パスワードを忘れた? アカウント作成
15722352 story
spam

従業員がだまされやすいフィッシングメールの件名 50

ストーリー by nagazou
罠 部門より
headless 曰く、

Kaspersky の法人向けセキュリティ啓発プラットフォーム「Kaspersky Security Awaness Platform」のフィッシングシミュレーターが収集したデータによると、荷物が届けられなかったことを通知するフィッシングメールのクリック率が最も高かったそうだ (プレスリリースGhacks の記事)。

フィッシングシミュレーションキャンペーンは 2021 年 1 月~ 2022 年 5 月に実施されたもので、企業の管理者がフィッシングのシナリオを選択し、事前の予告なく従業員に送信・結果を追跡する。収集されたデータは 100 か国の従業員 29,597 人分のものだという。

最もクリック率が高かった荷物の配達に関するフィッシングメールは 18.5 % がクリックしており、Google から電子メールが配信できなかったと知らせるフィッシングメールと、人事部からのアンケート調査を装ったフィッシングメールがそれぞれ 18 % で続く。このほか、会社からの新しい服装規定の通知 (17.5%) や避難訓練の通知 (16%)、予約確認や注文確認 (各11%) 、IKEA のコンテストのお知らせ (10%) のクリック率が高かったとのこと。

逆に受信者に対する脅迫や利益供与といったタイトルではクリック率が低い。たとえば、「あなたのコンピューターをハックして検索履歴を知っている」は 2 %、無料の Netflix や 1,000 ドルを提供するといったものは 1 % にとどまったとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by junichi308 (15687) on 2022年07月07日 8時29分 (#4284490)

    HTMLメールが主流になっちゃってるのと、Webメーラでアクセスしたとき
    レンダリングするのがデフォルトになっちゃってるせいで、
    間違えてタップしたら生存確認されちゃって攻撃が激しくなるの
    どうしようもないんですかねぇ

    • by Anonymous Coward

      攻撃が激しくなるのはどうしようもない。ホワイトリスト運用にしましょう。
      間違えてタップするとすぐアクセスするのはメーラーの責任。違うメーラーに切り替えましょう。
      Webメーラーならユーザースクリプトを使用してリンク先をクッションページに変更するなんてこともできるのではない?

      そもそもリンクテキストとリンクアドレスが同じ保証はないのでデフォルト表示はテキストメールにしたほうがいい。
      HTMLメール表示に切り替えるのなんてたいていワンアクションで済むし。

      • by Anonymous Coward

        >そもそもリンクテキストとリンクアドレスが同じ保証はないのでデフォルト表示はテキストメールにしたほうがいい。
        >HTMLメール表示に切り替えるのなんてたいていワンアクションで済むし。

        Nifty のWebメールはデフォルトで ↑ このお勧め設定になってるよ。

        ちなみにそのHTMLメールをメール内だけでなくWebページとして開く機能もあったんだけど、
        最近それが出来なくなって、HTMLファイルとしてダウンロードする事しか出来なくなったな。

    • by Anonymous Coward

      HTMLメールなんてセキュリティホールの温床だってのは
      インターネット先史からの常識だと思っていましたが
      どうも業界としてはそう考えていないみたいで
      まあ、素人受けはいいですからねぇ あれ

      顧客からのメール中に表とか書かれてるとちょっとげんなりしつつ
      ブラウザで開き直してます

      • by Anonymous Coward on 2022年07月07日 10時32分 (#4284569)

        > 顧客からのメール中に表とか書かれてるとちょっとげんなり

        こんな↓風なメールを書きやすいのが Shuriken。よく書いてました。これならげんなりしないかな?
        ┌────┬───┬─────┐
        │    │   │     │
        ├────┼───┼─────┤
        │    │   │     │
        ├────┼───┼─────┤
        │    │   │     │
        └────┴───┴─────┘
        Shurikenが販売終了してしまって悲しいです。Thunderbirdに乗り換えたけど、なんか今ひとつ。

        親コメント
        • by Anonymous Coward on 2022年07月07日 11時05分 (#4284603)

