パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

今年は年末のボーナスを支給しないGoDaddy、ソーシャルエンジニアリング攻撃対応訓練メールでボーナスに言及して批判される」記事へのコメント

  • by Anonymous Coward on 2020年12月26日 19時31分 (#3949386)

    この手の訓練メールって、作る側のレベルが低いから、スキルのある人ほどが引っかかったことにされるという問題がある。

    例えば、メールヘッダーまで確認して、組織内の正規のメールサーバーから送信されていることと、リンク先のドメイン名のIPアドレスがLAN内の正規のWebサーバとなっていることを確認して情報入力しても、
    「はいこれはフィッシングメールの訓練でした。情報乳利力した人は再教育プログラムを~」
    となったりする。

    酷い組織だと、仮想環境からリンク先にアクセスしただけでも引っかかったことにされてしまう。

    実際こういう「訓練」をやるならば、外部のレンタルサーバと紛らわしいドメイン名(もしくはfromの詐称などを実際に行う)などを使用するなどして、実践に近い状況を再現すべきだが、そこまでせずに正規のメールサーバと正規のWebサーバで訓練するといったろくでもない組織が多い。

    • 発信元が社内なら安全でハッキングされる可能性ゼロの会社ですか?
      仮想環境からアクセスするときはアクセス元IPがランダマイズされるぐらいの対策してますか?
      あと「ボーナスを支給」にあたって「情報を入力する必要がある」企業は存在しないと思うがな。

      特殊な条件で支払いになるんで情報を確認してアップデートしろってのなら分からんでもないが、その場合リンクとかは必要なくログインして更新しろって話にしかならんだろ。
      今回は全員が対象なんで通達で終わるような話だと思う。

      親コメント
      • by Anonymous Coward

        発信元が社内、かつIPアドレスがLAN内の正規のWebサーバであることを確認しているとのことなので、社内Webサーバが1台なら「ログインして更新」する場合と同じWebサーバになるよね。
        社内Webサーバがハッキングされて改竄されているとするならば、ログインして更新したって同じことでしょ。

        アクセス元IPをランダマイズ?
        意味分かって言ってんの?
        社内から社外にアクセスするならば、きちんとした組織ならばそもそも会社のプロキシサーバのIPアドレスになるのが普通だし、LAN内で自分のIPアドレスを詐称するならばその方が問題だぞ。

        仮想環境を使うのは、ブラウザの脆弱性を狙ったゼロデイ攻撃に遇っても安全性を保つため。

      • by Anonymous Coward

        ということは再教育プログラムを受講した人はアウトってことですね…かわいそうに…

    • 情報乳利力とは・・・

      親コメント
    • > 仮想環境からリンク先にアクセスしただけ

      これはやっぱ避けた方がよくね?
      リンクのURLに、誰がリンクを踏んだかを特定できるIDがこっそりつけられてる可能性もある。
      メールアドレスが生きてるかどうか、程度の情報でも、スパマーには嬉しいもんだからなあ。
      スパマーには1ビットの情報すら渡したくねーべ。

      親コメント
    • 普通、偽造の可能性を否定しきれないメール内のリンクを安易に踏むのは良くない、と思うんじゃね?
      一般人程度のレベルをターゲットにする訓練なら、外部のレンタルサーバかどうかなんてのはどうでもよくて、少しでもあやしいメールの中のリンクは踏むな、ってルールの徹底を目指した方が、効果が高いと思うよ。

      親コメント
    • だいたい訓練メールなんて個人特定のためにリンクに何らかの情報が付与されているんだから、訓練メールだろうと疑ってる時点で個人特定っぽい文字列を適当に書き換えてアクセスしてない時点でスキルないと思う。

      親コメント
    • by Anonymous Coward

      うちのところは発信元メールがgmail.com等だと警告のタグが付くがgo.jpでも付くクソ仕様
      発信元偽装にも対応しているか疑問

    • by Anonymous Coward

      「スキルの高い奴(自分のこと)を組織は正しく評価できない」系のコメントって何でこんなに頭悪そうに見えるんだろう
      ゼロトラストとか知らなそう

    • by Anonymous Coward

      システム管理者でもないのに、会社の環境で勝手にウイルスメールっぽいものを開く行動を取ること自体が
      そもそも問題のある社員だと思う。

      業務等に無関係なメールならいくら偽物だとわかっても興味本位で開くべきではないし
      真正か迷う内容なら確かめる手順が会社側に決められてるだろうし(システム管理者に問い合わせるとか。定められてないなら会社にも問題あり)
      ルールがあるのに勝手に検疫して、安全と自己判断しているなら更に悪質

      • システム管理者でもないのに、会社の環境で勝手にウイルスメールっぽいものを開く行動を取ること自体がそもそも問題のある社員だと思う。

        実際問題、あからさまに怪しい、というメールでない限り、開いてしまうのは仕方ないとして、対策するしかないよ。
        今回だって、ボーナスは支給しない、というお知らせの後のこのメールなんだろ?
        これが怪しいかどうか、メールを開かずに判断するのは難しいし、開いたとしても怪しいと判断できるかは疑問。
        だとすると、「怪しいメールは開くな」では対策にならないと考えざるを得ない。

        親コメント
        • 今まで訓練をやったことが無い会社ならともかく、コレ、普通に考えたらあからさまな訓練でしょう。

          親コメント
        • by Anonymous Coward

          次善の策で仮にユーザーが開いてしまった場合の対応も普通はあるかと。
          例えば直ちにネットワークから遮断して管理者に連絡。
          ウイルス対策ソフトで検出できていない可能性も考えて端末は感染の有無が不明でも必ず初期化(会社支給時の状態)で
          ローカルに保存してあるデータはパーになるとか。

