログラムのサポートを提供している。
・連邦取引委員会(FTC)は中小企業をフィッシングの脅威から守るためのガイダンスを中小企業のためのサイバーセキュリティで提供している
◆ネットワーク・フィッシングの脆弱性を特定する： 連邦政府組織はCISAのフィッシング脆弱性スキャン評価サービスを推奨する
◆MFAを有効にする：強力なMFAを有効にすることは、中小企業がインターネットに面したビジネスアカウントをフィッシング関連の脅威から守る最善の方法です。
・CISAのMore than a Password MFAのウェブページを参照して、中小企業にとってMFAを有効にすることが重要である理由の詳細を学ぶ。このウェブページには、
ユーザが最も強力なMFAの形式を利用するのに役立つ情報が含まれており、ユーザが運用上のニーズに基づいて最適な MFAの形式を選択できるようになっている。
中小企業 (SMB) または組織の場合の対策（1/2）

11. さらにCISA、NSA、FBI、およびMS-ISACは、中小企業に対し、フィッシング関連の侵害を防止するために、以下の技術的ソリューションを導入することを推奨している
◆ユーザーを認証するために強力なパスワード・ポリシーを導入する。これらのパスワードは、最低文字数、数字、特殊文字、大文字と小文字の区別を要求する
パスワード強度ポリシーを遵守する必要があります。またパスワードの再利用を禁止する。
◆既知の悪意のあるサイトをブロックするために、DNSフィルタリングまたはファイアウォールの拒否リストを導入する。
◆悪意のあるハイパーリンクや電子メールの添付ファイルを開いた場合にマルウェアの実行を阻止するためのアンチウィルス・ソリューションを導入する。
◆.exeや.scrなど、悪意のある高リスクのファイル拡張子がダウンロードされ実行されるのを防ぐファイル制限ポリシーを導入する。
このような種類のファイルは日常業務には不要であり、標準的なビジネスアカウントでは厳重に制限する。
◆ネットワーク・ソフトウェアが常に最新バージョンにアップグレードされるように、ソフトウェア・アプリケーションが自動的にアップデートされるように
設定されていることを確認する。これにより、悪意ある行為者が組織のネットワーク・ソフトウェア内の脆弱性を悪用することを防ぐことができる。
◆従業員が日常業務に必要なウェブサイトにのみアクセスできるよう、安全なウェブ閲覧ポリシーを有効にする。これらのポリシーは、ユーザー認証情報を取得したり、
組織のシステムに損害を与えるマルウェアを展開したりするマルウェアを含むことが多い悪意のあるWebサイトにユーザーがアクセスすることを防ぎます。
◆MFAを有効にした安全な仮想プライベートネットワーク（VPN）を導入する。
◆連邦通信委員会（FCC）のサイバーセキュリティ計画ガイドを参照する。このガイドには、中小企業が全体的なサイバーセキュリティ態勢を改善する方法に関する情報が 含まれていま
す。
◆信頼できるサードパーティ・ベンダーのマネージド・クラウドベースの電子メールサービスへの移行を検討する。CISA、NSA、MS-ISACは、
リソースが限られている中小企業に対し、信頼できるサードパーティ・ベンダーのマネージド・クラウド・メール・サービスを求めることを推奨しています。
・オンプレミスのメールシステムから信頼できるサードパーティのクラウドベースのメールプロバイダーに移行することは、プロバイダーが定期的にパッチや
アップデートを行うため、顧客にとって有益である。また、プロバイダーは一般的に、強固なメールトラフィック監視とマルウェア対策サービスを実施している。
・クラウドサービスの詳細については、CISAのセキュア・クラウド・ビジネス・アプリケーション（SCuBA）プロジェクトを参照のこと。連邦政府組織向けではある
が、SCuBAプロジェクトは、クラウド・ビジネス・アプリケーション環境を持つすべての組織に適用可能なガイダンスと機能を提供している。
中小企業 (SMB) または組織の場合の対策（2/2）

