新たなサイバー攻撃「ClickFix」「QRフィッシング」を再現した実践的メール訓練を「セキュリオ」が提供開始

セキュリティ教育クラウド「セキュリオ」を提供するLRM株式会社（本社：兵庫県神戸市、代表取締役：幸松哲也）は、セキュリオの新機能として、急増するサイバー脅威の「ClickFix攻撃」および「QRフィッシング（QRコードを用いたフィッシング）」を模したメール訓練機能をリリースいたしました。

ClickFix攻撃やQRフィッシングは「人の判断」を標的にしたサイバー攻撃で、従来のセキュリティ製品では検知しにくい特徴があります。本訓練機能により、人の意識と行動を変え、組織全体のセキュリティ向上を支援します。

■ 開発の背景：検知をすり抜ける「人の判断」を狙うサイバー脅威

現在、従来のセキュリティソフトやメールフィルターを巧妙にすり抜ける以下2つの攻撃手法が急増しています。これらは偽サイトへの遷移や特定の操作を実行させることで、マルウェア感染や認証情報の窃取などの恐れがあります。特に金融・製造・不動産業界などで大きな脅威となっています。

これらは「怪しいメールのリンクをクリックしない」という従来の教育だけでは防げません。AIが悪意のあるメール文面や偽サイトを瞬時に生成する時代において、従業員一人ひとりが「いまどんな脅威があるのか」を正しく理解し、適切に対処することが不可欠となっています。

本訓練機能を活用いただくことにより、組織全員がサイバー攻撃を適切に防げる「セキュリティカルチャー」の形成を促し、組織のセキュリティ向上を実現します。

■ 「ClickFix」および「QRフィッシング」訓練機能の概要

セキュリオの標的型攻撃メール訓練機能において、以下2つの訓練が実施可能になりました。

①ClickFix訓練

従業員にClickFix攻撃を模したメールを配信できます。従業員がメール内のリンクをクリックすると偽のシステムエラー画面などが表示され、画面の指示に従って特定の操作をおこなってしまうと、訓練である旨のネタバラシページが表示されます。

②QRフィッシング訓練

従業員にQRフィッシングを模したメールを配信できます。従業員がメール内のQRコードをスマホなどの別デバイスで読み取ると、訓練である旨のネタバラシページが表示されます。

■ 導入メリット

(1) 流行しているサイバー攻撃に合わせた訓練を実施できる

最新の脅威トレンドにあわせた訓練が自社作成のコストを最小限で実施できます。従業員に対して、従来の一般的なメール攻撃とは異なる手法で受けるサイバー攻撃のリスクを、安全な環境で疑似体験してもらうことができます。新たな攻撃手法を日常業務のなかで実際に体験することで、従業員がサイバー攻撃の被害を回避するための判断力を身につけることができます。

また、訓練でひっかかってしまった従業員に対しても、ネタバラシページにて攻撃の特性や回避方法の解説ができる仕様のため、記憶への定着・行動変容を促すことができます。

(2) 訓練対象者がひっかかったポイントを可視化できる

誰がどの段階まで操作してしまったのかを可視化し、重点的に教育すべきポイントを特定できます。セキュリオは訓練から教育までシームレスに行うことが可能です。

▼訓練で計測できる履歴
ClickFix訓練
・訓練メール内のリンククリック
・遷移先サイトで、悪意あるコマンドをクリップボードにコピーさせるためのクリック
・コマンド実行

QRフィッシング訓練
・訓練メール内のQRコード読み取り

■ 目指す姿：AI時代にこそ「人」がセキュリティの要

AIやテクノロジーがどれほど進化しても、システムを操作し、意思決定を行うのは人です。攻撃者がAIを用いて巧妙に人の心理を突いてくる以上、防御の要は「人の意識と行動」にあります。
通常業務のなかでサイバー攻撃を疑似体験してもらうことで、新たな脅威への気づきを生み、すべての利用者が適切に自分と組織を守る行動がとれるようになることを目指しています。

LRMは今後も、テクノロジーを活用した実効性あるセキュリティ教育を通じて、企業のセキュリティ体制強化を支援してまいります。

※QRコードは株式会社デンソーウェーブの登録商標です

■セキュリティ教育クラウド「セキュリオ」とは

「セキュリオ」は、セキュリティ教育をだれでもかんたんに行うことができるクラウドサービスです。
 「標的型攻撃メール訓練」でセキュリティへの関心を引き、「eラーニング」で知識を習得し、「セキュリティアウェアネス」で日々の習慣に取り込んでもらうといった複数機能のサイクルを回すことで、従業員の行動変容を促すことができます。

セキュリオサービスサイト：https://www.lrm.jp/seculio/

---