          どうしても必要なデータが端末に保存されていてサルベージするにしても、それなりに時間がかかるだろうし、
          サルベージの間代替PCを渡すとしても再設定に時間が取られる。
          時間を取られるのがやらかした本人なのか、IT関係の部内管理者なのか、PC管理部署なのか、委託しているサービス会社は会社によるだろうけど。

          そんなことになったらその日はPC復旧で潰れるし、会社としては無駄な出費になるから開かせないように社員を啓蒙することも大事かと。

          • 次善の策で仮にユーザーが開いてしまった場合の対応も普通はあるかと。

            その通り。
            だけど、それがいきなり、

            例えば直ちにネットワークから遮断して管理者に連絡。

            ってのは無理じゃね、って話。
            開くだけで感染する様なウィルスならそうすべきだと思う。
            しかし、そうでないのであれば、逆にDoS攻撃を許す結果になっちゃうよ。
            たとえば、開ける前はマトモそうだけど、あやしいURLが付いてるメール(つまり、今回のケースの様な)をユーザに送りまくれば、それを開いちゃったユーザの業務は停止してしまう。
            で、そう言うメールを作るのはそう難しくは無い。
            もちろん、開ける前に気付く人もいるかもしれないけど、開けてしまうユーザの割合が30%でもあれば、会社としては重大な業務影響が出るんじゃない?

            啓蒙することも大事かと。

            啓蒙は重要だけど、啓蒙だけではどうにもならない。
            あなたの言う方法ではDoSが成立すると思うよ。

            親コメント
            • by Anonymous Coward

              啓蒙だけではどうにもならないが、システムだけでもどうにもならない。社員への啓蒙とシステム防御の構築は両方大事

              少なくとも会社のルールを守らず、仮想環境だから大丈夫とかいってメールのリンク踏むような奴は論外

          • by Anonymous Coward

            なんでメールを開いただけでそんなことする必要があるの?
            メールって基本的にただの txt か html だよ。

            MUAに脆弱性が無ければ開いただけではなんの問題も生じない。

            未知の脆弱性を気にするならば、そもそもメール開くマシンと業務に使うマシンを分けるとか、VM上でMUAを実行するとかしたらどう?

        • by Anonymous Coward

          標的型攻撃を見破るのは無理だと専門家も言ってることだし自分もそう思う。
          最初から簡単に騙されるということを分からせる&全員に研修を受けさせるぐらいのつもりだったのかもよ。

    • by Anonymous Coward

      その程度の訓練をしてるところなら、正規のメールサーバーとWebサーバーであってもアカウント乗っ取りやハッキング済みの可能性が有る。
      リンクを踏まずに、メール以外の方法の内線電話とかで真贋を確認しなきゃ。

      • その程度の訓練をしてるところなら、正規のメールサーバーとWebサーバーであってもアカウント乗っ取りやハッキング済みの可能性が有る。

        なんだその言いがかり。

        中にはヘッダとかを確認する知恵を持ってる人もいるだろうけど、一般ユーザ向けとしてはその程度の訓練で十分。
        社外のシステムを使った方がより本物っぽい、と言うのはその通りだろうけど、そうするかどうかは、ポリシーによる。
        メール内のリンクを踏んじゃダメ、って言うルールを無視して仮想環境で開いちゃう半端な知恵を持ってる人もあぶり出せたし、良かったとも言える。

        そう言った訓練のレベルの選択と、社内のサーバがクラッキングされてるかどうかは無関係。
        それを関係あるかの如く言うのは、ハッキリ言って言いがかり。

        親コメント
      • by Anonymous Coward

        正規のサーバがクラッキングされているのならば、そもそも全ての業務が危険に晒されてますよね。
        いつも使っている正規の業務システムも悪意のある第三者に情報を中継するようになってるかもしれないし、フィッシング詐欺訓練以前の問題。

        • by Anonymous Coward

          そうです、全ての業務が危険にさらされてますよね。
          フィッシング詐欺訓練ではなく、本番になった訳です。

          そして、貴方が最初の発見者かもしれません。
          その事を管理者に伝えれば、ネットワーク隔離やアカウント停止といった判断が可能になります。
          アカウント乗っ取りの可能性に気づいたのに放置するのですか?

    • by Anonymous Coward

      いや、C&C攻撃だってあるんだから「社内から発信されたら安全」なんてもはや幻想。
      セキュリティはゼロトラストモデルに移行しつつある。
      向こう10年くらいで境界型FWって機能縮小されるか消滅するかの運命だと思う。

      怪しいと感じたら発信者にメール以外の経路で確認するのが模範解答。
      その「感じる感性」はスキルとかではなくて世渡りに近い。

    • by Anonymous Coward

      仮想マシンだからって、普段使いのブラウザ等に影響しないはそうだろうけど、
      勝手立ち上げたゲストOSがファイルサーバーにアクセスできたりすりゃそれ個人の負けハッカーの勝ちですよ。

      ホストOSと同様の管理者承認を得た、クソのような管理ソフトを入れたゲストOSをこさえてアクセスしたなら
      組織の負けハッカーの勝ちやろうけど

      • by Anonymous Coward

        権限を越えるとか隠蔽目的だと、アクセスした時点で負けですね。
        怪しいと解ってるメールのURLにアクセスしてる時点でまんまと#3949386は攻撃に引っ掛かってる。

人生unstable -- あるハッカー

処理中...