12. CISA、NSA、FBI、およびMS-ISACは、ソフトウェア・メーカーがセキュア・バイ・デザインおよびデフォルトの原則と戦術をソフトウェア開発手法に取り入れ、顧客がフィッシング攻撃を受けにく
くすることを推奨している。セキュア・バイ・デザインの詳細については、CISAのセキュア・バイ・デザインのウェブページおよび共同ガイド「Shifting the Balance of Cybersecurity Risk:
Principles and Approaches for Security-by-Design and -Default」を参照のこと。
フィッシングメールがユーザーに届くこと、およびユーザーがそのメールとやりとりすることを軽減するために以下のことを推奨している：
◆電子メールソフトウェアのテストを実施する。脅威モデリングを実施し、小規模から大規模までの組織のユースケースを考慮しながら、様々な展開シナリオに対して
メールソフトウェアをテストし、テスト結果に基づいて安全なデフォルトを設定する。
◆デフォルトで受信メールのDMARCを有効にしたメールソフトを提供する。
◆デフォルトで送信メールのDMARCを「拒否」に設定したメールソフトを提供する。
◆デフォルトで内部メールおよびメッセージング監視メカニズムを有効にしたメール製品を提供する。電子メールソフトメーカーは、電子メールメッセージ内に悪意のある 添付ファイルや
URLが存在しないか、電子メールトラフィックを自動的にスキャンする自動電子メールトラフィック監視メカニズムをデフォルトで含める事が推奨される。
◆特権ユーザーにMFAを義務付ける。多くの場合、悪意のある行為者は管理者アカウントに侵入テクニックを集中させます。管理者アカウントは高い権限を持つため、
デフォルトで強力なMFAで保護する必要があります。
・MFAをオプトインではなく、オプトアウト機能にする。管理者が自分のアカウントでMFAを正常に有効にするまで、システムが定期的にMFAへの登録を促すようにする。
◆最新のオープン・スタンダードを介して、アプリケーションにSSOを実装する。
例えば、SAML（Security Assertion Markup Language）やOIDC（OpenID Connect）などがある。
◆電子メールソフトウェア製品で非セキュアな設定が使用されている場合、顧客に対するセキュリティ通知の実装を検討する。
例えば、管理者がMFAに登録していない場合、組織に対して現在のセキュリティリスクを警告するセキュリティ通知を繰り返し送信し、リスクを軽減できるようにする。
フィッシング攻撃に続いてマルウェアが実行されるのを防ぐ：
◆フィッシングのフィルタリングとブロックの仕組みを電子メールソフトにデフォルトで組み込む。
◆デフォルトで管理者権限を制限したメールソフトウェアを提供する。指定された管理者アカウントのみが管理目的に使用できるようにする。
◆アプリケーションの許可リストをデフォルトでメールソフトに組み込む。
◆顧客が承認されたアプリケーションをインストールできるセルフサービスのアプリケーションストアを提供する。組織のポリシーで許可されていない
外部ソースからのアプリケーションや実行可能ファイルをブロックする。
◆電子メール製品にマクロをブロックするメカニズムをデフォルトで組み込む。
◆リモートブラウザ隔離(RBI)ソリューションをデフォルトで含める。
ソフトウェアメーカー（製造元）が考慮すべきこと

13. 組織がフィッシング行為によって漏えいした認証情報および/またはマルウェアを特定した場合、以下の方法で活動を修復する：
1.漏洩が疑われるまたは確認されたユーザアカウントを再プロビジョニングし、悪意のある行為者が環境への継続的なアクセスを維持できないようにする。
2.フィッシングが確認された後、アカウントへのアクセスを監査し、悪意のある行為者が最初に影響を受けたアカウントにアクセスできないようにする。
3.フィッシング攻撃の検出後、影響を受けたワークステーションを隔離する。これにより実行されたマルウェアが組織のネットワークにさらに広がるのを
阻止することができる。
4.マルウェアの分析。感染したワークステーションを隔離した後、マルウェア解析を専門とするチームにマルウェアを解析してもらう。
※注意：このステップでは、第三者の専門コンサルタントに外注する必要がある場合があります。分析後、専門家はマルウェアを安全に処理する方法を知ることが
できます。詳細については、CISAのマルウェア解析サービスとリソースのウェブページを参照してください。
5.マルウェアの駆除。実行されたマルウェアによって組織のネットワーク内の他のワークステーションが悪影響を受けないように、マルウェアをネットワークから
駆除します。
6.システムを通常運用に戻し、正常に機能していることを確認する。
この段階での主な課題は、修復が成功したことの確認、システムの再構築、ネットワークの再接続、および誤った設定の修正である。
悪意のあるサイバー・インシデントに対応する方法に関する詳しいガイダンスについては、CISAのインシデント対応プレイブックおよび連邦政府サイバーセキュリティ・インシデントおよび
脆弱性対応プレイブックを参照のこと。これらのプレイブックは、連邦政府組織に合わせて作成されていますが、サイバーセキュリティのインシデントおよび脆弱性対応活動を計画し、実
施するための運用手順を提供し、インシデントおよび脆弱性対応の両方の手順を詳細に説明しています。
インシデントレスポンス