          でもOutlookよりマシやろ?
          いつになったらwinmail.dat送り付けてくるのをやめるんだ。いい加減にしろ。

          親コメント
          • by Anonymous Coward

            Outlookは確かにアレだけど、ノーツから送られたメールも相当なものらしいです。

      • by Anonymous Coward

        素人受けというよりも、まさにインターネット普及前・初期からのバックグラウンドの違いが如実に出てる気がする。
        NotesやOffice365以前のExchangeを使用してきた経歴がある会社だと、逆にリッチテキストやHTMLメールのように色・強調・画像が入れられないとダメみたい。

      • by Anonymous Coward

        同じように一時期禁忌とされていたjavascriptが全盛極めてますし。
        javascript無効の設定が今のブラウザにはなくなってる

        • by Anonymous Coward

          Chromium系はわからんが
          Firefoxであればabout:config→javascript.enabledをfalseに
          SafariであればDevelopメニューをPreferences…からオンにしてDisable JavaScript
          一番わかりやすいのはツールバーに乗ってるアイコンからSecurity LevelをSafestにするだけでいいTorブラウザだな
          この様に(マイナーなブラウザだけど)一応無効設定はあるわけだがもっとわかりやすくすべきってことかな?だとしたら確かに

          ウェブサイトでもnoscriptタグ見なくなってるし
          TwitterとかなんてJSなしでも全然問題ないと思うんだけどね
          JS無効化されたらブラウザフィンガープリントすら殆どできなくなるから困るということだろうか

          • by 90 (35300) on 2022年07月08日 9時47分 (#4285298) 日記

            JSを無効化すると、HTMLの枠だけ配って中身のHTMLをJSで後埋めして遷移せずURL表示だけ書き換えることで表示を早く見せる最近のトレンドテクニックが動かなく、つまりはページが表示できなくなりますよ。そんなサイトが実在するのか、見たことがない、気にしたことがないって? 知らない人はそれは気づかないでしょう……

            親コメント
  • by Anonymous Coward on 2022年07月07日 10時21分 (#4284560)

    GoogleからIKEAのコンテストに関する荷物の配達のお知らせです

    Googleからの電子メールが配信できませんでした
    お届けできなかったメールは、人事部からのIKEAのコンテストに関するアンケート調査です
    また、新しい服装規定の通知と避難訓練の通知が含まれています

    本メールの再送に関する予約確認はこちらをクリックしてください
    お届け予定の注文確認はこちらをクリックしてください

    お荷物のお届け可能日時の指定はこちらをクリックしてください

    SONY

    • by Anonymous Coward

      Amazon騙って送信元が楽天.xyzみたいなシンプルにおかしい詐欺メール見た事あります

      • by Anonymous Coward

        結構ある。

        どんな妙なことが書いてあるかという興味本位で結構開いて読んでいる(もちろん個人のメールだけ)。
        隣国発のメールも、昔ほどへんちくりんな日本語じゃないことが多くて、それはそれで面白い。

  • by Anonymous Coward on 2022年07月07日 10時51分 (#4284587)

    「信じてクリックして良いメールがある」というセキュティポリシがあかん

    ・メーラーのプレビューでお漏らしや感染
    その腐ったメーラーをアップデートするかまともな設定にするべき
    ダメそうなら代替メーラーを探す

    ・メールからクリック
    基本的に禁止というか設定で無反応にするかエラー返すようにすべき
    サイトに飛ぶ際はブラウザーでオフィシャルサイトに行って同様の通知が出ているか確認
    その上で内容に沿った手続きをオフィシャルサイトで行う

    ・ワンタイムURLでクリックが必須
    その仕組自体が脆弱なので別サービスを要検討
    無理な場合はドメイン以下のURL文字列をコピーし
    ブラウザで開いたオフィシャルサイトのドメインに加えて貼り付けて対処

    # すげー面倒だが商用業務ならそのくらいのポリシ徹底しないとあかんよね

  • by Anonymous Coward on 2022年07月07日 8時35分 (#4284492)

    いつもお世話になっているあの人にアボカドのお中元を

    というのだったら押しそう

    • by Anonymous Coward

      少しくらいのTypoがあっても「スラドならこんなもんか」と思ってしまう罠

    • by Anonymous Coward

      そこは「電車の中でCD-Rを拾いましたのでご連絡差し上げました。」で
      ってそれの中を見るかどうかってのもセキュリティの問題あるよなあ

  • by Anonymous Coward on 2022年07月07日 8時50分 (#4284495)

    確かに彼からのメールだったら見ちゃうかも

    • by Anonymous Coward

      一般社員が本物の彼からのメールを読んでくれなくて困ってるのですが。

      社員「なんかメール送れない」
      情シ「送れない理由が書いてあるメールが返ってきてるはずなんですが」
      社員「そういやなんか届いてた。英語だったし読んでない。迷惑メールかとおもたwwww」

      • 英語というのもあるんでしょうけど、MIMEをそのままってのは、どうなんでしょうね。
        base64ならまだしも、quoted-printableは、迷惑メールにしか見えない…。

        って書いてから、一応、Unknown Userなメールを送って確かめてみたのですが、今どきのPostfixさんは、添付形式で、しかもヘッダーだけになっている。
        でも、本文の最初が

        This is the mail system at host 見慣れないランダムな文字を含むドメインが一般的ではないFQDN

        から始まっているのは、如何にも怪しいメールではある。

        これは、ESMTPSを使用するために、ワイルドカード証明書を使っているからなんですが、一般ユーザには、わからないよなぁと思った次第。
        もしかして、お金持ちな会社さんは、ESMTPS用の証明書もご購入していたりするんでしょうか?

        親コメント
        • by Anonymous Coward

          > もしかして、お金持ちな会社さん
          Let's Encryptでええやん。

        • by Anonymous Coward

          未だ普通にContent-Transfer-Encoding: quoted-printableなメールを出してくる会社もあったりする。

          # アナデバとか、アナデバとか、アナデバとか…

      • by Anonymous Coward

        > 社員「そういやなんか届いてた。英語だったし読んでない。迷惑メールかとおもたwwww」

        大昔、「ボクはね、最新の研究を取り入れるために、英語の論文を週に2-3本は読むんだ」と言ってた教授が、
        同じようなことを言ってました。

        英語の論文は読むけど、英語のメールを送ってくれるお友達はいないんだなぁと思ったのでした。

        # ゆーざーあんのーん、ということでAC

  • by Anonymous Coward on 2022年07月07日 8時56分 (#4284496)

    最近見たんだけど、どこでみたんだっけか・・・、住所修正依頼みたいなのが来て天安門とかの文字列を入れる対抗策を見て、オレもやってみようと思いました。フィッシングと知って、相手の嫌がることをしてみるのは面白いなと。

    • by Anonymous Coward

      万バズってたこれですね

      これは
       
      「お客様のお支払い方法が承認されません」
       
      というフィッシング詐欺メールが来たので、サイトを落とそうとするぼく pic.twitter.com/K8BtkKofBV [t.co]

      — ヨシフ・スターリン園長.lzh (@Stalin_Bot_JP) July 2, 2022 [twitter.com]

      ※フィッシング詐欺サイトを踏むのは危険があるので、良い子は真似しないでください。
       
      ・URLにアクセスしたメールアドレスを識別するパラメーターが入ってることがある(どのメールアドレスの人が送ったかバレる恐れがある)
      ・悪意のあるコードがウェブサイトに埋め込まれている恐れがある

      — ヨシフ・スターリン園長.lzh (@Stalin_Bot_JP) July [twitter.com]

  • by Anonymous Coward on 2022年07月07日 9時42分 (#4284523)

    フィッシングメールかどうかをユーザが判断して対応しましょうとか
    どうも明後日の方向で対応してる連中が多いよな

    偉い人が「ああ、うちも従業員教育が必要だな」と思うか、「フィッシング踏んでも大丈夫な体制作らなきゃ」と思うか。

    • by Anonymous Coward on 2022年07月07日 9時59分 (#4284541)

      「フィッシングを踏んでも大丈夫な体制」のコストがバカ高いので、偉い人がなかなか首を縦に振らないのよね。
      ちゃんとしたEDR/XDRなんて構築しようもんなら分類上は大企業、心持ちは中小企業な会社でおなじみの一人情シスはあり得ないし、(3交代だと最低8人かな?)
      バックアップも基本クライアント・サーバー併せて全量取得・他所保存併用になるから、セキュリティ込みで考えると頭が痛いという。

      そうなると必然的に「従業員教育が安い」になっちゃうのよね、残念ながら。

      親コメント
    • by Anonymous Coward

      偉い人「メールを廃止しやう!」

      # 次はSMSでひかっかるまで読んだ

  • by Anonymous Coward on 2022年07月07日 9時53分 (#4284536)

    と書けばある程度の人がクリックしたりして

    • by Anonymous Coward

      するなにしろしろにしろ、シンプルな指示は意外に無視できなかったりしますね。

  • by Anonymous Coward on 2022年07月07日 9時58分 (#4284540)

    内容はともかく、自分が出したわけでもないメールに返信が来た時点で、迷惑フォルダー行きだね。

  • by Anonymous Coward on 2022年07月07日 10時10分 (#4284556)

    複数の銀行からカードの不正利用の疑いで確認のメールが来たんだがその文章が銀行名以外はほぼ一緒だった。

  • by Anonymous Coward on 2022年07月07日 11時03分 (#4284600)

    Omni(セブンイレブンの通販)とか、時々「このメールは危ないからクリックとかしたらダメ」的メッセージが挿入されて届く。リンク先とか間違ってはいないのだが、迷惑メールになるわけでもなく、どういうこと?そんな状態が何か月か続いているけど、何で誰も対処しないの?

    • by Anonymous Coward
      そりゃあ「あの」セブンだからでは?
  • by Anonymous Coward on 2022年07月07日 12時09分 (#4284649)

    攻撃者にだけ寄与する情報公開してどうすんの?
    管理者や従業員としてはどんな件名だろうと警戒しなきゃならないのでクリック率とか知ったこっちゃないのだが

    • by Anonymous Coward

      その結果がストーリー本文なんだから、従業員の警戒だけでは駄目ってことだよ。で、対策はメール内容によって異なる。
      荷物の配達に関しては一元管理するとか、人事部からのアンケートにはメールを利用しないでアンケートシステムを用意するとか。
      そもそも警戒しなきゃならない時点でおかしい。すべてのメールをクリックしなければ良いだけの話なので。

  • by Anonymous Coward on 2022年07月07日 12時22分 (#4284659)

    訓練メールの定番ですが思いついた人は人の心が無いと思う

    • by Anonymous Coward

      罰ゲーム告白 -> ホントにカップル成立!
      みたいに、ウソカラデタマコトデホントに貰えればいいのにね
      # ナイナイ

    • by Anonymous Coward

      訓練メールの定番ですが思いついた人は人の心が無いと思う

      臨時賞罰のお知らせなら嘘はない

      # そういういみじゃねぇ

  • by Anonymous Coward on 2022年07月07日 12時44分 (#4284669)

    もう随分と昔になるけど「I LOVE YOU」メールに引っかかる連中よりはまだ理解できるだけマシ。
    (いや、全然良くはないのだけど、思わず押してしまうというのは理解できなくもない)

    それに比べて「I LOVE YOU」系メールを開いちゃう人は本当に理解できない。
    お前さん、外国人から英語でラブレター貰う心当たりが本当にあるのかと小一時間問い詰めたい。
    普通はまったく知らない人からラブレター貰っても怖いだけだろ。そっと削除するのが当たり前じゃないのか?

    当時いた会社では、上から下までこれに引っかかる奴大発生してエライ目にあった……信じられるかい? これ誰でも知ってる有名企業での話なんだぜ……。

    • by Anonymous Coward

      I LOVE YOU は、たしかメール本文のバッファーオーバーランを突いたやつだったっけ?
      漫然と次の未読メールを表示する操作(Thunderbirdなら N キー)を連打していたら引っかかりそう。
      (さすがに今どきのメーラーで本文を表示しただけで突かれる脆弱性は無いけど)

      • by Anonymous Coward

        (#4284703)です。
        記憶違いでした。
        バッファーオーバーランとか高度なことはなくて、単に添付ファイルを実行する操作をしたお馬鹿さんが感染するというやつだったのですね。

    • by Anonymous Coward

      小一時間問い詰めたい。

      一時間問い詰めるだけで済ませるとか優しいなぁ

  • by Anonymous Coward on 2022年07月07日 13時20分 (#4284698)

    絶対にクリックしたくなるwww

  • by Anonymous Coward on 2022年07月07日 23時22分 (#4285148)

    ドメインが大きく異なってたりするとさすがに警戒するが、
    たとえばhttps://www.unilever.co.jp/がhttps://www.unirever.co.jp/になってたりしたら気づかんわ。
    なので、メールに書かれたURLは信頼しないし、メールにURLを載せてくる企業はクソだと思ってる。

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...