Securio 推出針對新型網絡攻擊「ClickFix」與「QR 釣魚」的實戰化郵件訓練功能

提供資訊安全教育雲端平台「Securio」的 LRM 株式会社（總部：兵庫縣神戶市，代表取締役：幸松哲也）近日推出了 Securio 的新功能——模擬急劇增加的網絡威脅「ClickFix 攻擊」及「QR 釣魚（利用二維碼進行的釣魚）」的郵件訓練功能。

ClickFix 攻擊和 QR 釣魚是針對「人的判斷」進行的網絡攻擊，具有傳統安全產品難以檢測的特點。通過此訓練功能，旨在改變人的意識與行為，支持提升整個組織的安全水平。

### 開發背景：針對繞過檢測的「人的判斷」的網絡威脅
目前，巧妙地繞過傳統安全軟件和郵件過濾器的以下兩種攻擊手法正在激增。這些手法通過誘導用戶進入偽造網站或執行特定操作，可能導致惡意軟件感染或身份認證信息被竊取。尤其在金融、製造、房地產等行業，已成為重大威脅。

**ClickFix (點擊修復)：** 通過郵件等誘導用戶進入惡意網站或 CAPTCHA 界面，利用「請修復錯誤」等偽造警告指示用戶應對，並讓用戶自行執行惡意指令的手法。

**QR 釣魚 / Quishing (快速釣魚)：** 並非通過郵件正文中的 URL 鏈接跳轉，而是讓用戶使用另一台設備掃描二維碼，從而規避 PC 端安全檢測並誘導至惡意偽造網站的手法。

僅靠「不點擊可疑郵件鏈接」的傳統教育已無法防範這些攻擊。在 AI 能瞬間生成惡意郵件文案和偽造網站的時代，每位員工正確認識「現在有哪些威脅」並妥善應對至關重要。

通過活用此訓練功能，可促進組織全員妥善防範網絡攻擊的「安全文化」形成，實現組織安全性的提升。

### 「ClickFix」及「QR 釣魚」訓練功能概要
在 Securio 的標靶式攻擊郵件訓練功能中，現已可進行以下兩種訓練：

1. **ClickFix 訓練：** 可向員工發送模擬 ClickFix 攻擊的郵件。員工點擊郵件內的鏈接後，會顯示偽造的系統錯誤界面等，若按照界面指示執行了特定操作，則會顯示「這是訓練」的揭秘頁面。

2. **QR 釣魚訓練：** 可向員工發送模擬 QR 釣魚的郵件。員工使用手機等另一台設備掃描郵件內的二維碼後，會顯示「這是訓練」的揭秘頁面。

### 導入優點
1. **可開展符合流行趨勢的網絡攻擊訓練：** 能以最低的自主開發成本開展符合最新威脅趨勢的訓練。員工可以在安全環境下，模擬體驗受與傳統常見郵件攻擊手法不同的網絡攻擊風險。通過在日常工作中實際體驗新的攻擊手法，員工可以掌握規避網絡攻擊損害的判斷力。

2. **可將受訓者「上當」的環節可視化：** 可視化誰操作到了哪個階段，從而確定應重點教育的環節。Securio 能夠實現從訓練到教育的無縫銜接。