パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

今年は年末のボーナスを支給しないGoDaddy、ソーシャルエンジニアリング攻撃対応訓練メールでボーナスに言及して批判される」記事へのコメント

  • https://coppercourier.com/story/godaddy-employees-holiday-bonus-secrui... [coppercourier.com]
    にはGoDaddy自社ドメインが送信元の訓練メールのスクリーンショットがあるんですが。
    これは信じても仕方ない気がする。

    • by Anonymous Coward on 2020年12月26日 21時07分 (#3949420)

      メーラーに表示されるヘッダーFromだけ見て自社ドメインが送信元と決めつけるのは、ちょっと教養足りてないんとちゃいますのん?

      親コメント
      • by bigface (47795) on 2020年12月27日 8時52分 (#3949556) 日記

        米国等でお馴染みのヤツ。
        「no bonus」、からの、「surprise!HAHAHA!」みたいな。
        本文から見抜くのは難しい気がします。

        新型肺炎以降在宅勤務者多そうだし、配送ルートに社外サーバーを含み、かつ送信元が自社ドメインであるパターンも日常化してそう。
        ヘッダーからフィッシングだと判断できるかな?

        親コメント
        • by Anonymous Coward

          ボーナスありからボーナスなしの方が爆釣だったんでは?

      • by Ryo.F (3896) on 2020年12月26日 22時13分 (#3949450) 日記

        しかし、一般ユーザの事を考えれば、その程度のレベルを前提に対策するしかないんじゃね?
        それを「教養が足りない」って言って切り捨てても、何の対策にもならない。

        親コメント
        • by Anonymous Coward

          だから再教育するって書いてある

        • by Anonymous Coward

          GoDaddyはネットワークが専門
          全従業員がフィッシング詐欺に対する知識を持ってるのが当たり前だろう

          • by Ryo.F (3896) on 2020年12月26日 23時48分 (#3949501) 日記

            GoDaddyはネットワークが専門
            全従業員がフィッシング詐欺に対する知識を持ってるのが当たり前だろう

            小さなスタートアップ企業ならそうかも知れません。
            しかし、GoDaddyの従業員数は9,000を超ます [godaddy.com]。当然技術者ではない従業員も居るでしょう。
            また、ネットワークが専門でも、メールには詳しくない人が居ても不思議はないです。

            親コメント
            • by Anonymous Coward

              普通は総務とか警備の人までネットワークのスペシャリストを雇えって話にはならないものね。

              #3949493のネットワーク屋だからフィッシングにも詳しいって、
              プログラマー/SEなんだから、〇〇できるでしょう?と同じ香りがする。
              フィッシング詐欺やら、ソーシャルハックは、ネットワークインフラとは別スキルだろうに。

              • by Anonymous Coward

                いや、ソーシャルエンジニアリング対策は一般教養の範囲内かと。

                そんな言い訳を許したら攻撃者は総務担当者とか狙えばいいって話になる。

              • by Anonymous Coward

                総務や警備に、社内の機密情報への権限を与えなきゃ別にいいんだけどね。
                中途半端に拡大したスタートアップだと、社内権限の管理がまだきちんとできてなかったりするから、一番危ないタイミングではある。

              • by Anonymous Coward

                一般教養だとしても、期待するにはちょっとハードルが高すぎるような。
                今は入社試験にでもなってるのかな。
                不安が有るからこそ教育や訓練をするのだと思いますが。

                後、実際に総務担当は狙われますよね。

              • by Ryo.F (3896) on 2020年12月27日 8時42分 (#3949555) 日記

                いや、ソーシャルエンジニアリング対策は一般教養の範囲内かと。

                それはその通りなんだけど、「GoDaddyはネットワークが専門 [srad.jp]」って枕詞で語られるのは違うだろ、ってことです。

                親コメント
              • by Anonymous Coward

                総務は決算情報とか人の出入りとか経営方針とか人事とか・・・・機密情報の宝庫と言える部署だし、
                警備は物理セキュリティの最前線なので泥棒が知りたがる情報は持ってるし権限を与えないわけにはいかない。

      • by Anonymous Coward

        そこを偽装したのが外から来たら、メールサーバーが弾くでしょ。

        • by Ryo.F (3896) on 2020年12月26日 22時18分 (#3949453) 日記

          必ずしもそうは言えないんじゃない?
          たとえば、外部のメーリングリストサービスを利用していれば、その組織のメールアドレスを送信者にしたメールが、外部から届くことはあるだろ?
          多くの組織では、外部のメーリングリストサービスの利用を禁止してはいないと思うよ。

          親コメント
          • 組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。
            DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。

            更に言うと、社内メールは、特別な色のフラグを表示する(改竄できない特殊なヘッダーを使用してMUAに設定したルールでフラグを表示)するとか、社内メールは外部からのメールを受信できない専用のメールアドレスを使うなどとした方がよい。

            システム管理者が、それすらできていないなら、ユーザがフィッシング詐欺に騙されないように啓蒙する以前の問題。

            • 組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。

              外部メーリングリストサービスを利用していれば、そのメールとな成りすましメールを区別するのは、言う程簡単じゃないじゃない。
              なのに、システム管理者を無能呼ばわりするのはかわいそうじゃない?

              DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。

              DKIM・DMARCを使っても、完全では無いよね。
              だとすると、削除は大抵の環境では難しいんじゃないかな。

              DKIM・DMARCの検証失敗をユーザに判りやすく伝えるのは悪くないと思う。
              ただ、いつも見るけど、大抵怪しくは無いヤツ、ってユーザに学習されるとこれまたダメなわけで。

              スラドのコメント程度で簡単に解決する問題なら、とっくに解決してるわけで。

              親コメント
              • by Anonymous Coward

                外部メーリングリストサービスを利用していれば

                DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。
                もし使うならば送信元のIPアドレスを保証させるなどして、そのIPアドレスだけを特例とするなど。

                だとすると、削除は大抵の環境では難しいんじゃないかな。

                自社ドメイン名に関してだけいえば、簡単。
                (何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)

                スラドのコメント程度で簡単に解決する問題なら、

              • DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。

                それはそれで一つの解決策です。
                が、それを徹底できる組織は多くは無いと思います。

                (何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)

                小さい組織ならそれでいいでしょうね。
                ある程度以上の規模の組織になると、なんらか、ユーザがシステム管理者の手を煩わせず、自分で確認できるようにしとかないと、運用困難だと思います。

                まともな企業ならとっくに解決してますよ?

                結構な企業がフィッシングメールで被害を受けているわけですが、それらをすべて「まとも」でない、と定義すればその通りですね。

                システム管理者が居ない中小企業なら、「社内メール」と「社外メール」をメールアドレスレベルで完全に分けて、社内メールの方では外部からのメールの受信自体できなくするのが一番簡単。

                まあ、それができる環境ならそうすれば良いと思います。

                一般的には、メールの中のリンクは安易に踏むな、と言えばいい。
                少なくとも、社内の手続きは、メールでURLを案内せず、社内ポータルウェブ経由で内容を確認せよ、とするべきでしょう。

                親コメント
            • by Anonymous Coward

              「色のフラグ」って何?
              ある特定のMUAしか使用しない事が前提?
              視覚障害者は無視?

              • by Anonymous Coward

                > 「色のフラグ」って何?
                メールサーバでメールヘッダーに社内メールに対して "X-Within-Company-Flag: 1" みたいなのを付けてMUA側で件名の横等に「赤いフラグ」等を付けるという意味。
                大抵のMUAではメールヘッダー等を条件にして振分とかフラグ指定などができる。その設定はシステム管理者が設定すればいい。
                無論、外部から不正に "X-Within-Company-Flag: 1" を付けていたら、メールサーバで、そのヘッダーは削除するかメールごと廃棄するなどする。

                > ある特定のMUAしか使用しない事が前提?
                大手企業ならばシステム管理者が導入・管理している特定のMUAを強制するのが普通では?
                各自が好き勝手なMUAの好きなバージョンを勝手に使うの?
                それだと脆弱性のあるバージョンとか放置されそうだね

                > 視覚障害者は無視?
                色が無くてもフラグは見分けられるし、MUAがどう見せるかの部分の設定だけ変えときゃいいのでは。

            • by Anonymous Coward
              北米の企業ですが、外部からのメールはSubjectにその旨の表示が挿入されるようになりました。
              たまに送りつけられてくる訓練のフィッシングメールも当然その常時が挿入されてます。
        • by Anonymous Coward

          そのことを誰が保証するの?

          • by Anonymous Coward

            社内システム屋。そのルールは公表すべき。

            自社のドメインは自社内ですかとか、自社のDNSは信用できますかとか、
            社内認証局は信用できますかとか、聞くのと同じくらい無意味だよ。
            そんなんじゃ仕事まわせないだろ。

            ようするにそこで騙されてもユーザーのせいではない。

        • by Anonymous Coward

          「メールサーバが弾いてくれるものだと思ってました、サーセンw」で済むといいね

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...