今年は年末のボーナスを支給しないGoDaddy、ソーシャルエンジニアリング攻撃対応訓練メールでボーナスに言及して批判される 81
ストーリー by headless
訓練 部門より
訓練 部門より
ドメイン登録やホスティングサービスを提供するGoDaddyが従業員を対象に実施したソーシャルエンジニアリング攻撃対応訓練で、年末ボーナスを受け取るには申請が必要、といった趣旨の電子メールを送信したことが批判されている(The Copper Courierの記事、 12 Newsの記事、 The Vergeの記事、 Mashableの記事)。
GoDaddyはCOVID-19パンデミック下で記録的成長を遂げる一方、大規模な人員削減を発表している。今年はボーナスも支給しないと従業員に伝えていたそうだ。しかし、14日に従業員へ送られたフィッシング詐欺テストメールには、GoDaddyにとっては記録的な1年だったがパーティーを開くこともできないので650ドルのボーナスを支給すると記載。ボーナスを受け取るには地域別のリンク先で12月18日までに情報を入力する必要があると説明している。
しかし、リンクをクリックして情報を入力した500人ほどの従業員は、ボーナスではなくトレーニングを再受講する必要があるとの通知を受け取ることになる。
近年は従業員を対象にしたソーシャルエンジニアリング攻撃がサイバー攻撃の重要なベクターとなっており、GoDaddyも被害にあって顧客情報を流出させている。ソーシャルエンジニアリング攻撃対応訓練の重要度も増しているが、このような状況下でボーナス支給に言及する訓練用メールが気に障った従業員も多いようだ。
GoDaddyはCOVID-19パンデミック下で記録的成長を遂げる一方、大規模な人員削減を発表している。今年はボーナスも支給しないと従業員に伝えていたそうだ。しかし、14日に従業員へ送られたフィッシング詐欺テストメールには、GoDaddyにとっては記録的な1年だったがパーティーを開くこともできないので650ドルのボーナスを支給すると記載。ボーナスを受け取るには地域別のリンク先で12月18日までに情報を入力する必要があると説明している。
しかし、リンクをクリックして情報を入力した500人ほどの従業員は、ボーナスではなくトレーニングを再受講する必要があるとの通知を受け取ることになる。
近年は従業員を対象にしたソーシャルエンジニアリング攻撃がサイバー攻撃の重要なベクターとなっており、GoDaddyも被害にあって顧客情報を流出させている。ソーシャルエンジニアリング攻撃対応訓練の重要度も増しているが、このような状況下でボーナス支給に言及する訓練用メールが気に障った従業員も多いようだ。
自社ドメイン? (スコア:2)
https://coppercourier.com/story/godaddy-employees-holiday-bonus-secrui... [coppercourier.com]
にはGoDaddy自社ドメインが送信元の訓練メールのスクリーンショットがあるんですが。
これは信じても仕方ない気がする。
Re:自社ドメイン? (スコア:1)
正規の業務メールと判別できないもので不合格なら
気に食わない指示なんかのメールも迷惑メール扱いで無視して問題ないよね
Re:自社ドメイン? (スコア:2)
もう何が本当か分からないし仕方ないですね。
社内に疑心暗鬼の種を蒔く必要ないのに。
OJTということですかね。
Re: (スコア:0)
メーラーに表示されるヘッダーFromだけ見て自社ドメインが送信元と決めつけるのは、ちょっと教養足りてないんとちゃいますのん?
Re:自社ドメイン? (スコア:2)
米国等でお馴染みのヤツ。
「no bonus」、からの、「surprise!HAHAHA!」みたいな。
本文から見抜くのは難しい気がします。
新型肺炎以降在宅勤務者多そうだし、配送ルートに社外サーバーを含み、かつ送信元が自社ドメインであるパターンも日常化してそう。
ヘッダーからフィッシングだと判断できるかな?
Re:自社ドメイン? (スコア:1)
しかし、一般ユーザの事を考えれば、その程度のレベルを前提に対策するしかないんじゃね?
それを「教養が足りない」って言って切り捨てても、何の対策にもならない。
Re: (スコア:0)
だから再教育するって書いてある
Re:自社ドメイン? (スコア:1)
GoDaddyはネットワークが専門
全従業員がフィッシング詐欺に対する知識を持ってるのが当たり前だろう
小さなスタートアップ企業ならそうかも知れません。
しかし、GoDaddyの従業員数は9,000を超ます [godaddy.com]。当然技術者ではない従業員も居るでしょう。
また、ネットワークが専門でも、メールには詳しくない人が居ても不思議はないです。
Re:自社ドメイン? (スコア:1)
いや、ソーシャルエンジニアリング対策は一般教養の範囲内かと。
それはその通りなんだけど、「GoDaddyはネットワークが専門 [srad.jp]」って枕詞で語られるのは違うだろ、ってことです。
Re: (スコア:0)
そこを偽装したのが外から来たら、メールサーバーが弾くでしょ。
Re:自社ドメイン? (スコア:1)
必ずしもそうは言えないんじゃない?
