『重要な更新があります』系なんだけど文面が微妙に怪しい。情シスに聞く前に確認ポイントまとめたい。
押すな。
会社PCの「重要な更新」は情シス経由かWindows標準か確認してからだろ。
変なボタン押したらそれセキュリティ的にアウトだぞ
結論から言うと偽物に決まってるだろ
本物なら文面が微妙に怪しいとかならないんだよ
>>2 これ
とりあえず押すな、閉じるな、電源も切るな
情シスに「こんなん出てます」で投げろ
アジェンダ共有します
1 押さない
2 文面を確認
3 ステークホルダーである情シスへエスカレーション
以上ASAPで対応
スクショ貼れ
文面見れば一発で分かるんだよ
間違いないから
>>7 スクショ貼らせるな
会社名、端末名、ユーザー名、内線、通知元URLが映ったら個人情報だぞ消せ案件
スクショ貼った瞬間に社内規定違反で詰むやつ
就職はもう詰んだ
>>8 の言う通りだな
貼るなら本文だけ手打ちで、固有名詞は伏せろ
通知元のアプリ名も伏せすぎると何も分からんけど
文面のトーンがKPIだな
「いますぐ」「期限切れ」「確認してください」はだいたい緊急性でドライブしてくる
はっきり言って「重要な更新があります」は釣り文句なんだよ
本物の業務通知なら管理者名とか配信元が明確なんだよ
通知より今日の昼飯が重要なんだが
カップ麺の粉末先入れか後入れかで揉めてる
>>13 後入れに決まってんだろ
いやスレ違いだけど今それどころじゃない
確認ポイントは
通知元プロセス名
署名の有無
社内ポータルに同じ告知があるか
URLが社内ドメインか
ここだけでだいぶ絞れる
>>15 コンセンサス取りたい
ただしURLクリック確認はNGで、プロパティ確認までにコミットする感じで
>>15 いやプロセス名とか見てる時点で勝ちなんだよ
本当にやばい奴は見た瞬間に胡散臭い
間違いない
俺の会社PC、通知出ても全部Teamsだわ
Teamsだけで人生が削られる
>>7 じゃなくて>>1 が文面だけ書け
「重要な更新があります」の次の一文が勝負
あとQRコード出てたら絶対読むな
スマホに逃がすタイプもある
会社PCから個人スマホに誘導とか特定されるぞ
「情シスに聞く前に確認ポイントまとめたい」←ここがもう罠
聞け
情シスはそのためにいるんだよ
情シスをボトルネック扱いするな
彼らはリスクマネジメントのラストディフェンスだぞ
>>23 増えるわけないだろ
会社が社員に得する通知を出すわけないんだよ
>>23 そういう甘い文言が一番危ない
賞与、福利厚生、更新、容量不足、このへんは踏ませに来る定番
今北
これはプッシュ通知なのかブラウザ通知なのかアプリ内モーダルなのか、まず粒度を合わせよう
>>27 そこ大事
ブラウザ右下ならサイト通知の線あるし、Windowsの設定画面から送信元見れる
でも押すな
>>29 これ
>>1 生きてるならまず押さずに送信元名だけ見ろ
通知の本文じゃなくて出してるアプリ名な
Windowsなら通知センター開いてもクリック扱いにならん場合が多いが、通知本体は触るな
設定→システム→通知で送信元確認
そこに変な名前いたらそれセキュリティ的にアウトだぞ
こういうの通知音だけで心拍数上がる
HSP気質なんで会社PCの警告文ほんと無理
関係者だけど、最近は正規っぽい名前に一文字足すやつ多い
Microsoft UpdateじゃなくてMicrosoft Updatesとか
ここだけの話、見た目で判断する時代は終わってる
海外だとそれ常識だぞ
会社端末でunknown notification出たら即IT ticket
自分で判断するのが一番危ない、it's common sense
これは偵察段階だな
敵はまず通知で反応を見る
押さないのは戦略的撤退じゃなくて通常防御行動
>>31 の言う通りだな
本文より送信元
>>1 は「重要な更新」って文面より、どのアプリが出してるかを書け
あとスクショ貼るなら会社名、端末名、ユーザー名、時刻、Wi-Fi名は消せ
個人情報だぞ消せ
通知に端末IDっぽいの出てることもある
業界の人間として言うと、会社の更新通知なら大体MDMかEDRの名前が出る
