アカウント名:
パスワード:
https://coppercourier.com/story/godaddy-employees-holiday-bonus-secrui... [coppercourier.com]にはGoDaddy自社ドメインが送信元の訓練メールのスクリーンショットがあるんですが。これは信じても仕方ない気がする。
メーラーに表示されるヘッダーFromだけ見て自社ドメインが送信元と決めつけるのは、ちょっと教養足りてないんとちゃいますのん?
米国等でお馴染みのヤツ。「no bonus」、からの、「surprise!HAHAHA!」みたいな。本文から見抜くのは難しい気がします。
新型肺炎以降在宅勤務者多そうだし、配送ルートに社外サーバーを含み、かつ送信元が自社ドメインであるパターンも日常化してそう。ヘッダーからフィッシングだと判断できるかな?
ボーナスありからボーナスなしの方が爆釣だったんでは?
しかし、一般ユーザの事を考えれば、その程度のレベルを前提に対策するしかないんじゃね?それを「教養が足りない」って言って切り捨てても、何の対策にもならない。
だから再教育するって書いてある
GoDaddyはネットワークが専門全従業員がフィッシング詐欺に対する知識を持ってるのが当たり前だろう
小さなスタートアップ企業ならそうかも知れません。しかし、GoDaddyの従業員数は9,000を超ます [godaddy.com]。当然技術者ではない従業員も居るでしょう。また、ネットワークが専門でも、メールには詳しくない人が居ても不思議はないです。
普通は総務とか警備の人までネットワークのスペシャリストを雇えって話にはならないものね。
#3949493のネットワーク屋だからフィッシングにも詳しいって、プログラマー/SEなんだから、〇〇できるでしょう?と同じ香りがする。フィッシング詐欺やら、ソーシャルハックは、ネットワークインフラとは別スキルだろうに。
いや、ソーシャルエンジニアリング対策は一般教養の範囲内かと。
そんな言い訳を許したら攻撃者は総務担当者とか狙えばいいって話になる。
総務や警備に、社内の機密情報への権限を与えなきゃ別にいいんだけどね。中途半端に拡大したスタートアップだと、社内権限の管理がまだきちんとできてなかったりするから、一番危ないタイミングではある。
一般教養だとしても、期待するにはちょっとハードルが高すぎるような。今は入社試験にでもなってるのかな。不安が有るからこそ教育や訓練をするのだと思いますが。
後、実際に総務担当は狙われますよね。
それはその通りなんだけど、「GoDaddyはネットワークが専門 [srad.jp]」って枕詞で語られるのは違うだろ、ってことです。
総務は決算情報とか人の出入りとか経営方針とか人事とか・・・・機密情報の宝庫と言える部署だし、警備は物理セキュリティの最前線なので泥棒が知りたがる情報は持ってるし権限を与えないわけにはいかない。
そこを偽装したのが外から来たら、メールサーバーが弾くでしょ。
必ずしもそうは言えないんじゃない?たとえば、外部のメーリングリストサービスを利用していれば、その組織のメールアドレスを送信者にしたメールが、外部から届くことはあるだろ?多くの組織では、外部のメーリングリストサービスの利用を禁止してはいないと思うよ。
組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。
更に言うと、社内メールは、特別な色のフラグを表示する(改竄できない特殊なヘッダーを使用してMUAに設定したルールでフラグを表示)するとか、社内メールは外部からのメールを受信できない専用のメールアドレスを使うなどとした方がよい。
システム管理者が、それすらできていないなら、ユーザがフィッシング詐欺に騙されないように啓蒙する以前の問題。
組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。
外部メーリングリストサービスを利用していれば、そのメールとな成りすましメールを区別するのは、言う程簡単じゃないじゃない。なのに、システム管理者を無能呼ばわりするのはかわいそうじゃない?
DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。
DKIM・DMARCを使っても、完全では無いよね。だとすると、削除は大抵の環境では難しいんじゃないかな。
DKIM・DMARCの検証失敗をユーザに判りやすく伝えるのは悪くないと思う。ただ、いつも見るけど、大抵怪しくは無いヤツ、ってユーザに学習されるとこれまたダメなわけで。
スラドのコメント程度で簡単に解決する問題なら、とっくに解決してるわけで。
外部メーリングリストサービスを利用していれば
DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。もし使うならば送信元のIPアドレスを保証させるなどして、そのIPアドレスだけを特例とするなど。
だとすると、削除は大抵の環境では難しいんじゃないかな。
自社ドメイン名に関してだけいえば、簡単。(何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)
スラドのコメント程度で簡単に解決する問題なら、
DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。
それはそれで一つの解決策です。が、それを徹底できる組織は多くは無いと思います。
(何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)
小さい組織ならそれでいいでしょうね。ある程度以上の規模の組織になると、なんらか、ユーザがシステム管理者の手を煩わせず、自分で確認できるようにしとかないと、運用困難だと思います。
まともな企業ならとっくに解決してますよ?
