IPA、標的型攻撃メール訓練での実在する組織名の使用に対し考慮を求める 42
ストーリー by hylom
勝手に名乗るのはアウトでしょう 部門より
勝手に名乗るのはアウトでしょう 部門より
最近よく行われているという「標的型攻撃メール訓練」について、IPA(情報処理推進機構)が注意を促している(ZDNet Japan)。
最近ではこういった「訓練」を実施している企業が増えているそうだが、その訓練の際に「IPA」の名前を使っているケースがあり、そのためIPAに対し「IPAを語った不審なメールを受信した」という報告が寄せられることもあったという。
これに対しIPAは、「実在する組織名を使った訓練では、訓練メールに使われた実在の組織に問い合わせが入る可能性があります」「メール受信者が注意喚起等を目的としてSNSで訓練メールの内容を投稿した結果、SNS上の拡散により実在する組織の風評被害が発生する」などとし、「実施目的を明確にして訓練内容を決定する」ことに加えて、訓練による第三者への影響を考慮するよう求めている。
注意を促すだけ (スコア:1)
「実在する組織名を使った訓練はやめて、実在しない組織名を使いましょう」
確かに言っていることは正しいけど、実際の攻撃では実在名を使ってくるから訓練の価値がどうしても下がっちゃうよね。
せっかくのIPAなんだから、訓練用の送信内容などを添えて申請したらIPAの名前を訓練に利用できるようにしたらいい。
訓練実施側は実在組織名使えるし、IPA側はどういった訓練が行われているのか把握できて今後のセキュリティ啓蒙に活かせるしでいいと思うのに。
Re:注意を促すだけ (スコア:1)
弊社でも訓練のためこの手のメールが来ますが、
もはや社員を騙すことが目的にすり替わっているように思えてならないです。
Re:注意を促すだけ (スコア:1)
本物は「社員を騙すことが目的」なんだからそれでいいのではないでしょうか
Re: (スコア:0)
悪名は無名に勝る、と言ってウチの名前を使ってくださいという会社が出てきたりして。
名乗りを上げるのが極めて実用的な訓練になる会社だったら、それはそれで嫌だな。
#該当する具体的な会社は思い浮かびませんが。
Re: (スコア:0)
セキュリティ関連の企業なら営業活動になるんじゃないかな?
問い合わせ入れるのは比較的セキュリティ意識が高い人だからテレアポするより効率よさそう。
Re: (スコア:0)
迷惑だからやめてくれとは言ってないようだから、純粋に迂闊に実在する組織名を語ると大変なことになるかもしれませんよ?という注意喚起なんじゃ。
でも実在の会社名使わないと実践的な訓練にならないんじゃ… (スコア:0)
なんかうまい方法ないものかねえ
Re:でも実在の会社名使わないと実践的な訓練にならないんじゃ… (スコア:2)
「消防署の方から来ました」と言って消火器だの火災報知器だの売り込むとかいう話がありますが、これを訓練だからといって「消防署」を何かに置き換えたら全然訓練にならない気がしますね。権威があるように装うのが肝だから。うーむ。
Re:でも実在の会社名使わないと実践的な訓練にならないんじゃ… (スコア:2, すばらしい洞察)
実在の会社が件のメールをばら撒けば問題なくなるんじゃない?
Re:でも実在の会社名使わないと実践的な訓練にならないんじゃ… (スコア:1)
自社名でやるのは?
自社に社名付きでメール出すのも変だし、実際は部署名とかになると思うが
Re: (スコア:0)
EXCEL、WORDなんかさくっと開いちゃう自信あるわ。
あまりにノーガードすぎて訓練にならんからでは?w
Re:でも実在の会社名使わないと実践的な訓練にならないんじゃ… (スコア:1)
1.「御社からウイルスメールらしきものが大量に届くので、至急システムの担当と連絡とりたい」(会社の公開メールアドレスへ)
2.システム担当から返信(名前、メールアドレスGET)
3.(システム担当のアドレスで)「関係者各位。当社のPCがウイルスに感染の疑い。至急、添付の駆除プログラムを実行すること」
という訓練を・・・したら怒られるだろうな。
Re:でも実在の会社名使わないと実践的な訓練にならないんじゃ… (スコア:1)
5年ほど前に 3.に近いことを、システム管理部署がいきなりやりました。
警察に通報が行ったそうです。
Re: (スコア:0)
exampleみたいな?
