偽の「ボーナス通知」が従業員を試すために送信され「邪悪すぎる」と話題に

会社から従業員に向けてボーナスの通知が送られ、従業員が必要情報を入力して返信したところ、実はフィッシング詐欺に対する意識の高さを確認するテストであり、返信した人にはボーナスではなく再訓練のお知らせが届いた……という事態が報告されています。新型コロナウイルス感染症(COVID-19)に伴う困難が多かった一年の終わりに最も残酷ないたずらだと話題になっています。

GoDaddy Employees Were Told They Were Getting a Holiday Bonus. It Was Actually a Phishing Test.
https://coppercourier.com/story/godaddy-employees-holiday-bonus-secruity-test/

GoDaddy wins our 2020 award for most evil company email - The Verge
https://www.theverge.com/2020/12/24/22199406/godaddy-wins-2020-stupidity-award

アメリカに本社を構えるドメインレジストラ・レンタルサーバサービスの「GoDaddy」は、2020年12月14日に数百人の従業員宛で650ドル(約6万7000円)のボーナス通知をメールで送りました。

実際に送信されたメールのスクリーンショットが以下。

「GoDaddy HOLIDAY PARTY」というイラストの下には、以下のようにメッセージが続きます。

メッセージには「毎年恒例のホリデーパーティーで一緒に祝うことはできませんが、感謝の気持ちを表し、650ドル・1回限りのホリデーボーナスをシェアしたいと思います！ホリデーに一度きりのボーナスを受け取ったと確認するために、あなたの所在地と詳細情報を12月18日金曜日までに送ってください」と書かれていました。

しかし、GoDaddyは2日後にメール返信者に対して、以下のようなメールを送りました。

「あなたは直近のフィッシングテストに失敗したため、このメールを受け取っています。あなたはソーシャル・エンジニアリングのセキュリティ・アウェアネス訓練を再受講する必要があります」

GoDaddyのフィッシングテストに失敗した人は約500人だったと伝えられています。フィッシング詐欺により企業の機密情報や従業員の個人情報が漏れることがあるため、企業は従業員の認識を確かめるためにテストが行うことがあるとのこと。フィッシングテストを実施する企業はGoDaddy以外にも存在し、アメリカの新聞社トリビューン・パブリッシングでも2020年9月にボーナス通知を装ったフィッシングテストが行われたことがわかっています。実際にメールを受け取った社員は「驚くほどの残酷さ」だと述べました。

GoDaddyは2020年5月に大規模なデータ流出が明らかになり、テストはこのような事態を防ぐために行われたものだとみられます。ただし、2020年はCOVID-19で雇用が不安定になり、GoDaddyでも一時解雇が行われたことから、このフィッシングテストは「残酷」「邪悪」と批判を浴びています。GoDaddyは各メディアのコメント要請に応えていませんが、前述のトリビューン・パブリッシングは後に「誤解を招く、無神経なものだった」と謝罪しました。

なお、従業員を試すようなフィッシングテストは従業員のやる気をそぎ、セキュリティ部門とその他の部門の間に亀裂が生じるなど、逆効果であるという主張もあります。

社内で「フィッシング詐欺試験」を行うとむしろ業務に悪影響が出る - GIGAZINE