結構な企業がフィッシングメールで被害を受けているわけですが、それらをすべて「まとも」でない、と定義すればその通りですね。
システム管理者が居ない中小企業なら、「社内メール」と「社外メール」をメールアドレスレベルで完全に分けて、社内メールの方では外部からのメールの受信自体できなくするのが一番簡単。
まあ、それができる環境ならそうすれば良いと思います。
一般的には、メールの中のリンクは安易に踏むな、と言えばいい。少なくとも、社内の手続きは、メールでURLを案内せず、社内ポータルウェブ経由で内容を確認せよ、とするべきでしょう。
「色のフラグ」って何?ある特定のMUAしか使用しない事が前提?視覚障害者は無視?
> 「色のフラグ」って何?メールサーバでメールヘッダーに社内メールに対して "X-Within-Company-Flag: 1" みたいなのを付けてMUA側で件名の横等に「赤いフラグ」等を付けるという意味。大抵のMUAではメールヘッダー等を条件にして振分とかフラグ指定などができる。その設定はシステム管理者が設定すればいい。無論、外部から不正に "X-Within-Company-Flag: 1" を付けていたら、メールサーバで、そのヘッダーは削除するかメールごと廃棄するなどする。
> ある特定のMUAしか使用しない事が前提?大手企業ならばシステム管理者が導入・管理している特定のMUAを強制するのが普通では?各自が好き勝手なMUAの好きなバージョンを勝手に使うの?それだと脆弱性のあるバージョンとか放置されそうだね
> 視覚障害者は無視?色が無くてもフラグは見分けられるし、MUAがどう見せるかの部分の設定だけ変えときゃいいのでは。
そのことを誰が保証するの?
社内システム屋。そのルールは公表すべき。
自社のドメインは自社内ですかとか、自社のDNSは信用できますかとか、社内認証局は信用できますかとか、聞くのと同じくらい無意味だよ。そんなんじゃ仕事まわせないだろ。
ようするにそこで騙されてもユーザーのせいではない。
「メールサーバが弾いてくれるものだと思ってました、サーセンw」で済むといいね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
自社ドメイン? (スコア:2)
https://coppercourier.com/story/godaddy-employees-holiday-bonus-secrui... [coppercourier.com]
にはGoDaddy自社ドメインが送信元の訓練メールのスクリーンショットがあるんですが。
これは信じても仕方ない気がする。
Re:自社ドメイン? (スコア:0)
メーラーに表示されるヘッダーFromだけ見て自社ドメインが送信元と決めつけるのは、ちょっと教養足りてないんとちゃいますのん?
Re:自社ドメイン? (スコア:2)
米国等でお馴染みのヤツ。
「no bonus」、からの、「surprise!HAHAHA!」みたいな。
本文から見抜くのは難しい気がします。
新型肺炎以降在宅勤務者多そうだし、配送ルートに社外サーバーを含み、かつ送信元が自社ドメインであるパターンも日常化してそう。
ヘッダーからフィッシングだと判断できるかな?
Re: (スコア:0)
ボーナスありからボーナスなしの方が爆釣だったんでは?
Re:自社ドメイン? (スコア:1)
しかし、一般ユーザの事を考えれば、その程度のレベルを前提に対策するしかないんじゃね?
それを「教養が足りない」って言って切り捨てても、何の対策にもならない。
Re: (スコア:0)
だから再教育するって書いてある
Re: (スコア:0)
GoDaddyはネットワークが専門
全従業員がフィッシング詐欺に対する知識を持ってるのが当たり前だろう
Re:自社ドメイン? (スコア:1)
GoDaddyはネットワークが専門
全従業員がフィッシング詐欺に対する知識を持ってるのが当たり前だろう
小さなスタートアップ企業ならそうかも知れません。
しかし、GoDaddyの従業員数は9,000を超ます [godaddy.com]。当然技術者ではない従業員も居るでしょう。
また、ネットワークが専門でも、メールには詳しくない人が居ても不思議はないです。
Re: (スコア:0)
普通は総務とか警備の人までネットワークのスペシャリストを雇えって話にはならないものね。
#3949493のネットワーク屋だからフィッシングにも詳しいって、
プログラマー/SEなんだから、〇〇できるでしょう?と同じ香りがする。
フィッシング詐欺やら、ソーシャルハックは、ネットワークインフラとは別スキルだろうに。
Re: (スコア:0)
いや、ソーシャルエンジニアリング対策は一般教養の範囲内かと。
そんな言い訳を許したら攻撃者は総務担当者とか狙えばいいって話になる。
Re: (スコア:0)
総務や警備に、社内の機密情報への権限を与えなきゃ別にいいんだけどね。
中途半端に拡大したスタートアップだと、社内権限の管理がまだきちんとできてなかったりするから、一番危ないタイミングではある。
Re: (スコア:0)
一般教養だとしても、期待するにはちょっとハードルが高すぎるような。
今は入社試験にでもなってるのかな。
不安が有るからこそ教育や訓練をするのだと思いますが。
後、実際に総務担当は狙われますよね。
Re:自社ドメイン? (スコア:1)
いや、ソーシャルエンジニアリング対策は一般教養の範囲内かと。
それはその通りなんだけど、「GoDaddyはネットワークが専門 [srad.jp]」って枕詞で語られるのは違うだろ、ってことです。
Re: (スコア:0)
総務は決算情報とか人の出入りとか経営方針とか人事とか・・・・機密情報の宝庫と言える部署だし、
警備は物理セキュリティの最前線なので泥棒が知りたがる情報は持ってるし権限を与えないわけにはいかない。
Re: (スコア:0)
そこを偽装したのが外から来たら、メールサーバーが弾くでしょ。
Re:自社ドメイン? (スコア:1)
必ずしもそうは言えないんじゃない?