たとえば、外部のメーリングリストサービスを利用していれば、その組織のメールアドレスを送信者にしたメールが、外部から届くことはあるだろ?
多くの組織では、外部のメーリングリストサービスの利用を禁止してはいないと思うよ。
システム管理者が悪い DKIM + DMARC 使え (スコア:0)
組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。
DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。
更に言うと、社内メールは、特別な色のフラグを表示する(改竄できない特殊なヘッダーを使用してMUAに設定したルールでフラグを表示)するとか、社内メールは外部からのメールを受信できない専用のメールアドレスを使うなどとした方がよい。
システム管理者が、それすらできていないなら、ユーザがフィッシング詐欺に騙されないように啓蒙する以前の問題。
Re:システム管理者が悪い DKIM + DMARC 使え (スコア:1)
組織のドメイン名、例えば example.co.jp を成り済ましたメールが届くようになっているなら、もうシステム管理者が無能。
外部メーリングリストサービスを利用していれば、そのメールとな成りすましメールを区別するのは、言う程簡単じゃないじゃない。
なのに、システム管理者を無能呼ばわりするのはかわいそうじゃない?
DKIM と DMARC 使ってそういうメールはメールサーバで削除するか、なりすましメールであることを示すフラグを付けて表示するようにしないと駄目。
DKIM・DMARCを使っても、完全では無いよね。
だとすると、削除は大抵の環境では難しいんじゃないかな。
DKIM・DMARCの検証失敗をユーザに判りやすく伝えるのは悪くないと思う。
ただ、いつも見るけど、大抵怪しくは無いヤツ、ってユーザに学習されるとこれまたダメなわけで。
スラドのコメント程度で簡単に解決する問題なら、とっくに解決してるわけで。
Re:システム管理者が悪い DKIM + DMARC 使え (スコア:1)
DKIM 非対応の外部メーリングリストサービスなんて使うべきではない。
それはそれで一つの解決策です。
が、それを徹底できる組織は多くは無いと思います。
(何を削除したのログを管理者側で確認すれば、誤削除があってもそれを把握できる)
小さい組織ならそれでいいでしょうね。
ある程度以上の規模の組織になると、なんらか、ユーザがシステム管理者の手を煩わせず、自分で確認できるようにしとかないと、運用困難だと思います。
まともな企業ならとっくに解決してますよ?
結構な企業がフィッシングメールで被害を受けているわけですが、それらをすべて「まとも」でない、と定義すればその通りですね。
システム管理者が居ない中小企業なら、「社内メール」と「社外メール」をメールアドレスレベルで完全に分けて、社内メールの方では外部からのメールの受信自体できなくするのが一番簡単。
まあ、それができる環境ならそうすれば良いと思います。
一般的には、メールの中のリンクは安易に踏むな、と言えばいい。
少なくとも、社内の手続きは、メールでURLを案内せず、社内ポータルウェブ経由で内容を確認せよ、とするべきでしょう。
Re: (スコア:0)
「色のフラグ」って何?
ある特定のMUAしか使用しない事が前提?
視覚障害者は無視?
Re: (スコア:0)
そのことを誰が保証するの?
Re: (スコア:0)
社内システム屋。そのルールは公表すべき。
自社のドメインは自社内ですかとか、自社のDNSは信用できますかとか、
社内認証局は信用できますかとか、聞くのと同じくらい無意味だよ。
そんなんじゃ仕事まわせないだろ。
ようするにそこで騙されてもユーザーのせいではない。
Re: (スコア:0)
「メールサーバが弾いてくれるものだと思ってました、サーセンw」で済むといいね
トレーニング再受講程度でよかったんじゃないの (スコア:1)
この程度のブービートラップに引っかかるような愚か者はクビだ!と言われるよりは。
この手の訓練ってスキルのある人が引っかかったことにされる (スコア:0, すばらしい洞察)
この手の訓練メールって、作る側のレベルが低いから、スキルのある人ほどが引っかかったことにされるという問題がある。
例えば、メールヘッダーまで確認して、組織内の正規のメールサーバーから送信されていることと、リンク先のドメイン名のIPアドレスがLAN内の正規のWebサーバとなっていることを確認して情報入力しても、
「はいこれはフィッシングメールの訓練でした。情報乳利力した人は再教育プログラムを~」
となったりする。
酷い組織だと、仮想環境からリンク先にアクセスしただけでも引っかかったことにされてしまう。
実際こういう「訓練」をやるならば、外部のレンタルサーバと紛らわしいドメイン名(もしくはfromの詐称などを実際に行う)などを使用するなどして、実践に近い状況を再現すべきだが、そこまでせずに正規のメールサーバと正規のWebサーバで訓練するといったろくでもない組織が多い。
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:2)
発信元が社内なら安全でハッキングされる可能性ゼロの会社ですか?
