パスワードを忘れた? アカウント作成
15031843 story
お金

今年は年末のボーナスを支給しないGoDaddy、ソーシャルエンジニアリング攻撃対応訓練メールでボーナスに言及して批判される 81

ストーリー by headless
訓練 部門より
ドメイン登録やホスティングサービスを提供するGoDaddyが従業員を対象に実施したソーシャルエンジニアリング攻撃対応訓練で、年末ボーナスを受け取るには申請が必要、といった趣旨の電子メールを送信したことが批判されている(The Copper Courierの記事12 Newsの記事The Vergeの記事Mashableの記事)。

GoDaddyはCOVID-19パンデミック下で記録的成長を遂げる一方、大規模な人員削減を発表している。今年はボーナスも支給しないと従業員に伝えていたそうだ。しかし、14日に従業員へ送られたフィッシング詐欺テストメールには、GoDaddyにとっては記録的な1年だったがパーティーを開くこともできないので650ドルのボーナスを支給すると記載。ボーナスを受け取るには地域別のリンク先で12月18日までに情報を入力する必要があると説明している。

しかし、リンクをクリックして情報を入力した500人ほどの従業員は、ボーナスではなくトレーニングを再受講する必要があるとの通知を受け取ることになる。

近年は従業員を対象にしたソーシャルエンジニアリング攻撃がサイバー攻撃の重要なベクターとなっており、GoDaddyも被害にあって顧客情報を流出させている。ソーシャルエンジニアリング攻撃対応訓練の重要度も増しているが、このような状況下でボーナス支給に言及する訓練用メールが気に障った従業員も多いようだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by bigface (47795) on 2020年12月26日 20時08分 (#3949401) 日記

    https://coppercourier.com/story/godaddy-employees-holiday-bonus-secrui... [coppercourier.com]
    にはGoDaddy自社ドメインが送信元の訓練メールのスクリーンショットがあるんですが。
    これは信じても仕方ない気がする。

    • by Anonymous Coward on 2020年12月26日 21時04分 (#3949419)

      正規の業務メールと判別できないもので不合格なら
      気に食わない指示なんかのメールも迷惑メール扱いで無視して問題ないよね

      親コメント
    • by Anonymous Coward

      メーラーに表示されるヘッダーFromだけ見て自社ドメインが送信元と決めつけるのは、ちょっと教養足りてないんとちゃいますのん?

      • by bigface (47795) on 2020年12月27日 8時52分 (#3949556) 日記

        米国等でお馴染みのヤツ。
        「no bonus」、からの、「surprise!HAHAHA!」みたいな。
        本文から見抜くのは難しい気がします。

        新型肺炎以降在宅勤務者多そうだし、配送ルートに社外サーバーを含み、かつ送信元が自社ドメインであるパターンも日常化してそう。
        ヘッダーからフィッシングだと判断できるかな?

        親コメント
      • by Ryo.F (3896) on 2020年12月26日 22時13分 (#3949450) 日記

        しかし、一般ユーザの事を考えれば、その程度のレベルを前提に対策するしかないんじゃね?
        それを「教養が足りない」って言って切り捨てても、何の対策にもならない。

        親コメント
      • by Anonymous Coward

        そこを偽装したのが外から来たら、メールサーバーが弾くでしょ。

        • by Ryo.F (3896) on 2020年12月26日 22時18分 (#3949453) 日記

          必ずしもそうは言えないんじゃない?
          たとえば、外部のメーリングリストサービスを利用していれば、その組織のメールアドレスを送信者にしたメールが、外部から届くことはあるだろ?
          多くの組織では、外部のメーリングリストサービスの利用を禁止してはいないと思うよ。

          親コメント
          • 組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。
            DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。

            更に言うと、社内メールは、特別な色のフラグを表示する(改竄できない特殊なヘッダーを使用してMUAに設定したルールでフラグを表示)するとか、社内メールは外部からのメールを受信できない専用のメールアドレスを使うなどとした方がよい。

            システム管理者が、それすらできていないなら、ユーザがフィッシング詐欺に騙されないように啓蒙する以前の問題。

            • 組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。

              外部メーリングリストサービスを利用していれば、そのメールとな成りすましメールを区別するのは、言う程簡単じゃないじゃない。
              なのに、システム管理者を無能呼ばわりするのはかわいそうじゃない?

              DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。

              DKIM・DMARCを使っても、完全では無いよね。
              だとすると、削除は大抵の環境では難しいんじゃないかな。

              DKIM・DMARCの検証失敗をユーザに判りやすく伝えるのは悪くないと思う。
              ただ、いつも見るけど、大抵怪しくは無いヤツ、ってユーザに学習されるとこれまたダメなわけで。

              スラドのコメント程度で簡単に解決する問題なら、とっくに解決してるわけで。

              親コメント
              • DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。

                それはそれで一つの解決策です。
                が、それを徹底できる組織は多くは無いと思います。

                (何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)

                小さい組織ならそれでいいでしょうね。
                ある程度以上の規模の組織になると、なんらか、ユーザがシステム管理者の手を煩わせず、自分で確認できるようにしとかないと、運用困難だと思います。

                まともな企業ならとっくに解決してますよ?

                結構な企業がフィッシングメールで被害を受けているわけですが、それらをすべて「まとも」でない、と定義すればその通りですね。

                システム管理者が居ない中小企業なら、「社内メール」と「社外メール」をメールアドレスレベルで完全に分けて、社内メールの方では外部からのメールの受信自体できなくするのが一番簡単。

                まあ、それができる環境ならそうすれば良いと思います。

                一般的には、メールの中のリンクは安易に踏むな、と言えばいい。
                少なくとも、社内の手続きは、メールでURLを案内せず、社内ポータルウェブ経由で内容を確認せよ、とするべきでしょう。

                親コメント
            • by Anonymous Coward

              「色のフラグ」って何?
              ある特定のMUAしか使用しない事が前提?
              視覚障害者は無視?

        • by Anonymous Coward

          そのことを誰が保証するの?

          • by Anonymous Coward

            社内システム屋。そのルールは公表すべき。

            自社のドメインは自社内ですかとか、自社のDNSは信用できますかとか、
            社内認証局は信用できますかとか、聞くのと同じくらい無意味だよ。
            そんなんじゃ仕事まわせないだろ。

            ようするにそこで騙されてもユーザーのせいではない。

        • by Anonymous Coward

          「メールサーバが弾いてくれるものだと思ってました、サーセンw」で済むといいね

  • by Anonymous Coward on 2020年12月26日 19時15分 (#3949381)

    この程度のブービートラップに引っかかるような愚か者はクビだ!と言われるよりは。

  • by Anonymous Coward on 2020年12月26日 19時31分 (#3949386)

    この手の訓練メールって、作る側のレベルが低いから、スキルのある人ほどが引っかかったことにされるという問題がある。

    例えば、メールヘッダーまで確認して、組織内の正規のメールサーバーから送信されていることと、リンク先のドメイン名のIPアドレスがLAN内の正規のWebサーバとなっていることを確認して情報入力しても、
    「はいこれはフィッシングメールの訓練でした。情報乳利力した人は再教育プログラムを~」
    となったりする。

    酷い組織だと、仮想環境からリンク先にアクセスしただけでも引っかかったことにされてしまう。

    実際こういう「訓練」をやるならば、外部のレンタルサーバと紛らわしいドメイン名(もしくはfromの詐称などを実際に行う)などを使用するなどして、実践に近い状況を再現すべきだが、そこまでせずに正規のメールサーバと正規のWebサーバで訓練するといったろくでもない組織が多い。

    • 発信元が社内なら安全でハッキングされる可能性ゼロの会社ですか?
      仮想環境からアクセスするときはアクセス元IPがランダマイズされるぐらいの対策してますか?
      あと「ボーナスを支給」にあたって「情報を入力する必要がある」企業は存在しないと思うがな。

      特殊な条件で支払いになるんで情報を確認してアップデートしろってのなら分からんでもないが、その場合リンクとかは必要なくログインして更新しろって話にしかならんだろ。
      今回は全員が対象なんで通達で終わるような話だと思う。

      親コメント
      • by Anonymous Coward

        発信元が社内、かつIPアドレスがLAN内の正規のWebサーバであることを確認しているとのことなので、社内Webサーバが1台なら「ログインして更新」する場合と同じWebサーバになるよね。
        社内Webサーバがハッキングされて改竄されているとするならば、ログインして更新したって同じことでしょ。

        アクセス元IPをランダマイズ?
        意味分かって言ってんの?
        社内から社外にアクセスするならば、きちんとした組織ならばそもそも会社のプロキシサーバのIPアドレスになるのが普通だし、LAN内で自分のIPアドレスを詐称するならばその方が問題だぞ。

        仮想環境を使うのは、ブラウザの脆弱性を狙ったゼロデイ攻撃に遇っても安全性を保つため。

    • 情報乳利力とは・・・

      親コメント
    • > 仮想環境からリンク先にアクセスしただけ

      これはやっぱ避けた方がよくね?
      リンクのURLに、誰がリンクを踏んだかを特定できるIDがこっそりつけられてる可能性もある。
      メールアドレスが生きてるかどうか、程度の情報でも、スパマーには嬉しいもんだからなあ。
      スパマーには1ビットの情報すら渡したくねーべ。

