GitLab、セキュリティ演習で社員にフィッシングメールを送信。その内容と、20%が引っ掛かったことを公開

2020年6月3日

ソースコード管理ツールのGitLabを提供するGitLab,Incは、1200人以上いる社員全員がリモートで働いていることでも知られています

そのGitLabが社内のセキュリティ対策演習として社員にフィッシングメールを送信。実際に引っ掛かった社員がいたことなどを明らかにしました

fig

具体的には「レッドチーム」と呼ばれる社内の専門チームが、ランダムに選んだ社員50人に対して、情報部門からの連絡を装った「あなたのノートPCがMacBook Proにアップグレードすることになりました」という内容のメールを送信。

メールの末尾に、手続きのためのリンクが張られており、このリンク先のフィッシングサイトでGitLab社員がIDとパスワードを入力すると、これらの情報が盗まれる、というものです。

fig RT-011 - Phishing Campaign · master · GitLab.com / GitLab Security Department / GitLab Red Team / Red Team Tech Notes · GitLab」で公開されたフィッシングメールの内容(分かりやすいように一部加工して縮小しています)

フィッシングメールには怪しい点がいくつも込められていた

ただしこのメールには、あらかじめフィッシングメールらしい怪しい点がいくつか込められていました。

1つ目はメール発信元が会社のドメインである「gitlab.com」ではなく、わざわざレッドチームが購入した紛らわしいドメインである「gitlab.company」となっている点。

2つ目は、アップグレードするとしているMacBook Proは、実はほとんどの社員が持っているMacBook Proよりも古いモデルであり、実質的にアップグレードにならない点。本当の情報部門ならこのような事実誤認はしないはず(ってことはGitLabのみなさんはMacBook Pro 2020年モデルなんですね:-)。

3つ目は、このメール以外に会社からこうした情報がまったく伝えられておらず、社内連絡やSlackなどによる通知がない点。複数の情報による確認ができない。

4つ目は、Gmailなどで参照可能になっている詳細なメールヘッダでも、gitlab.companyというドメイン名やphishなど怪しいキーワードが確認できたはずだという点。

またリンク先のURLも、リンクをクリックした先のログインページで再ログインが求められる点なども怪しい点だと説明されています。

50人中10人がフィッシングメールに引っ掛かった

レッドチームが送信したフィッシングメールに社員の何人が引っかかったのか。その結果も、GitLabは明らかにしています。

50人中、リンクをクリックしたのが17人。そのうち10人がログインページでIDとパスワードを入力したとのこと。つまり20%がこのフィッシングメールに引っ掛かったと。

また、50人中6人が、同社のSecOpsチームにフィッシングメールが送信されてきたことを報告したとのことです。

GitLabは、同社が公開している業務マニュアルである「GitLab handbook」において「Phishing Tests」という項目を設け、そこで四半期ごとにこうしたフィッシングテストを行うと明記しているだけでなく、怪しいメールの見分け方まで説明しています。

すでに日本でも特定の企業などのターゲットごとにカスタマイズされたフィッシングメールの存在は確認されています。こうした定期的なセキュリティ対策演習は広く行われるべきなのでしょう。

それにしても同社は業務マニュアルであるGitLab Hadnbookを公開し、今回のフィッシングテストの結果も公開し、2017年に発生した本番データベース喪失の際のリカバリ作業をYouTubeでオープンにするなど、徹底的に情報をオープンにする姿勢で一貫していますね。

関連記事

このエントリーをはてなブックマークに追加
follow us in feedly




カテゴリ

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed


最新記事10本