標的型攻撃メールの新手法「ClickFix」をシミュレートした訓練用テンプレート

　縁マーケティング研究所は6月2日に、同社が開発した「標的型攻撃メール対応訓練実施キット」に、「ClickFix」と呼ばれるソーシャルエンジニアリング手法をシミュレートした、標的型攻撃メール訓練を実施できる訓練用のテンプレートを追加した。

その他の画像はこちら

●社員にClickFixの危険性を学ぶ教育の機会を提供

　今回追加したテンプレートでは、ウェブサイトへのアクセスがロボットによるアクセスではないことを示すために、ユーザーに以下のような一連の操作を実行するよう誘導する。

（1）ユーザーに足し算のクイズを出して答えさせる

（2）キーボードショートカットを使ってWindowsの「ファイル名を指定して実行」ウィンドウを開かせる

（3）キーボードショートカットを使ってクリップボードに追加されたコマンドをペーストさせる

（4）「Enter」キーを押してペーストしたコマンドを実行させる

　ユーザーが指示に従ってコマンドを実行すると、これが訓練であることを示すウェブページが表示され、自身の行った操作が、攻撃者が用意した「ClickFix」の手口によって誘導されたものであったことが明かされる。

　この一連の流れを通じて、実際に「ClickFix」の手口によって誘導され、被害に遭ってしまった場合と同様の現実的なトレーニングを体験できる。技術者でなくても簡単に「ClickFix」の手口をシミュレートしたトレーニングの実施が可能になり、攻撃者の巧みな誘導によって自身が不審なプログラムを実行してしまう恐ろしさを実際に体験してもらうことで、社員に対して、より一層の注意喚起につなげられる。

　なお、今回追加された新コンテンツを含む「標的型攻撃メール対応訓練実施キット」では、企業向けに60日間の無料トライアルが提供されている。