仮想環境からアクセスするときはアクセス元IPがランダマイズされるぐらいの対策してますか?
あと「ボーナスを支給」にあたって「情報を入力する必要がある」企業は存在しないと思うがな。
特殊な条件で支払いになるんで情報を確認してアップデートしろってのなら分からんでもないが、その場合リンクとかは必要なくログインして更新しろって話にしかならんだろ。
今回は全員が対象なんで通達で終わるような話だと思う。
Re: (スコア:0)
発信元が社内、かつIPアドレスがLAN内の正規のWebサーバであることを確認しているとのことなので、社内Webサーバが1台なら「ログインして更新」する場合と同じWebサーバになるよね。
社内Webサーバがハッキングされて改竄されているとするならば、ログインして更新したって同じことでしょ。
アクセス元IPをランダマイズ?
意味分かって言ってんの?
社内から社外にアクセスするならば、きちんとした組織ならばそもそも会社のプロキシサーバのIPアドレスになるのが普通だし、LAN内で自分のIPアドレスを詐称するならばその方が問題だぞ。
仮想環境を使うのは、ブラウザの脆弱性を狙ったゼロデイ攻撃に遇っても安全性を保つため。
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
発信元が社内、かつIPアドレスがLAN内の正規のWebサーバであることを確認している
そんなこと書いてある?
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
なるほど。ご指摘ありがとう。
まあ、正規のウェブサーバかどうか確認してアクセスした、というのなら、ペナルティはナシにして欲しい気はしますね。
しかし、一般ユーザを前提にした場合、社内ウェブサーバに通常通りログインして、普通にリンクを辿って到達できるページでない、のなら、やっぱりNGなんじゃね?
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
情報乳利力とは・・・
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
はい君も再受講
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
SRADの編集者になりませんかというメールが届くやつ
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
> 仮想環境からリンク先にアクセスしただけ
これはやっぱ避けた方がよくね?
リンクのURLに、誰がリンクを踏んだかを特定できるIDがこっそりつけられてる可能性もある。
メールアドレスが生きてるかどうか、程度の情報でも、スパマーには嬉しいもんだからなあ。
スパマーには1ビットの情報すら渡したくねーべ。
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
普通、偽造の可能性を否定しきれないメール内のリンクを安易に踏むのは良くない、と思うんじゃね?
一般人程度のレベルをターゲットにする訓練なら、外部のレンタルサーバかどうかなんてのはどうでもよくて、少しでもあやしいメールの中のリンクは踏むな、ってルールの徹底を目指した方が、効果が高いと思うよ。
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
だいたい訓練メールなんて個人特定のためにリンクに何らかの情報が付与されているんだから、訓練メールだろうと疑ってる時点で個人特定っぽい文字列を適当に書き換えてアクセスしてない時点でスキルないと思う。
Re: (スコア:0)
うちのところは発信元メールがgmail.com等だと警告のタグが付くがgo.jpでも付くクソ仕様
発信元偽装にも対応しているか疑問
Re: (スコア:0)
うちのところは発信元メールがgmail.com等だと警告のタグが付くがgo.jpでも付くクソ仕様
発信元偽装にも対応しているか疑問
発信元メアドは詐称できるから、本当に .go.jp ドメインのサーバーから送信されたことが確認できなければ、警告するのは正しい仕様。
むしろ発信元の表示上のドメインで判断するコメ主のほうが遥かに危険。
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
発信元メアドは詐称できるから、本当に .go.jp ドメインのサーバーから送信されたことが確認できなければ、警告するのは正しい仕様。
その「本当に」はどう判定するんですか、って話ですよね。
それと、#3949390 [srad.jp]は、「本当に」かどうかとは無関係にいつも警告のタグが付く、と言っている様に読めますが。
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
メーリングリストがあると、SFPで認証できない場合があるだろ?
Re: (スコア:0)
「スキルの高い奴(自分のこと)を組織は正しく評価できない」系のコメントって何でこんなに頭悪そうに見えるんだろう
ゼロトラストとか知らなそう
Re: (スコア:0)
システム管理者でもないのに、会社の環境で勝手にウイルスメールっぽいものを開く行動を取ること自体が
そもそも問題のある社員だと思う。
業務等に無関係なメールならいくら偽物だとわかっても興味本位で開くべきではないし
真正か迷う内容なら確かめる手順が会社側に決められてるだろうし(システム管理者に問い合わせるとか。定められてないなら会社にも問題あり)
ルールがあるのに勝手に検疫して、安全と自己判断しているなら更に悪質
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
システム管理者でもないのに、会社の環境で勝手にウイルスメールっぽいものを開く行動を取ること自体がそもそも問題のある社員だと思う。
実際問題、あからさまに怪しい、というメールでない限り、開いてしまうのは仕方ないとして、対策するしかないよ。
今回だって、ボーナスは支給しない、というお知らせの後のこのメールなんだろ?
