標的型攻撃メール訓練の新機能として、急増するサイバー脅威の「ClickFix攻撃」および「QRフィッシング（QRコードを用いたフィッシング）」を模したメール訓練機能をリリースいたしました。

ClickFix攻撃やQRフィッシングは「ヒトの判断」を標的にしたサイバー攻撃で、従来のセキュリティ製品では検知しにくい特徴があります。本訓練機能により、人の意識と行動を変え、組織全体のセキュリティ向上を支援します。

開発の背景

検知をすり抜ける「人の判断」を狙うサイバー脅威

現在、従来のセキュリティソフトやメールフィルターを巧妙にすり抜ける以下2つの攻撃手法が急増しています。これらは偽サイトへの遷移や特定の操作を実行させることで、マルウェア感染や認証情報の窃取などの恐れがあります。特に金融・製造・不動産業界などで大きな脅威となっています。

ClickFix（クリックフィックス）

メールなどで悪意あるサイトやCAPTCHA画面に誘導し、「エラーを修正してください」といった偽の警告により対応を指示し、悪意あるコマンドをユーザー自身に実行させる手法

QRフィッシング/Quishing（クイッシング）

メール本文からURLリンクでの遷移ではなく、二次元コードを別デバイスで読み取らせることによって、PCのセキュリティ検知を回避して悪意ある偽サイトへ誘導する手法

これらは「怪しいメールのリンクをクリックしない」という従来の教育だけでは防げません。AIが悪意のあるメール文面や偽サイトを瞬時に生成する時代において、従業員一人ひとりが「いまどんな脅威があるのか」を正しく理解し、適切に対処することが不可欠となっています。

本訓練機能を活用することで、組織全員がサイバー攻撃を適切に防げる「セキュリティカルチャー」の形成を促し、組織のセキュリティ向上を実現します。

「ClickFix」および「QRフィッシング」訓練機能の概要

セキュリオの標的型攻撃メール訓練機能において、以下2つの訓練が実施可能になりました。

ClickFix訓練

従業員にClickFix攻撃を模したメールを配信できます。従業員がメール内のリンクをクリックすると偽のシステムエラー画面などが表示され、画面の指示に従って特定の操作をおこなってしまうと、訓練である旨のネタバラシページが表示されます。

QRフィッシング訓練

従業員にQRフィッシングを模したメールを配信できます。従業員がメール内のQRコードをスマホなどの別デバイスで読み取ると、訓練である旨のネタバラシページが表示されます。

導入メリット

流行しているサイバー攻撃に合わせた訓練を実施できる

最新の脅威トレンドにあわせた訓練が自社作成のコストを最小限で実施できます。従業員に対して、従来の一般的なメール攻撃とは異なる手法で受けるサイバー攻撃のリスクを、安全な環境で疑似体験してもらうことができます。新たな攻撃手法を日常業務のなかで実際に体験することで、従業員がサイバー攻撃の被害を回避するための判断力を身につけることができます。

また、訓練でひっかかってしまった従業員に対しても、ネタバラシページにて攻撃の特性や回避方法の解説ができる仕様のため、記憶への定着・行動変容を促すことができます。

訓練対象者がひっかかったポイントを可視化できる

誰がどの段階まで操作してしまったのかを可視化し、重点的に教育すべきポイントを特定できます。セキュリオは訓練から教育までシームレスに行うことが可能です。

訓練で計測できる履歴

目指す姿

AI時代にこそ「人」がセキュリティの要

AIやテクノロジーがどれほど進化しても、システムを操作し、意思決定を行うのは人です。攻撃者がAIを用いて巧妙に人の心理を突いてくる以上、防御の要は「人の意識と行動」にあります。

通常業務のなかでサイバー攻撃を疑似体験してもらうことで、新たな脅威への気づきを生み、すべての利用者が適切に自分と組織を守る行動がとれるようになることを目指しています。

LRMは今後も、テクノロジーを活用した実効性あるセキュリティ教育を通じて、企業のセキュリティ体制強化を支援していきます。

※QRコードは株式会社デンソーウェーブの登録商標です