Intune、Company Portal、CrowdStrike、Defenderあたり
謎の日本語だけ出るならかなり怪しい
>>37
消せって強く言われると傷つくわ…
でも言ってることはわかる
こっちでは普通だけど、会社が管理してる更新なら署名とかcertificate chain見る
ただ社員にそこまでやらせる会社はだいぶ終わってる
>>40
証明書きたな
でも>>1 に証明書見ろは荷が重いから情シス行きでよくね
証明書って単語が出たから補足するけど
署名済み=安全ではない
署名者が正しいか、失効してないか、配布元が正しいかまで見る話
補給線が正しいか確認しろってことだな
どこから来た更新か不明な弾薬を自陣に入れるな
ここだけの話、社内の訓練メールや訓練通知ってわざと微妙に怪しく作る
ただ本物も微妙に怪しい文面の会社あるから地獄
>>44 これ
訓練か本物かを社員が当てるゲームにするなって話なんよ
日本遅れすぎwと言いたいけど、海外でも社内通知の日本語版みたいな翻訳文は怪文書になる
Update required immediately pleaseみたいなやつ
訓練だったとしても通知で試されるのしんどい
繊細さんだから普通に先に言ってほしい
先に言ったら訓練にならんが、連絡先だけは明示しておくべき
怪しい時はここへ、って窓口がない会社は運用が脆弱性
>>48
結論出てるじゃん
>>1 は確認ポイントまとめる前に情シスへ転送でいい
現場判断で開封は前線の独断専行
司令部、つまり情シスに上げろ
兵站考えろ
関係者だけど、最近の社内端末はEDRが警告出す時にベンダー名じゃなく社内独自名に変えてたりする
だから名前だけで偽物確定も危ない
>>51
だからこそ情シスに聞けなんだよ
正規の独自名なら情シスが把握してる
把握してない通知ならインシデント
>>52
これ
ITが知らないcompany PC notificationとか普通にred flag
red flagって言い方だけで怖い
でも赤い旗見えてるなら近づかないのが正解か
ここまでの暫定
1 押すな
2 送信元名見る
3 スクショは情報消す
4 情シスに投げる
安価なら>>1 は報告
オフレコだけど、送信元名が「System Notification Service」みたいな汎用名ならかなり嫌
本物の社内ツールでもやりがちだから余計に嫌
汎用名は迷彩だな
迷彩服着てるから味方とは限らん
識別信号を出せない相手は撃たずに上へ報告
あと通知からURLが見えるならドメインだけメモれ
ただし開くな
短縮URL、punycode、社名っぽい別ドメインは特定されるぞ
>>58
ドメイン見るだけでもクリック誘発しそうだから怖い
>>1 は手で書き写すくらいでいい
punycodeはマジである
海外だとそれ常識だぞ
microsoftに見える別文字とか、普通の人は気づかない
普通の人は気づかない罠を普通の人に踏ませないでほしい
HSP気質なんで社会が雑だと疲れる
業界の人間として言うと、訓練なら押しても教育ページに飛ぶだけの設計が多い
でも本物だったら認証情報抜かれる可能性あるから、試し押しは絶対なし
>>62
試し押しは本当にダメ
クリック時点で端末情報、IP、ユーザーエージェント、時刻が相手に渡る
個人情報だぞ
>>63
おじさんの心配性モード入ったけど今回は正しい
押すなと言われると押したくなる心理も兵の統制で一番危ない
命令は単純にしろ
押すな、報告、待機
>>65
militaryっぽいけど実務もそれ
don't click, report, wait
ここだけの話、情シスはこういう問い合わせを嫌がってない
むしろ後から「押しました」の報告が来る方が100倍つらい
>>68
これは本当
早期報告は被害範囲を狭める
黙って触るのが一番セキュリティ的にアウト
>>68 >>69
情シス連絡派が多数になりました
>>1 、民意は出たぞ
多数決じゃなくて指揮系統の問題だけどな
でも方向は同じ
司令部へ通報
送信元名の違和感って具体的に何なんだろ
Company PortalじゃなくてCompany Update Portalとかならかなりphishy
正規っぽい名前の例
