縁(えん)マーケティング研究所は今回、自社開発の「標的型攻撃メール対応訓練実施キット」に、新たに「ClickFix」と呼ばれるソーシャル・エンジニアリング手法をシミュレートした標的型攻撃メール訓練を実施することができる、訓練用のテンプレートを新たに追加しました。
縁(えん)マーケティング研究所「標的型攻撃メール対応訓練実施キット」
新コンテンツリリース日: 2025年6月2日(月)
縁(えん)マーケティング研究所は今回、自社開発の「標的型攻撃メール対応訓練実施キット」に、新たに「ClickFix」と呼ばれるソーシャル・エンジニアリング手法をシミュレートした標的型攻撃メール訓練を実施することができる、訓練用のテンプレートを新たに追加。
このテンプレートを用いると、技術者ではない方でも簡単にClickFixをシミュレートした標的型攻撃メール訓練を実施することができ、社員に対してClickFixの危険性を学ぶセキュリティ教育の機会を提供します。
ClickFixの手口は、例えば、ロボットによるアクセスではないことを示すために指示された手順で操作を行うといったように、ある問題を解決するために決められた操作の実施を悪用するもので、偽のエラーメッセージなどによって、問題解決のために特定の操作が必要と示し、アクセス者自ら、攻撃者が指定した手順で操作を行うよう誘導するものです。
攻撃者が指定した操作の裏側には、マルウェアのダウンロードにつながるコマンドをコピーし、起動するといった処理が隠されており、そうであると知られないよう、ソーシャルエンジニアリングの手法を用いてユーザー自身に操作をさせることで、従来のセキュリティ機能によるチェックをすり抜けて攻撃が実行される危険性があります。
今回追加したテンプレートでは、Webサイトへのアクセスがロボットによるアクセスではないことを示すために、以下の一連の操作を実行するよう誘導します。
(1) ユーザーに足し算のクイズを出し、答えさせる。
(2) 続けて、キーボードショートカットを使ってWindowsの「ファイル名を指定して実行」ウィンドウを開かせる。
(3) 更に、キーボードショートカットを使って、クリップボードに追加されたコマンドをペーストさせる。
(4) Enterキーを押してペーストしたコマンドを実行させる。
テンプレートによるClickFixの再現2
テンプレートによるClickFixの再現3
ユーザーが指示に従ってコマンドを実行すると、これが訓練であることを示すWebページが表示され、自身が行った操作が、攻撃者が用意したClickFixの手口によって誘導されたものと明かされます。
ClickFixについて解説した種明かしページ
この一連の流れにより、実際にClickFixの手口によって誘導され、被害に遭ってしまった場合と同様の現実的なトレーニングを体験することができます。
この新コンテンツの最大のポイントは、技術者でなくても簡単にClickFixの手口をシミュレートしたトレーニングを実施できる点です。
攻撃者の巧みな誘導によって自身が不審なプログラムを実行してしまう恐ろしさを実際に体験してもらうことで、社員に対してのより一層の注意喚起となります。