たとえば、外部のメーリングリストサービスを利用していれば、その組織のメールアドレスを送信者にしたメールが、外部から届くことはあるだろ?
多くの組織では、外部のメーリングリストサービスの利用を禁止してはいないと思うよ。
システム管理者が悪い DKIM + DMARC 使え (スコア:0)
組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。
DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。
更に言うと、社内メールは、特別な色のフラグを表示する(改竄できない特殊なヘッダーを使用してMUAに設定したルールでフラグを表示)するとか、社内メールは外部からのメールを受信できない専用のメールアドレスを使うなどとした方がよい。
システム管理者が、それすらできていないなら、ユーザがフィッシング詐欺に騙されないように啓蒙する以前の問題。
Re:システム管理者が悪い DKIM + DMARC 使え (スコア:1)
組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。
外部メーリングリストサービスを利用していれば、そのメールとな成りすましメールを区別するのは、言う程簡単じゃないじゃない。
なのに、システム管理者を無能呼ばわりするのはかわいそうじゃない?
DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。
DKIM・DMARCを使っても、完全では無いよね。
だとすると、削除は大抵の環境では難しいんじゃないかな。
DKIM・DMARCの検証失敗をユーザに判りやすく伝えるのは悪くないと思う。
ただ、いつも見るけど、大抵怪しくは無いヤツ、ってユーザに学習されるとこれまたダメなわけで。
スラドのコメント程度で簡単に解決する問題なら、とっくに解決してるわけで。
Re: (スコア:0)
外部メーリングリストサービスを利用していれば
DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。
もし使うならば送信元のIPアドレスを保証させるなどして、そのIPアドレスだけを特例とするなど。
だとすると、削除は大抵の環境では難しいんじゃないかな。
自社ドメイン名に関してだけいえば、簡単。
(何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)
スラドのコメント程度で簡単に解決する問題なら、
Re:システム管理者が悪い DKIM + DMARC 使え (スコア:1)
DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。
それはそれで一つの解決策です。
が、それを徹底できる組織は多くは無いと思います。
(何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)
小さい組織ならそれでいいでしょうね。
ある程度以上の規模の組織になると、なんらか、ユーザがシステム管理者の手を煩わせず、自分で確認できるようにしとかないと、運用困難だと思います。
まともな企業ならとっくに解決してますよ?
結構な企業がフィッシングメールで被害を受けているわけですが、それらをすべて「まとも」でない、と定義すればその通りですね。
システム管理者が居ない中小企業なら、「社内メール」と「社外メール」をメールアドレスレベルで完全に分けて、社内メールの方では外部からのメールの受信自体できなくするのが一番簡単。
まあ、それができる環境ならそうすれば良いと思います。
一般的には、メールの中のリンクは安易に踏むな、と言えばいい。
少なくとも、社内の手続きは、メールでURLを案内せず、社内ポータルウェブ経由で内容を確認せよ、とするべきでしょう。
Re: (スコア:0)
「色のフラグ」って何?
ある特定のMUAしか使用しない事が前提?
視覚障害者は無視?
Re: (スコア:0)
> 「色のフラグ」って何?
メールサーバでメールヘッダーに社内メールに対して "X-Within-Company-Flag: 1" みたいなのを付けてMUA側で件名の横等に「赤いフラグ」等を付けるという意味。
大抵のMUAではメールヘッダー等を条件にして振分とかフラグ指定などができる。その設定はシステム管理者が設定すればいい。
無論、外部から不正に "X-Within-Company-Flag: 1" を付けていたら、メールサーバで、そのヘッダーは削除するかメールごと廃棄するなどする。
> ある特定のMUAしか使用しない事が前提?
大手企業ならばシステム管理者が導入・管理している特定のMUAを強制するのが普通では?
各自が好き勝手なMUAの好きなバージョンを勝手に使うの?
それだと脆弱性のあるバージョンとか放置されそうだね
> 視覚障害者は無視?
色が無くてもフラグは見分けられるし、MUAがどう見せるかの部分の設定だけ変えときゃいいのでは。
Re: (スコア:0)
たまに送りつけられてくる訓練のフィッシングメールも当然その常時が挿入されてます。
Re: (スコア:0)
そのことを誰が保証するの?
Re: (スコア:0)
社内システム屋。そのルールは公表すべき。
自社のドメインは自社内ですかとか、自社のDNSは信用できますかとか、
社内認証局は信用できますかとか、聞くのと同じくらい無意味だよ。
そんなんじゃ仕事まわせないだろ。
ようするにそこで騙されてもユーザーのせいではない。
Re: (スコア:0)
「メールサーバが弾いてくれるものだと思ってました、サーセンw」で済むといいね