Re: (スコア:0)
グループ会社に頼んで「犯人役」をやってもらうとか、
同じ訓練に参加している別の会社と犯人役を互いに交代で担当するとか、
実在の会社でもやりようはあると思う。
IPAのこれは、「auのトラブルで、「110番」に電話が殺到!?」と同じで、
避けるべき失敗パターンの一つだな。 無関係の組織に迷惑かけちゃいかんわ。
https://srad.jp/story/06/11/22/0051252/ [srad.jp]
Re: (スコア:0)
自グループの関連会社とかを装ったメールにすればいいんじゃね。もしそれが問題だと思うなら、なぜ赤の他人に迷惑をかけるのが問題ないと思えるのか。
Re: (スコア:0)
多少の金を払って話を通しておけばいいんじゃない?
Re: (スコア:0)
コントソ社
IPAを語った不審なメール (スコア:0)
IPAの資格はいいぞお。国家資格だからな。就職にも有利だ。
以下皆さん適宜語って下さい。
#夏だしこういう寒いコメントもいいだろ。
Re:IPAを語った不審なメール (スコア:1)
> IPAの資格はいいぞお
日本ビール検定(インディアペールエール編)のこと?
じゃあ、どうする? (スコア:0)
1PA
IqA
IP∀
Re: (スコア:0)
ΙΡΑですかねぇ…
Re: (スコア:0)
コードが違ってもコピペするわけじゃないんだし、普通に電話されちゃうのでは。
ビール (スコア:0)
のIPAは好きだが
Re:ビール (スコア:1)
IPA [sigmaaldrich.com]入りのビールなんてやだなぁ
と素で誤読した。
Re: (スコア:0)
プロパノールはさすがにロシア人も飲まんでしょ。
ただ実験室にあるエタノールはロシア人に見せてはダメだと先輩に言われたことがある。
ロシア人もこの件に関しては否定していなかった。
Re:EXAMPLE.COM (スコア:0)
EXAMPLE.comを仮想ドメインとして評価につかってたら
実在したでござるの巻き
Re: (スコア:0)
EXAMPLE.comを仮想ドメインとして評価につかってたら
実在したでござるの巻き
example.comは実例として使って良いので、問題ないのでは?
Re: (スコア:0)
しかし詐欺メールの啓発としては役に立たない
非実在企業の権利は侵害されてもいいと (スコア:0)
いうのだね
Re:非実在企業の権利は侵害されてもいいと (スコア:1)
当然、権利も非実在だからな。
まず社内で報告 (スコア:0)
不審メールを受信したら、まずは社内のセキュリティ担当に連絡するでしょ?と思ったら、リンク先にもそう書いてある。
外に連絡しているようでは訓練不合格だね。SNSに投稿とか論外でしょ。
Re: (スコア:0)
あのさぁ・・・
不合格者が出る環境だからこそ訓練やる必要があるんだろ
Re: (スコア:0)
でもさ、外に連絡するのは、不審メールに気づくことができる人達なわけでしょ?
そこで大騒ぎして外に連絡するのは、訓練以前の問題として、教育を受けていないんじゃないのかな?
IPAの宣伝だと思えば (スコア:0)
これはIPAの宣伝だと思えば良いんじゃない?
他の組織だと、確かに問題になると思うけど
今回のセキュリティ対策については、IPAの宣伝にもなると思うんだけど
ただ代表電話に電話かけられると、対応するのも確かに面倒なので
専用の自動応答電話を用意して、注意喚起の自動応答を返すようにすれば良いかとww
「この電話にかけたあなたは問題がある可能性があります」とかね。
Re: (スコア:0)
どうやって専用の自動応答電話の番号に誘導するの?
Re: (スコア:0)
訓練のメールに電話番号書いておけばいいんじゃないでしょうか。
Re: (スコア:0)
あやしいメールの電話番号に電話するか?
Re: (スコア:0)
引っ掛け問題ですから、電話してきた人には再教育ですよ
社長名義 (スコア:0)
それで誰かに迷惑かかると思ってるなら、他の組織名つかっちゃ駄目だし
ここまで (スコア:0)
セキュリティ評価用ドメインを取得し、Webで
「セキュリティ評価のためのドメイン」
であることを明記して・・・
みたいな案が無いのは、誰もそんな無駄ドメインを取りたくないってこと?
exampleはとられっちゃったんですよねぇ。
hogehogeも取られちゃってるみたいだし。
取引先に謝礼渡して (スコア:0)
取引先に謝礼を渡して標的型メールを送ってもらえばいい
各社で詐称されそうなドメインは抑えてるだろうし
取引先美人女子社員から愛のメッセージが届いたり・・・