パスワードを忘れた? アカウント作成
13369253 story
セキュリティ

IPA、標的型攻撃メール訓練での実在する組織名の使用に対し考慮を求める 42

ストーリー by hylom
勝手に名乗るのはアウトでしょう 部門より

最近よく行われているという「標的型攻撃メール訓練」について、IPA(情報処理推進機構)が注意を促しているZDNet Japan)。

最近ではこういった「訓練」を実施している企業が増えているそうだが、その訓練の際に「IPA」の名前を使っているケースがあり、そのためIPAに対し「IPAを語った不審なメールを受信した」という報告が寄せられることもあったという。

これに対しIPAは、「実在する組織名を使った訓練では、訓練メールに使われた実在の組織に問い合わせが入る可能性があります」「メール受信者が注意喚起等を目的としてSNSで訓練メールの内容を投稿した結果、SNS上の拡散により実在する組織の風評被害が発生する」などとし、「実施目的を明確にして訓練内容を決定する」ことに加えて、訓練による第三者への影響を考慮するよう求めている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年08月03日 18時23分 (#3255550)

    「実在する組織名を使った訓練はやめて、実在しない組織名を使いましょう」
    確かに言っていることは正しいけど、実際の攻撃では実在名を使ってくるから訓練の価値がどうしても下がっちゃうよね。

    せっかくのIPAなんだから、訓練用の送信内容などを添えて申請したらIPAの名前を訓練に利用できるようにしたらいい。
    訓練実施側は実在組織名使えるし、IPA側はどういった訓練が行われているのか把握できて今後のセキュリティ啓蒙に活かせるしでいいと思うのに。

    • by Anonymous Coward on 2017年08月03日 20時05分 (#3255613)

      弊社でも訓練のためこの手のメールが来ますが、
      もはや社員を騙すことが目的にすり替わっているように思えてならないです。

      親コメント
    • by Anonymous Coward

      悪名は無名に勝る、と言ってウチの名前を使ってくださいという会社が出てきたりして。
      名乗りを上げるのが極めて実用的な訓練になる会社だったら、それはそれで嫌だな。

      #該当する具体的な会社は思い浮かびませんが。

      • by Anonymous Coward

        セキュリティ関連の企業なら営業活動になるんじゃないかな?
        問い合わせ入れるのは比較的セキュリティ意識が高い人だからテレアポするより効率よさそう。

    • by Anonymous Coward

      迷惑だからやめてくれとは言ってないようだから、純粋に迂闊に実在する組織名を語ると大変なことになるかもしれませんよ?という注意喚起なんじゃ。

  • なんかうまい方法ないものかねえ

  • by Anonymous Coward on 2017年08月03日 18時31分 (#3255558)

    IPAの資格はいいぞお。国家資格だからな。就職にも有利だ。
    以下皆さん適宜語って下さい。
    #夏だしこういう寒いコメントもいいだろ。

  • by Anonymous Coward on 2017年08月03日 19時21分 (#3255584)

    1PA
    IqA
    IP∀

    • by Anonymous Coward

      ΙΡΑですかねぇ…

      • by Anonymous Coward

        コードが違ってもコピペするわけじゃないんだし、普通に電話されちゃうのでは。

  • by Anonymous Coward on 2017年08月03日 19時53分 (#3255601)

    のIPAは好きだが

    • by shinshimashima (9763) on 2017年08月04日 4時05分 (#3255780) 日記

      IPA [sigmaaldrich.com]入りのビールなんてやだなぁ

      と素で誤読した。

      親コメント
      • by Anonymous Coward

        プロパノールはさすがにロシア人も飲まんでしょ。
        ただ実験室にあるエタノールはロシア人に見せてはダメだと先輩に言われたことがある。
        ロシア人もこの件に関しては否定していなかった。

  • by Anonymous Coward on 2017年08月03日 19時55分 (#3255604)

    EXAMPLE.comを仮想ドメインとして評価につかってたら
    実在したでござるの巻き

    • by Anonymous Coward

      EXAMPLE.comを仮想ドメインとして評価につかってたら
      実在したでござるの巻き

      example.comは実例として使って良いので、問題ないのでは?

      • by Anonymous Coward

        しかし詐欺メールの啓発としては役に立たない

  • by Anonymous Coward on 2017年08月03日 20時03分 (#3255611)

    いうのだね

  • by Anonymous Coward on 2017年08月03日 20時07分 (#3255615)

    不審メールを受信したら、まずは社内のセキュリティ担当に連絡するでしょ?と思ったら、リンク先にもそう書いてある。

    もし勤務先のメールアドレスで不審なメールを受信した場合、受信者は各々で送信元に送信有無を確認するのではなく、システム管理部門やセキュリティの責任者等、内部の然るべき部門や担当者に報告するべきです。組織としても、そのような体制や運用ルールが確立、周知されているかを改めて確認しておくことが望まれます。

    外に連絡しているようでは訓練不合格だね。SNSに投稿とか論外でしょ。

    • by Anonymous Coward

      あのさぁ・・・
      不合格者が出る環境だからこそ訓練やる必要があるんだろ

      • by Anonymous Coward

        でもさ、外に連絡するのは、不審メールに気づくことができる人達なわけでしょ?
        そこで大騒ぎして外に連絡するのは、訓練以前の問題として、教育を受けていないんじゃないのかな?

  • by Anonymous Coward on 2017年08月03日 21時36分 (#3255671)

    これはIPAの宣伝だと思えば良いんじゃない?

    他の組織だと、確かに問題になると思うけど
    今回のセキュリティ対策については、IPAの宣伝にもなると思うんだけど
    ただ代表電話に電話かけられると、対応するのも確かに面倒なので
    専用の自動応答電話を用意して、注意喚起の自動応答を返すようにすれば良いかとww
    「この電話にかけたあなたは問題がある可能性があります」とかね。

    • by Anonymous Coward

      どうやって専用の自動応答電話の番号に誘導するの?

      • by Anonymous Coward

        訓練のメールに電話番号書いておけばいいんじゃないでしょうか。

        • by Anonymous Coward

          あやしいメールの電話番号に電話するか?

          • by Anonymous Coward

            引っ掛け問題ですから、電話してきた人には再教育ですよ

  • by Anonymous Coward on 2017年08月04日 6時46分 (#3255790)
    自分の会社の社長名義で良いよね
    それで誰かに迷惑かかると思ってるなら、他の組織名つかっちゃ駄目だし
  • by Anonymous Coward on 2017年08月04日 13時16分 (#3255939)

    セキュリティ評価用ドメインを取得し、Webで
    「セキュリティ評価のためのドメイン」
    であることを明記して・・・
    みたいな案が無いのは、誰もそんな無駄ドメインを取りたくないってこと?

    exampleはとられっちゃったんですよねぇ。
    hogehogeも取られちゃってるみたいだし。

  • by Anonymous Coward on 2017年08月04日 15時53分 (#3256025)

    取引先に謝礼を渡して標的型メールを送ってもらえばいい
    各社で詐称されそうなドメインは抑えてるだろうし

    取引先美人女子社員から愛のメッセージが届いたり・・・

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...