アカウント名:
パスワード:
「初めの段階で人事部に確認すればすぐ偽者だと判るのに誰もそれをしなかった」
Facebookは登録だけしてその後利用していないのでよく知らないのですが「フォロー」か「サークル」か「友達」とかに追加するのが最初の段階として、その時に相手の会社の人事部に確認するケースってあるの?いちいちそんなことされたら応対する人事部がめちゃくちゃ大変そう。
この件は、実名やら実所属をオープンにしているSNSならではの弊害に見えてしまう。
匿名が好まれる日本のSNSだとこうはいかないだろうけど、twitterやmixiだと勝手に自分で暴露しまくってるという欠点もあるか。#ユーザ次第
その時に相手の会社の人事部に確認するケースってあるの?
自分の会社の職員(=同僚)を名乗る人が来たときに、本当に自分の会社の職員なのかを確認しなかったのか? ということだと思いますよ。
確かに、小さな会社や事業所なら全員の顔と名前が一致することもあるでしょうけど、超のつく大企業とかだとそうはいかないでしょう。だからと言って、「○○事業部の××です」とネット上で名乗られたからと言ってそれをストレートに信じちゃダメでしょう。相手のことを知らないのであれば「そんなやついたっけ?」くらいの疑念は持たなくては。
# 言ってみれば、オレオレ詐欺の企業版(的手法を使ったソーシャルエンジニアリング)ってことになるのかな。
>自分の会社の職員(=同僚)を名乗る人が来たときに、本当に自分の会社の職員なのかを確認しなかったのか? ということだと思いますよ。
違う会社じゃなくて、同じ会社で知らない女性からの申請だったのか。でーっかいところだと知らない従業員は相当多いんでしょうね、それでも一々知らない人から申請が来て人事部に確認ってのはあんまりできない気がする。人事部もそんなことされたら文句言いそうだけど、でかいところだとそうでもないのかな。従業員なら閲覧できる社内人員名簿でもあればそれを見るだけでいいんだろうけど。
>だからと言って、「○○事業部の××です」とネット上で名乗られたからと言ってそれをストレートに信じちゃダメでしょう。
Facebook使ってる人たちって実際にその辺どうしてんでしょうね。もしかしたら、本当にリアル生活で知ってる人以外のプロフィールはまるで信用してないんだろうか。
映画も見てないけど、なるほどそれならば今でも100%性能が発揮されてるってことでOK。
アイビーリーグのΦ・Κ・Λのような敗訴クラブのお友達限定で続けてくれていたらよかったのにと思わないでもない。
全社(+関連会社および協力会社の常駐者)ディレクトリサービスが提供されている職場であれば利用して在籍者の確認できますね。日立製作所とか。
そういう会社ってみんなしてFacebook使ってて、部内や関係部署全員友達申請(?)とかするんだろうか。と思ったけどそれはさすがにうざいからやらないだろうね。いいとこ取引先との営業上のつながりで登録とかならしてそうだけど。
ITなんとかのイマドキのソレ系な会社ならみんな登録してるのはありそうだ。
ごく一部の人間を除いて作業用の閉じたLANで仕事をする場所であり時間限定のプロジェクトであれば必要ないでしょう。実際それで事足りた。長期に渡って同じところで引き続き働く人のことは…しばらくそういう就業していないのでわからないですねえ。20世紀とは常識も変わっているだろうし。
でーっかいところだと知らない従業員は相当多いんでしょうね、それでも一々知らない人から申請が来て人事部に確認ってのはあんまりできない気がする。
ですね。ただ、いちいち人事部に確認を取れるのか?(そんな手間を掛けられるのか? 名乗ってきた相手に失礼にならないか?)という手段はあまり本質的なことではないのでしょう。それこそ、人事部に確認したところで「ネットの向こうの相手と、ウチの会社にいる○○さんが同一人物かどうか」はわからないわけですから。考えるべきは、信用するなら何らかの手段で相手の身分を確認してからにしましょう(ではその手段とは?)、という問題なのだと思います。
>おそらくですけど、今回の侵入テストが成功してしまったということは、少なくない人間が「a」の対応を取ってしまっているような感じですね。
これをお手本にしてお手軽にraidしようとするケースが増えるんじゃないかと思った。侵入のツールとして使われてしまったFacebookとかはどう思ってるんだろう。
SNSの場合、友達の友達である事がセキュリティ的な警戒心を下げる要因になるのは仕方ない気もするなぁ。友達がその偽物とよくコメントのやり取りをしていたら実在するんだと思っちゃうだろうし。今回の実験もそこを突いたものだよね。
非在なのか実在なのかはいちいち人手を煩わせて確認しなくてもよいようになっていればよかろうに(関係者外秘の組織図で確認できるようになっていれば--全社ディレクトリにアクセス可能な人であれば照会可とか)であればアクセスログが残るのであってもいいのかな)、と思ってみたり。20世紀の中小会社であれば総務経理人事兼任担当が「問い合わせてくれれば答え(てあげ)ます」というところが多かったと自分の経験から想像しているんですが、今でもあまり変わってないんでしょうね。大小にかかわらず、フットワークの、風通しの悪い組織というくくりなら。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
初めの段階 (スコア:2)
Facebookは登録だけしてその後利用していないのでよく知らないのですが
「フォロー」か「サークル」か「友達」とかに追加するのが最初の段階として、
その時に相手の会社の人事部に確認するケースってあるの?