Windows Update、Microsoft Defender、Company Portal
怪しい例
Windows Security Center Update、System Required Update、PC Support Notice
もちろん会社ごとに違うから断定はするな
怪しい例が全部ありそうで嫌
文面作る人もう少し人間に優しくして
関係者だけど、社内ツールの名前が古いまま通知だけ新しくなるパターンもある
証明書の発行者だけ新会社名とか
買収後の会社でよくある
>>75
雑情報なのに妙にありそうで困る
でも結局>>52 に戻るんだよな
最後に確認
通知を閉じるボタンも本物の閉じるとは限らん
キーボードのEscで消えるならそれで
消えないならその画面のまま情シスへ
戦況整理
敵味方不明、送信元名に違和感、証明書も素人判断不可
結論、現地部隊は触らず司令部待ち
>>77 >>78
触らないで情シス、ここまででスレの結論出てる
あとは>>1 が情報を盛らずに出せるかどうか
結論から言うと押したら終わりに決まってんだろ
会社PCの通知で迷った時点でアウトなんだよ
間違いないから
すまん文面もう一回見たら
『重要な 更新があります』ってなってる
重要な と 更新 の間がなんか広い
>>81
それ全角空白ならかなり嫌なサインだぞ
本物の通知で文面に変なスペース入るのは珍しい
スクショ貼るなよ、個人情報だぞ消せ
>>81
そのスペースはUIコピーの品質管理KPIが死んでるか、フィッシング側のテンプレ差し込みミスかの二択でアジェンダ化したい
まあ俺に言わせればな
全角空白だけで断罪するのは早い
ただ会社PCでそれを見つけた瞬間、ユーザー判断フェーズは終了なんだよ
俺の場合は前職で似た通知出て、全角空白あったけど情シスの作った雑な社内アプリだった
まあ俺は押す前に電話したけどな
>>85
社内アプリが雑な時点でそれも問題なんだよ
普通の社員に判別させる設計が間違いなんだよ
間違いない
>>81 >>82 >>84
新情報
文面に全角空白疑惑
>>1 、送信元名も一字一句そのまま書け。社名とか部署名は伏せろ
送信元名は「社内Update Center」って出てる
でもいつもメールで来るやつは「社内Updateセンター」だった気がする
カタカナか英語かの違い
>>88
それセキュリティ的にアウト寄りだぞ
正規名と微妙に違うのは典型的に危ない
ただ社内の表記揺れもあるから断定せず情シスへ
>>88
偽物に決まってるだろ
Update CenterとUpdateセンターを混ぜる会社なんか存在しても許されないんだよ
間違いない
コンセンサス取りたいんだけど
社内更新名のナレッジベースと通知タイトルが不一致なら、ASAPでインシデント候補としてエスカレーションだぞ
>>90
断言が強すぎる
古参的にはこうなんだよ、表記揺れする会社ほど本物も偽物も見分けがつかない
だから地獄
>>88
「社内Update Center」
「社内Updateセンター」
この差は小さいけど気持ち悪い
>>1 、いつもの通知はポータル経由?ポップアップ?
いつものはたぶんメールで、リンク押すとポータルに飛ぶやつ
今回のは画面右下にぬるっと出てきた
あと閉じるボタンは右上にある
>>94
閉じるボタン押すな
通知内のボタンは全部信用しない
Alt+Tabで他の作業に移れ。可能なら画面そのまま離席せず情シスに電話
俺の経験だと右下ポップアップは資産管理ツールの通知で出ることある
ただ文面が怪しい時は社内でもだいたい誰かがSlackで騒ぐ
まあ俺はまず周りを見るけどな
周り見たら隣の同僚にも出てたっぽい
で、そいつ押したらしい
今なんか再起動っぽい画面になってる
>>97
はい終わり
同僚が踏んだんだよ
そのPCネットワークから切る案件に決まってるだろ
>>97
同僚に余計な操作させるな
電源を雑に切るのも判断が必要だから、まず情シスへ即連絡
端末名やユーザー名をここに書くなよ、特定されるぞ
>>97
急に本番感出すな
押した同僚がいるならもうスレで推理してる場合じゃない
電話しろ、チャットじゃなくて電話
残りのレスを読み込む