GitLab、セキュリティ演習で社員にフィッシングメールを送信。その内容と、20％が引っ掛かったことを公開

ソースコード管理ツールのGitLabを提供するGitLab,Incは、1200人以上いる社員全員がリモートで働いていることでも知られています。

そのGitLabが社内のセキュリティ対策演習として社員にフィッシングメールを送信。実際に引っ掛かった社員がいたことなどを明らかにしました。

具体的には「レッドチーム」と呼ばれる社内の専門チームが、ランダムに選んだ社員50人に対して、情報部門からの連絡を装った「あなたのノートPCがMacBook Proにアップグレードすることになりました」という内容のメールを送信。

メールの末尾に、手続きのためのリンクが張られており、このリンク先のフィッシングサイトでGitLab社員がIDとパスワードを入力すると、これらの情報が盗まれる、というものです。

フィッシングメールには怪しい点がいくつも込められていた

ただしこのメールには、あらかじめフィッシングメールらしい怪しい点がいくつか込められていました。

1つ目はメール発信元が会社のドメインである「gitlab.com」ではなく、わざわざレッドチームが購入した紛らわしいドメインである「gitlab.company」となっている点。

2つ目は、アップグレードするとしているMacBook Proは、実はほとんどの社員が持っているMacBook Proよりも古いモデルであり、実質的にアップグレードにならない点。本当の情報部門ならこのような事実誤認はしないはず（ってことはGitLabのみなさんはMacBook Pro 2020年モデルなんですね：-）。

3つ目は、このメール以外に会社からこうした情報がまったく伝えられておらず、社内連絡やSlackなどによる通知がない点。複数の情報による確認ができない。

4つ目は、Gmailなどで参照可能になっている詳細なメールヘッダでも、gitlab.companyというドメイン名やphishなど怪しいキーワードが確認できたはずだという点。

またリンク先のURLも、リンクをクリックした先のログインページで再ログインが求められる点なども怪しい点だと説明されています。

50人中10人がフィッシングメールに引っ掛かった

レッドチームが送信したフィッシングメールに社員の何人が引っかかったのか。その結果も、GitLabは明らかにしています。

50人中、リンクをクリックしたのが17人。そのうち10人がログインページでIDとパスワードを入力したとのこと。つまり20％がこのフィッシングメールに引っ掛かったと。

また、50人中6人が、同社のSecOpsチームにフィッシングメールが送信されてきたことを報告したとのことです。

GitLabは、同社が公開している業務マニュアルである「GitLab handbook」において「Phishing Tests」という項目を設け、そこで四半期ごとにこうしたフィッシングテストを行うと明記しているだけでなく、怪しいメールの見分け方まで説明しています。

すでに日本でも特定の企業などのターゲットごとにカスタマイズされたフィッシングメールの存在は確認されています。こうした定期的なセキュリティ対策演習は広く行われるべきなのでしょう。

それにしても同社は業務マニュアルであるGitLab Hadnbookを公開し、今回のフィッシングテストの結果も公開し、2017年に発生した本番データベース喪失の際のリカバリ作業をYouTubeでオープンにするなど、徹底的に情報をオープンにする姿勢で一貫していますね。

関連記事

• GitLabが日本法人を設立、国内で本格展開へ。ロゴが「タヌキ」なのは、スーパーマリオの大ファンだから
• 1200人以上の全社員がリモートワーク。GitLabが公開する「リモートワークマニフェスト」は何を教えているか？
• GitLab.comが操作ミスで本番データベース喪失。5つあったはずのバックアップ手段は役立たず、頼みの綱は6時間前に偶然取ったスナップショット