いちいちそんなことされたら応対する人事部がめちゃくちゃ大変そう。
この件は、実名やら実所属をオープンにしているSNSならではの弊害に見えてしまう。
匿名が好まれる日本のSNSだとこうはいかないだろうけど、twitterやmixiだと勝手に自分で暴露しまくってるという欠点もあるか。
#ユーザ次第
Re:初めの段階 (スコア:1)
自分の会社の職員(=同僚)を名乗る人が来たときに、本当に自分の会社の職員なのかを確認しなかったのか? ということだと思いますよ。
確かに、小さな会社や事業所なら全員の顔と名前が一致することもあるでしょうけど、超のつく大企業とかだとそうはいかないでしょう。
だからと言って、「○○事業部の××です」とネット上で名乗られたからと言ってそれをストレートに信じちゃダメでしょう。
相手のことを知らないのであれば「そんなやついたっけ?」くらいの疑念は持たなくては。
# 言ってみれば、オレオレ詐欺の企業版(的手法を使ったソーシャルエンジニアリング)ってことになるのかな。
Re:初めの段階 (スコア:1)
>自分の会社の職員(=同僚)を名乗る人が来たときに、本当に自分の会社の職員なのかを確認しなかったのか? ということだと思いますよ。
違う会社じゃなくて、同じ会社で知らない女性からの申請だったのか。
でーっかいところだと知らない従業員は相当多いんでしょうね、それでも一々知らない人から申請が来て人事部に確認ってのはあんまりできない気がする。
人事部もそんなことされたら文句言いそうだけど、でかいところだとそうでもないのかな。
従業員なら閲覧できる社内人員名簿でもあればそれを見るだけでいいんだろうけど。
>だからと言って、「○○事業部の××です」とネット上で名乗られたからと言ってそれをストレートに信じちゃダメでしょう。
Facebook使ってる人たちって実際にその辺どうしてんでしょうね。
もしかしたら、本当にリアル生活で知ってる人以外のプロフィールはまるで信用してないんだろうか。
Re:初めの段階 (スコア:2, おもしろおかしい)
Re:初めの段階 (スコア:1)
映画も見てないけど、なるほどそれならば今でも100%性能が発揮されてるってことでOK。
Re:初めの段階 (スコア:1)
アイビーリーグのΦ・Κ・Λのような敗訴クラブのお友達限定で続けてくれていたらよかったのにと思わないでもない。
Re:初めの段階 (スコア:1)
全社(+関連会社および協力会社の常駐者)ディレクトリサービスが提供されている職場であれば利用して在籍者の確認できますね。日立製作所とか。
Re:初めの段階 (スコア:1)
そういう会社ってみんなしてFacebook使ってて、部内や関係部署全員友達申請(?)とかするんだろうか。
と思ったけどそれはさすがにうざいからやらないだろうね。
いいとこ取引先との営業上のつながりで登録とかならしてそうだけど。
ITなんとかのイマドキのソレ系な会社ならみんな登録してるのはありそうだ。
Re:初めの段階 (スコア:1)
ごく一部の人間を除いて作業用の閉じたLANで仕事をする場所であり時間限定のプロジェクトであれば必要ないでしょう。
実際それで事足りた。
長期に渡って同じところで引き続き働く人のことは…しばらくそういう就業していないのでわからないですねえ。
20世紀とは常識も変わっているだろうし。
Re: (スコア:0)
ですね。
ただ、いちいち人事部に確認を取れるのか?(そんな手間を掛けられるのか? 名乗ってきた相手に失礼にならないか?)という手段はあまり本質的なことではないのでしょう。
それこそ、人事部に確認したところで「ネットの向こうの相手と、ウチの会社にいる○○さんが同一人物かどうか」はわからないわけですから。
考えるべきは、信用するなら何らかの手段で相手の身分を確認してからにしましょう(ではその手段とは?)、という問題なのだと思います。
Re:初めの段階 (スコア:1)
>おそらくですけど、今回の侵入テストが成功してしまったということは、少なくない人間が「a」の対応を取ってしまっているような感じですね。
これをお手本にしてお手軽にraidしようとするケースが増えるんじゃないかと思った。
侵入のツールとして使われてしまったFacebookとかはどう思ってるんだろう。
Re: (スコア:0)
SNSの場合、友達の友達である事がセキュリティ的な警戒心を下げる要因になるのは仕方ない気もするなぁ。
友達がその偽物とよくコメントのやり取りをしていたら実在するんだと思っちゃうだろうし。
今回の実験もそこを突いたものだよね。
Re:初めの段階 (スコア:1)
Re:初めの段階 (スコア:1)
非在なのか実在なのかはいちいち人手を煩わせて確認しなくてもよいようになっていればよかろうに(関係者外秘の組織図で確認できるようになっていれば--全社ディレクトリにアクセス可能な人であれば照会可とか)であればアクセスログが残るのであってもいいのかな)、と思ってみたり。
20世紀の中小会社であれば総務経理人事兼任担当が「問い合わせてくれれば答え(てあげ)ます」というところが多かったと自分の経験から想像しているんですが、今でもあまり変わってないんでしょうね。大小にかかわらず、フットワークの、風通しの悪い組織というくくりなら。