これが怪しいかどうか、メールを開かずに判断するのは難しいし、開いたとしても怪しいと判断できるかは疑問。
だとすると、「怪しいメールは開くな」では対策にならないと考えざるを得ない。
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:2)
今まで訓練をやったことが無い会社ならともかく、コレ、普通に考えたらあからさまな訓練でしょう。
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
今まで訓練をやったことが無い会社ならともかく、コレ、普通に考えたらあからさまな訓練でしょう。
なんで?
私はこのメールを開く前から訓練かどうか判断する自信はありません。
LARTHさんは自信が有るんですか? 後知恵で言ってるだけでは?
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
アウトなのはリンク踏んだ従業員だけですよ。
意味不明だな。
このメールを開く前に、訓練か否かが解る、と言うのなら、それは何故か、と聞いている。
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
次善の策で仮にユーザーが開いてしまった場合の対応も普通はあるかと。
その通り。
だけど、それがいきなり、
例えば直ちにネットワークから遮断して管理者に連絡。
ってのは無理じゃね、って話。
開くだけで感染する様なウィルスならそうすべきだと思う。
しかし、そうでないのであれば、逆にDoS攻撃を許す結果になっちゃうよ。
たとえば、開ける前はマトモそうだけど、あやしいURLが付いてるメール(つまり、今回のケースの様な)をユーザに送りまくれば、それを開いちゃったユーザの業務は停止してしまう。
で、そう言うメールを作るのはそう難しくは無い。
もちろん、開ける前に気付く人もいるかもしれないけど、開けてしまうユーザの割合が30%でもあれば、会社としては重大な業務影響が出るんじゃない?
啓蒙することも大事かと。
啓蒙は重要だけど、啓蒙だけではどうにもならない。
あなたの言う方法ではDoSが成立すると思うよ。
Re: (スコア:0)
その程度の訓練をしてるところなら、正規のメールサーバーとWebサーバーであってもアカウント乗っ取りやハッキング済みの可能性が有る。
リンクを踏まずに、メール以外の方法の内線電話とかで真贋を確認しなきゃ。
Re:この手の訓練ってスキルのある人が引っかかったことにされる (スコア:1)
その程度の訓練をしてるところなら、正規のメールサーバーとWebサーバーであってもアカウント乗っ取りやハッキング済みの可能性が有る。
なんだその言いがかり。
中にはヘッダとかを確認する知恵を持ってる人もいるだろうけど、一般ユーザ向けとしてはその程度の訓練で十分。
社外のシステムを使った方がより本物っぽい、と言うのはその通りだろうけど、そうするかどうかは、ポリシーによる。
メール内のリンクを踏んじゃダメ、って言うルールを無視して仮想環境で開いちゃう半端な知恵を持ってる人もあぶり出せたし、良かったとも言える。
そう言った訓練のレベルの選択と、社内のサーバがクラッキングされてるかどうかは無関係。
それを関係あるかの如く言うのは、ハッキリ言って言いがかり。
Re: (スコア:0)
正規のサーバがクラッキングされているのならば、そもそも全ての業務が危険に晒されてますよね。
いつも使っている正規の業務システムも悪意のある第三者に情報を中継するようになってるかもしれないし、フィッシング詐欺訓練以前の問題。
引っかからなかった方から抽選で3名様にボーナスを支給させていただけばいいんじゃない (スコア:0)
当選発表は発送を以て代えさせていただきます
つまり効果があるってことでしょ (スコア:0)
実際に狙われる可能性が高いものを訓練しなくてどうするの? サイバー犯罪者は倫理的だから非人道的な攻撃はしないとでも言うのか?
Re:こうかは ばつぐんだ (スコア:1)
練習のたびに真剣で殺し合いしてたら、命が幾つあっても足りねえよ。
ボーナスを訓練のネタにするのを「真剣で殺し合い」に例える感覚が理解できないね。
別にボーナスが没収されるわけでも無く、教育に参加させられる程度なんだから、せいぜい「竹刀」レベルだろ。
世界に夢の楽園は無い (スコア:0)
という事を教えてくれる良い記事。
会社から全従業員やチーム全員宛に来るメール (スコア:0)
社内向けポータルにも掲載して、メールとポータルの記事が一致しなければ怪しいメールってしとけばいいのに。
意識が高いと自称してる人は何故かこういう運用を嫌うけどさ