「怪しいメールを見分ける」の一歩先へ。最新の攻撃手法を安全に体験し、全従業員の防御スキルを底上げ。
セキュリティ教育クラウド「セキュリオ」を提供するLRM株式会社(本社:兵庫県神戸市、代表取締役:幸松哲也)は、セキュリオの新機能として、急増するサイバー脅威の「ClickFix攻撃」および「QRフィッシング(QRコードを用いたフィッシング)」を模したメール訓練機能をリリースいたしました。

ClickFix攻撃やQRフィッシングは「人の判断」を標的にしたサイバー攻撃で、従来のセキュリティ製品では検知しにくい特徴があります。本訓練機能により、人の意識と行動を変え、組織全体のセキュリティ向上を支援します。
■ 開発の背景:検知をすり抜ける「人の判断」を狙うサイバー脅威
現在、従来のセキュリティソフトやメールフィルターを巧妙にすり抜ける以下2つの攻撃手法が急増しています。これらは偽サイトへの遷移や特定の操作を実行させることで、マルウェア感染や認証情報の窃取などの恐れがあります。特に金融・製造・不動産業界などで大きな脅威となっています。
ClickFix(クリックフィックス)
メールなどで悪意あるサイトやCAPTCHA画面に誘導し、「エラーを修正してください」といった偽の警告により対応を指示し、悪意あるコマンドをユーザー自身に実行させる手法
QRフィッシング/Quishing(クイッシング)
メール本文からURLリンクでの遷移ではなく、二次元コードを別デバイスで読み取らせることによって、PCのセキュリティ検知を回避して悪意ある偽サイトへ誘導する手法

これらは「怪しいメールのリンクをクリックしない」という従来の教育だけでは防げません。AIが悪意のあるメール文面や偽サイトを瞬時に生成する時代において、従業員一人ひとりが「いまどんな脅威があるのか」を正しく理解し、適切に対処することが不可欠となっています。
本訓練機能を活用いただくことにより、組織全員がサイバー攻撃を適切に防げる「セキュリティカルチャー」の形成を促し、組織のセキュリティ向上を実現します。
■ 「ClickFix」および「QRフィッシング」訓練機能の概要
セキュリオの標的型攻撃メール訓練機能において、以下2つの訓練が実施可能になりました。
1.ClickFix訓練
従業員にClickFix攻撃を模したメールを配信できます。従業員がメール内のリンクをクリックすると偽のシステムエラー画面などが表示され、画面の指示に従って特定の操作をおこなってしまうと、訓練である旨のネタバラシページが表示されます。
2.QRフィッシング訓練
従業員にQRフィッシングを模したメールを配信できます。従業員がメール内のQRコードをスマホなどの別デバイスで読み取ると、訓練である旨のネタバラシページが表示されます。
■ 導入メリット
(1) 流行しているサイバー攻撃に合わせた訓練を実施できる
最新の脅威トレンドにあわせた訓練が自社作成のコストを最小限で実施できます。従業員に対して、従来の一般的なメール攻撃とは異なる手法で受けるサイバー攻撃のリスクを、安全な環境で疑似体験してもらうことができます。新たな攻撃手法を日常業務のなかで実際に体験することで、従業員がサイバー攻撃の被害を回避するための判断力を身につけることができます。
 
また、訓練でひっかかってしまった従業員に対しても、ネタバラシページにて攻撃の特性や回避方法の解説ができる仕様のため、記憶への定着・行動変容を促すことができます。
(2) 訓練対象者がひっかかったポイントを可視化できる
誰がどの段階まで操作してしまったのかを可視化し、重点的に教育すべきポイントを特定できます。セキュリオは訓練から教育までシームレスに行うことが可能です。
 
▼訓練で計測できる履歴
ClickFix訓練
・訓練メール内のリンククリック
・遷移先サイトで、悪意あるコマンドをクリップボードにコピーさせるためのクリック
・コマンド実行
 
QRフィッシング訓練
・訓練メール内のQRコード読み取り
■ 目指す姿:AI時代にこそ「人」がセキュリティの要
AIやテクノロジーがどれほど進化しても、システムを操作し、意思決定を行うのは人です。攻撃者がAIを用いて巧妙に人の心理を突いてくる以上、防御の要は「人の意識と行動」にあります。
通常業務のなかでサイバー攻撃を疑似体験してもらうことで、新たな脅威への気づきを生み、すべての利用者が適切に自分と組織を守る行動がとれるようになることを目指しています。

LRMは今後も、テクノロジーを活用した実効性あるセキュリティ教育を通じて、企業のセキュリティ体制強化を支援してまいります。
 
※QRコードは株式会社デンソーウェーブの登録商標です
■セキュリティ教育クラウド「セキュリオ」とは
「セキュリオ」は、セキュリティ教育をだれでもかんたんに行うことができるクラウドサービスです。
 「標的型攻撃メール訓練」でセキュリティへの関心を引き、「eラーニング」で知識を習得し、「セキュリティアウェアネス」で日々の習慣に取り込んでもらうといった複数機能のサイクルを回すことで、従業員の行動変容を促すことができます。
セキュリオサービスサイト:https://www.lrm.jp/seculio/
LRMについて
「Security Diet(R)」を企業理念に、情報セキュリティに関するプロの知見を提供するとともに、 意識の向上から人や組織の行動変容を促すことで、 持続可能な情報セキュリティ体制構築と企業価値向上に貢献します。

2,500社を超える導入実績があるセキュリティ教育クラウド「セキュリオ」事業、ならびに年間580社(※)・19年以上の支援実績がある情報セキュリティコンサルティング事業を展開し、日本で一番身近な情報セキュリティ会社となるために日々活動しています。
※ 2023年8月1日~2024年7月31日のコンサルティング支援社数

会社名:LRM株式会社
本社 :兵庫県神戸市中央区栄町通1-2-10 読売神戸ビル5F
代表者:代表取締役 幸松哲也
設立 :2006年12月
公式サイト :https://www.lrm.jp/
事業 :セキュリティ教育クラウド「セキュリオ」の開発提供、情報セキュリティコンサルティング支援