14. 組織は、Microsoft Outlookやその他のクラウドメールプラットフォームに組み込まれた報告機能を利用することが推奨される。
また、該当する場合は、Microsoft、Apple、Googleに直接スパムを報告することも推奨される。疑わしいフィッシング・アクティビティを報告することは、
メール・サービス・プロバイダーが新しいフィッシング攻撃や傾向のあるフィッシング攻撃を特定するのに役立つため、組織を保護するための最も効率的な方法の1つである。
◆CISAは組織に対し、フィッシングのインシデントを速やかにCISA (report@cisa.gov)に報告するか、
24時間365日対応可能な電話番号(888-282-0870)に連絡するよう促している。
◆なりすましやフィッシングを報告する（または被害に遭ったことを報告する）には、FBIのインターネット犯罪苦情センター（IC3）に苦情を申し立てる、
または最寄りのFBI支部に連絡して事件を報告する。
◆州、地方、部族、準州（SLTT）政府機関は、電子メール（SOC@cisecurity.org）または電話（866）787-4722で、
Multi-State Information Sharing and Analysis Center（MS-ISAC）に報告することができます。
レポート/報告

15. ▼CISAサービス
◆Cyber Hygiene：https://www.cisa.gov/cyber-resource-hub
◆Malware Analysis：https://www.cisa.gov/resources-tools/services/malware-analysis
◆Phishing Vulnerability Scanning：https://www.cisa.gov/resources-tools/services/phishing-vulnerability-scanning
◆Free Cybersecurity Services and Tools：https://www.cisa.gov/resources-tools/resources/free-cybersecurity-services-and-tools
▼MS-ISAC/CISのサービス
◆MS-ISAC Membership and Benefits：https://www.cisecurity.org/ms-isac
◆CIS Critical Security Controls：https://www.cisecurity.org/controls
◆Malicious Domain Blocking and Reporting：https://www.cisecurity.org/ms-isac/services/mdbr
◆Albert Network Monitoring and Management：https://www.cisecurity.org/services/albert-network-monitoring
◆CIS Endpoint Security Services：https://www.cisecurity.org/services/endpoint-security-services
CISA及び MS-ISAC/CISのサービス

16. ▼CISA
• Cross-Sector Cybersecurity Performance Goals：https://www.cisa.gov/cpg
• Secure by Design | CISA：https://www.cisa.gov/securebydesign
• More than a Password | CISA：https://www.cisa.gov/MFA
• Counter-Phishing Recommendations for Federal Agencies：
https://www.cisa.gov/sites/default/files/publications/Capacity_Enhancement_Guide-Counter-Phishing_Recommendations_for_Federal_Agencies_1_0.pdf
• Zero Trust Maturity Model：https://www.cisa.gov/resources-tools/resources/zero-trust-maturity-model
• Incident Response Playbook：
https://www.cisa.gov/sites/default/files/2023-02/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf
• Enhance Email and Web Security
https://www.cisa.gov/sites/default/files/publications/CISAInsights-Cyber-EnhanceEmailandWebSecurity_S508C.pdf
• Reducing Spam：https://www.cisa.gov/news-events/news/reducing-spam
• Cyber Smart Phishing Guidance：
https://www.cisa.gov/sites/default/files/publications/Cybersecurity%20Awareness%20Month%202021%20-%20Phishing%20Tip%20Sheet.pdf
• Phishing Security Postcard：
https://www.cisa.gov/sites/default/files/publications/Phishing%20General%20Security%20Postcard_6.24.2021_508cV2.pdf
• Phishing Infographic：https://www.cisa.gov/sites/default/files/2023-02/phishing-infographic-508c.pdf
• Anti-Phishing Training Program Support | CISA：https://www.cisa.gov/resources-tools/services/anti-phishing-training-program-support
▼NSA
• Stop the Snowball: Protect Yourself from Phishing Scams：
https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2808593/stop-the-snowball-protect-yourself-from-phishing-scams/
▼FBI
• Spoofing and Phishing：
https://www.fbi.gov/how-we-can-help-you/safety-resources/scams-and-safety/common-scams-and-crimes/spoofing-and-phishing
▼CENTER FOR INTERNET SECURITY
• How DMARC Advances Email Security：https://www.cisecurity.org/insights/blog/how-dmarc-advances-email-security
• A Short Guide for Spotting Phishing Attempts：https://www.cisecurity.org/insights/blog/a-short-guide-for-spotting-phishing-attempts
• CIS Blueprint of a Phishing Attack：https://www.cisecurity.org/insights/newsletter/blueprint-of-a-phishing-attack
▼NIST
• Application allowlisting - Glossary | CSRC (nist.gov)：https://csrc.nist.gov/glossary/term/application_allowlisting
• Small Business Cybersecurity Corner: Phishing：https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/phishing
▼FCC
• Cybersecurity Planning Guide：https://www.fcc.gov/sites/default/files/cyberplanner.pdf
▼FTC
• Protecting Small Businesses: Phishing：https://www.ftc.gov/business-guidance/small-businesses/cybersecurity/phishing
その他参考