GitLab、セキュリティ演習で社員にフィッシングメールを送信。その内容と、20％が引っ掛かったことを公開

ソースコード管理ツールのGitLabを提供するGitLab,Incは、1200人以上いる社員全員がリモートで働いていることでも知られています。 そのGitLabが社内のセキュリティ対策演習として社員にフィッシングメールを送信。実際に引っ掛かった社員がいたことなどを明らかにしました。 具体的には「レッドチーム」と呼ばれる社内の専門チームが、ランダムに選んだ社員50人に対して、情報部門からの連絡を装った「あなたのノートPCがMacBook Proにアップグレードすることになりました」という内容のメールを送信。 メールの末尾に、手続きのためのリンクが張られており、このリンク先のフィッシングサイトでGitLab社員がIDとパスワードを入力すると、これらの情報が盗まれる、というものです。 フィッシングメールには怪しい点がいくつも込められていた ただしこのメールには、あらかじめフィッシングメールらしい

[room661]

これ弊社もやったんですよ。結果発表を楽しみにしてたんだけど、なぜか引っかかり率は発表されなかった・・・。

[morimarii]

これと同じことをシステム課とは別の部署が実施してシステム課に問い合わせ電話が殺到して業務がストップした例知ってます

[zaikabou]

明らかに会社の仕込みのフィッシングメールだな、というメールがこの前来て、開いたら注意されるんだろうな、と思いつつ、ちょっと腹立たしくて開いたので注意された

[hatest]

人間が一番のセキュリティホールだからな

[camellow]

間違い探しのようによく見ればフィッシングメールは見抜けると言うのは時代遅れな教育。送信元も内容も完璧に本物のようなメールが届く事もある。おかしな教育をするから引っかかった方が悪いみたいになってしまう。

[Palantir]

毎回思うけどURLクリックするのがヤバイっていうのはゼロデイとか未修正の脆弱性想定？

[moonieguy]

日本の企業でもこれやってて受け取るとどう反応しようかって大喜利がはじまる。議論の結果後が面倒だから大人しく然るべき部署に報告しとこうってなるんだけど。

[mohno]

「わざわざレッドチームが購入した紛らわしいドメインである「gitlab.company」」←たまに“本家”がメインじゃないドメインを使うことがあるんだよなあ。/「ってことはGitLabのみなさんはMacBook Pro 2020年モデルなんですね」

[xll]

“同社は業務マニュアルであるGitLab Hadnbookを公開し、今回のフィッシングテストの結果も公開し、2017年に発生した本番データベース喪失の際のリカバリ作業をYouTubeでオープンにするなど、徹底的に情報をオープンにする姿

[KoshianX]

うーむ、20%か。けっこうひっかかるものだなあ……。

[tmatsuu]

わいわい。昔こういう社内フィッシング演習用のオープンソースツールを見かけた。なんだっけな

[karkwind]

技術者ですら、これだもん。一般人だと、簡単に引っかかるよ

[sho]

この手の訓練のKPIは、引っかかった人数じゃなくて報告数だからね。メディアはセンセーショナルな数字を見出しにしたがるけど、読み手はそこに引っかかってはいけない。

[Soraneko]

こういうの定期的にやったほうが良さそうだよね

[masutaka26]

いいね

[hot_ic]

うちの会社でも定期的にやってる。役職上に行くほど引っかかる率が高くなるのが普通(毎日沢山のメールを捌いてるから)。セキュリティソフトが追加されたりしたが、対策に王道はなく、訓練を続けるしかない

[naosim]

web教育やるより効果的だな。

[wata_d]

ゼロにはできないだろうし、そういう前提で考えないといけないのだろうな

[NOV1975]

よく仕込みメール送信されてくるけど仕込みかどうかはさておきみんなだいたい気付いて報告してくるなあ（そして一人が気付くとslackとかでPJTに注意喚起が飛ぶ。ので、対応としては満点だが目的は果たしきれないw

[otihateten3510]

恥ずかしいなこれ、多分トラウマになる

[kura-2]

会社によっては、内部で「今日、ひっかけのメール来るらしいで？」みたいな事前案内がくるとか、こないとか

[ya--mada]

なるほど開いただけでなくクレデンシャル入れさせたのか。狙われたら騙されるよねって言う気付きを与えて、どうやってアカウントを守るかを考えさせると言うのが狙いかな、アーキテクトへの注意喚起

[dickbruna]

最近、情シスから「これは標的型メール訓練ではありません」と書かれたアンケート系メールが届く。

[ikeike443]

これ、某社もやってました。秘密裏に行われるから、いろんな憶測が社内に流れて面白かった。

[knok]

前職でも定期的にやってた。きちんとした評価はしてないけど職種がえらい人ほどひっかかりやすかったが数%差

[estragon]

“業務マニュアルであるGitLab Hadnbookを公開し、今回のフィッシングテストの結果も公開し、2017年に発生した本番データベース喪失の際のリカバリ作業をYouTubeでオープンにするなど、徹底的に情報をオープンにする姿勢”

[EngineerYtr]

たまーに弊社も訓練用フィッシングメールの配信があるけど、本気の文章で釣られると引っかかっちゃうんだよな。

[lenore]

前々からうちもやってる……けど不自然でみんな引っかかからず静かに削除する

[tg30yen]

普段の社内向けの連絡がメールでないからこそ怪しいと思える。社内の第一報の連絡にメールは使わないことが大事。

[Network]

URLが怪しかったから、ちょっと細工してアクセスしたら、引っかかった方々の一覧が取得できてしまった事がある。

[ikurii]

ブコメ、これと同じことをやったらシステム課に電話が殺到したというのは、ある意味喜ばしいこと。/ こういう避難訓練みたいなことはたまにやった方が良い。

[verda]

うちも時々やるけど 結局開く人は開く 特に激務で外部とやり取りが多い人が忘れないようにとりあえず開くパターンが多い

[hogeaegxa]

パレートの法則って、だいたいどこでも何にでも有効だな

[amatou310]

“（ってことはGitLabのみなさんはMacBook Pro 2020年モデルなんですね：-）”

[oshishosan]

__________↓フィッシングスターです

[yogasa]

前 au が自社ドメインじゃなくて au-hogehoge.com みたいなヘンテコなドメインからメール送ってきてフィッシングかどうかめっちゃ迷ったことあったな

[tourism55]

弊社も社内には結果公表ある。10%超えてないくらいでも高い！って思ってたが20%か…。実際に受信してるフィッシングメールを参考にしてるらしく年々功名度はあがってるのが面白いんだよね

[oldriver]

フィッシングとは偽サイトのことなので、基本的にブラウザで開いた後のことを教え込むべきなんだよ。でないとメール以外の経路で騙される。この記事を見る限りそこは付け足しレベルで、ドメインのことも書いてない。

[toytoycy]

複数情報源って大事だよね

[tettekete37564]

“（ってことはGitLabのみなさんはMacBook Pro 2020年モデルなんですね：-）”