パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

今年は年末のボーナスを支給しないGoDaddy、ソーシャルエンジニアリング攻撃対応訓練メールでボーナスに言及して批判される」記事へのコメント

  • この手の訓練メールって、作る側のレベルが低いから、スキルのある人ほどが引っかかったことにされるという問題がある。

    例えば、メールヘッダーまで確認して、組織内の正規のメールサーバーから送信されていることと、リンク先のドメイン名のIPアドレスがLAN内の正規のWebサーバとなっていることを確認して情報入力しても、
    「はいこれはフィッシングメールの訓練でした。情報乳利力した人は再教育プログラムを~」
    となったりする。

    酷い組織だと、仮想環境からリンク先にアクセスしただけでも引っかかったことにされてしまう。

    実際こういう「訓練」をやるならば、外部のレンタルサーバと紛らわしいドメイン名(もしくはfromの詐称などを実際に行う)などを使用するなどして、実践に近い状況を再現すべきだが、そこまでせずに正規のメールサーバと正規のWebサーバで訓練するといったろくでもない組織が多い。

    • by Anonymous Coward

      うちのところは発信元メールがgmail.com等だと警告のタグが付くがgo.jpでも付くクソ仕様
      発信元偽装にも対応しているか疑問

      • by Anonymous Coward

        うちのところは発信元メールがgmail.com等だと警告のタグが付くがgo.jpでも付くクソ仕様
        発信元偽装にも対応しているか疑問

        発信元メアドは詐称できるから、本当に .go.jp ドメインのサーバーから送信されたことが確認できなければ、警告するのは正しい仕様。
        むしろ発信元の表示上のドメインで判断するコメ主のほうが遥かに危険。

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...