Brendan McDermid / reuters
Brendan McDermid / reuters

インターネットドメインレジストラー・レンタルサーバーのGoDaddy従業員は怒っています。彼らはクリスマスイブ目前に「650ドル(約6万7000円)の臨時ボーナスを支給します」とのメールを社内のメールアドレスから受け取り、喜んで「ボーナス支給のための必要事項」を記入したメールを返送しました。ところが、後に彼らが受け取ったのは「フィッシングテスト不合格につき、セキュリティ講習を受講せよ」とする通知でした。

「恒例のホリデーパーティーを皆でお祝いすることはできませんが、今年の記録的な業績に貢献した従業員の皆に感謝の気持ちを表し、650ドルの臨時ボーナスを支給します!」

メールの送信元はHappyholiday@Godaddy.com。自分の会社のドメインを使ったメールアドレスから届いたメールには「この1度限りのボーナスを確実にクリスマス休暇前に受け取るため必要」との言葉とともに、自身と職場に関する情報を記して返送するよう求めるフォームが含まれていました。

650ドルあれば、いつもよりすこしばかり贅沢なクリスマスや年末年始を家族とともにすごせる金額。出たばかりの次世代ゲーム機にゲームソフト1~2本を付けて買うこともできるでしょう。当然ながら従業員は喜び、メールを受け取ったうち約500人が必要事項を記入したメールを返送してしまいました。

その結果が、ひっかかったなと言わんばかりのセキュリティ講習受講通知というのは少々残酷に過ぎる話です。従業員のセキュリティ意識を喚起するため、ときおり偽のフィッシングメールを社内に送る企業は珍しくはないものの、新型コロナウイルスのパンデミックという困難な状況を乗り越え、しかも直近の決算では記録的な新規顧客獲得を報告できるほどに働いた従業員の1年の終わりにこの仕打ちは洒落にもなりません。

一部の従業員はこの怒りをTwitterにブチ撒け、それを知った一部のユーザーはGoDaddyに対してサーバーのホスト会社を切り替えるとまで言い出しています。

一方、GoDaddyは24日に声明を出し、従業員に対して謝罪をしたと述べ「当社はプラットフォームのセキュリティ維持を非常に真面目に考えています。しかし、一部従業員がフィッシング対策の意識を測るテストに対して無神経だと憤っている事実も理解しています。今回のテストは実際に起こりうるフィッシングの手口を模倣したものでしたが、従業員に対する配慮も考え、よりよい対応をしていく必要があります」としました。

フィッシングの手口は一番相手がひっかかりやすいタイミングを狙ってやって来るものなので、GoDaddyのテストはセキュリティの観点からは間違ってはいないものの、さすがに従業員の気持ちを考えれば、やりすぎだったとも言えるでしょう。これだけ問題になったことで、両者がさらにセキュリティ意識を向上し、ユーザーに安心のサービスを届けることができるようになった暁には、こんどこそはいくらかでも臨時ボーナスを支給してほしいものです。

ちなみに、GoDaddyは、11月には自社がホストする仮想通貨取引プラットフォームliquid.comのドメイン操作権限を誤ってサイト攻撃者に渡してしまい、内部のストレージや社内メール情報などへのアクセスを許してしまう問題が発生していました。また仮想通貨マイニングを行うNiceHashでもGoDaddyのドメイン登録レコード設定が何者かに変更されるなどといった問題が相次いで報告されていました。いずれも従業員を狙ったソーシャルエンジニアリングによる攻撃が発端であることを、GoDaddyは認めています。

GoDaddyではそれ以前にも従業員を狙った攻撃で従業員の資格情報が外部に漏れるなどしており、ちょっとやり過ぎたセキュリティ担当者のほうの気持ちも、わからないところではありません。

source:TheCopperCourier
coverage:Krebs on Security