メディア記事

自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。

バズる指数ピーク 1,194

 twitterコメント 667件中 1~100件
ほ?(語彙力)
ここまでやるとは。。。
◼︎訓練といえばこれやな
すごい。これ現場でやられたら泣く。
「外部からの攻撃を防ぐ方法はすでにある程度パターン化している」「クラウド活用を前提としたセキュリティ対策では「従業員の端末や社内の人たちをどう守るかが重要になる」」
「標的型攻撃とランサムウェアを組み合わせたシナリオを基に全社的な訓練」「AWS上のDBからデータを盗み出し、バックアップを消した上で、自社のCEOに社内SNSを通して身代金を要求」
「クラウドネイティブな環境」「全環境をクラウド上に複製し、訓練環境を作ることができる」「こうした訓練を日常的にやりたいなら、クラウドネイティブにならざるを得ない」
大規模サービス運用の 面白い記事。 大変そうだ
気になる今日のニュース
自治体から「BTC Paid」「Hello」など91万件 踏み台攻撃で送られた迷惑メールの件名公開
このfreeeの話本当に好き
すんごい活動だ
マジすごい
なかなか勇気のあることをやってて、面白い。
今日はfreeeで行われた障害訓練の話「
>
ここまでやるのすごい。
でも大事!
あとでよむ
おもろw
すごい(語彙力)
読んでいて凄いと思いました。恐怖とも興奮とも思える感情を感じました!
これすごいな…
すごい本格的な訓練!

>どんなにちょっとしたことでも「これはまずいんじゃないか」と周囲に報告できる環境

この意識!これが当たり前な社内環境こそ全ての企業が目指すところだと思う
freeeは2021年10月標的型攻撃とランサムウェアを組み合わせたシナリオを基に全社的な訓練を実施。AWS上のDBからデータを盗み出しバックアップを消した上で自社のCEOに社内SNSを通して身代金を要求したという。訓練を主導したのは製品やサービスのセキュ
面白いな
自社のクラウド環境に侵入され、データベースから経営に欠かせないデータを持ち出される。あえて再現し、訓練という形で自社のCEOに身代金まで要求した企業がある。
〉インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則。
訓練でミスって晒の上反省文とかやらされたことある
すげぇ
【本日の 「従業員がトラウマに…」freeeが本当にやった障害訓練の舞台裏


シュワちