パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

今年は年末のボーナスを支給しないGoDaddy、ソーシャルエンジニアリング攻撃対応訓練メールでボーナスに言及して批判される」記事へのコメント

  • https://coppercourier.com/story/godaddy-employees-holiday-bonus-secrui... [coppercourier.com]
    にはGoDaddy自社ドメインが送信元の訓練メールのスクリーンショットがあるんですが。
    これは信じても仕方ない気がする。

    • by Anonymous Coward

      メーラーに表示されるヘッダーFromだけ見て自社ドメインが送信元と決めつけるのは、ちょっと教養足りてないんとちゃいますのん?

      • by Anonymous Coward on 2020年12月26日 21時49分 (#3949437)

        そこを偽装したのが外から来たら、メールサーバーが弾くでしょ。

        親コメント
        • by Ryo.F (3896) on 2020年12月26日 22時18分 (#3949453) 日記

          必ずしもそうは言えないんじゃない?
          たとえば、外部のメーリングリストサービスを利用していれば、その組織のメールアドレスを送信者にしたメールが、外部から届くことはあるだろ?
          多くの組織では、外部のメーリングリストサービスの利用を禁止してはいないと思うよ。

          親コメント
          • 組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。
            DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。

            更に言うと、社内メールは、特別な色のフラグを表示する(改竄できない特殊なヘッダーを使用してMUAに設定したルールでフラグを表示)するとか、社内メールは外部からのメールを受信できない専用のメールアドレスを使うなどとした方がよい。

            システム管理者が、それすらできていないなら、ユーザがフィッシング詐欺に騙されないように啓蒙する以前の問題。

            • 組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。

              外部メーリングリストサービスを利用していれば、そのメールとな成りすましメールを区別するのは、言う程簡単じゃないじゃない。
              なのに、システム管理者を無能呼ばわりするのはかわいそうじゃない?

              DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。

              DKIM・DMARCを使っても、完全では無いよね。
              だとすると、削除は大抵の環境では難しいんじゃないかな。

              DKIM・DMARCの検証失敗をユーザに判りやすく伝えるのは悪くないと思う。
              ただ、いつも見るけど、大抵怪しくは無いヤツ、ってユーザに学習されるとこれまたダメなわけで。

              スラドのコメント程度で簡単に解決する問題なら、とっくに解決してるわけで。

              親コメント
              • by Anonymous Coward

                外部メーリングリストサービスを利用していれば

                DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。
                もし使うならば送信元のIPアドレスを保証させるなどして、そのIPアドレスだけを特例とするなど。

                だとすると、削除は大抵の環境では難しいんじゃないかな。

                自社ドメイン名に関してだけいえば、簡単。
                (何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)

                スラドのコメント程度で簡単に解決する問題なら、

              • DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。

                それはそれで一つの解決策です。
                が、それを徹底できる組織は多くは無いと思います。

                (何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)

                小さい組織ならそれでいいでしょうね。
                ある程度以上の規模の組織になると、なんらか、ユーザがシステム管理者の手を煩わせず、自分で確認できるようにしとかないと、運用困難だと思います。

                まともな企業ならとっくに解決してますよ?

                結構な企業がフィッシングメールで被害を受けているわけですが、それらをすべて「まとも」でない、と定義すればその通りですね。

                システム管理者が居ない中小企業なら、「社内メール」と「社外メール」をメールアドレスレベルで完全に分けて、社内メールの方では外部からのメールの受信自体できなくするのが一番簡単。

                まあ、それができる環境ならそうすれば良いと思います。

                一般的には、メールの中のリンクは安易に踏むな、と言えばいい。
                少なくとも、社内の手続きは、メールでURLを案内せず、社内ポータルウェブ経由で内容を確認せよ、とするべきでしょう。

                親コメント
            • by Anonymous Coward

              「色のフラグ」って何?
              ある特定のMUAしか使用しない事が前提?
              視覚障害者は無視?

              • by Anonymous Coward

                > 「色のフラグ」って何?
                メールサーバでメールヘッダーに社内メールに対して "X-Within-Company-Flag: 1" みたいなのを付けてMUA側で件名の横等に「赤いフラグ」等を付けるという意味。
                大抵のMUAではメールヘッダー等を条件にして振分とかフラグ指定などができる。その設定はシステム管理者が設定すればいい。
                無論、外部から不正に "X-Within-Company-Flag: 1" を付けていたら、メールサーバで、そのヘッダーは削除するかメールごと廃棄するなどする。

                > ある特定のMUAしか使用しない事が前提?
                大手企業ならばシステム管理者が導入・管理している特定のMUAを強制するのが普通では?
                各自が好き勝手なMUAの好きなバージョンを勝手に使うの?
                それだと脆弱性のあるバージョンとか放置されそうだね

                > 視覚障害者は無視?
                色が無くてもフラグは見分けられるし、MUAがどう見せるかの部分の設定だけ変えときゃいいのでは。

            • by Anonymous Coward
              北米の企業ですが、外部からのメールはSubjectにその旨の表示が挿入されるようになりました。
              たまに送りつけられてくる訓練のフィッシングメールも当然その常時が挿入されてます。
        • by Anonymous Coward

          そのことを誰が保証するの?

          • by Anonymous Coward

            社内システム屋。そのルールは公表すべき。

            自社のドメインは自社内ですかとか、自社のDNSは信用できますかとか、
            社内認証局は信用できますかとか、聞くのと同じくらい無意味だよ。
            そんなんじゃ仕事まわせないだろ。

            ようするにそこで騙されてもユーザーのせいではない。

        • by Anonymous Coward

          「メールサーバが弾いてくれるものだと思ってました、サーセンw」で済むといいね

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...