      親コメント
    • 普通、偽造の可能性を否定しきれないメール内のリンクを安易に踏むのは良くない、と思うんじゃね?
      一般人程度のレベルをターゲットにする訓練なら、外部のレンタルサーバかどうかなんてのはどうでもよくて、少しでもあやしいメールの中のリンクは踏むな、ってルールの徹底を目指した方が、効果が高いと思うよ。

      親コメント
    • だいたい訓練メールなんて個人特定のためにリンクに何らかの情報が付与されているんだから、訓練メールだろうと疑ってる時点で個人特定っぽい文字列を適当に書き換えてアクセスしてない時点でスキルないと思う。

      親コメント
    • by Anonymous Coward

      うちのところは発信元メールがgmail.com等だと警告のタグが付くがgo.jpでも付くクソ仕様
      発信元偽装にも対応しているか疑問

    • by Anonymous Coward

      「スキルの高い奴(自分のこと)を組織は正しく評価できない」系のコメントって何でこんなに頭悪そうに見えるんだろう
      ゼロトラストとか知らなそう

    • by Anonymous Coward

      システム管理者でもないのに、会社の環境で勝手にウイルスメールっぽいものを開く行動を取ること自体が
      そもそも問題のある社員だと思う。

      業務等に無関係なメールならいくら偽物だとわかっても興味本位で開くべきではないし
      真正か迷う内容なら確かめる手順が会社側に決められてるだろうし(システム管理者に問い合わせるとか。定められてないなら会社にも問題あり)
      ルールがあるのに勝手に検疫して、安全と自己判断しているなら更に悪質

      • システム管理者でもないのに、会社の環境で勝手にウイルスメールっぽいものを開く行動を取ること自体がそもそも問題のある社員だと思う。

        実際問題、あからさまに怪しい、というメールでない限り、開いてしまうのは仕方ないとして、対策するしかないよ。
        今回だって、ボーナスは支給しない、というお知らせの後のこのメールなんだろ?
        これが怪しいかどうか、メールを開かずに判断するのは難しいし、開いたとしても怪しいと判断できるかは疑問。
        だとすると、「怪しいメールは開くな」では対策にならないと考えざるを得ない。

        親コメント
    • by Anonymous Coward

      その程度の訓練をしてるところなら、正規のメールサーバーとWebサーバーであってもアカウント乗っ取りやハッキング済みの可能性が有る。
      リンクを踏まずに、メール以外の方法の内線電話とかで真贋を確認しなきゃ。

      • その程度の訓練をしてるところなら、正規のメールサーバーとWebサーバーであってもアカウント乗っ取りやハッキング済みの可能性が有る。

        なんだその言いがかり。

        中にはヘッダとかを確認する知恵を持ってる人もいるだろうけど、一般ユーザ向けとしてはその程度の訓練で十分。
        社外のシステムを使った方がより本物っぽい、と言うのはその通りだろうけど、そうするかどうかは、ポリシーによる。
        メール内のリンクを踏んじゃダメ、って言うルールを無視して仮想環境で開いちゃう半端な知恵を持ってる人もあぶり出せたし、良かったとも言える。

        そう言った訓練のレベルの選択と、社内のサーバがクラッキングされてるかどうかは無関係。
        それを関係あるかの如く言うのは、ハッキリ言って言いがかり。

        親コメント
      • by Anonymous Coward

        正規のサーバがクラッキングされているのならば、そもそも全ての業務が危険に晒されてますよね。
        いつも使っている正規の業務システムも悪意のある第三者に情報を中継するようになってるかもしれないし、フィッシング詐欺訓練以前の問題。

  • 当選発表は発送を以て代えさせていただきます

  • by Anonymous Coward on 2020年12月26日 20時27分 (#3949409)

    実際に狙われる可能性が高いものを訓練しなくてどうするの? サイバー犯罪者は倫理的だから非人道的な攻撃はしないとでも言うのか?

  • by Anonymous Coward on 2020年12月26日 20時50分 (#3949416)

    という事を教えてくれる良い記事。

  • by Anonymous Coward on 2020年12月26日 22時45分 (#3949471)

    社内向けポータルにも掲載して、メールとポータルの記事が一致しなければ怪しいメールってしとけばいいのに。
    意識が高いと自称してる人は何故かこういう運用を嫌うけどさ

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...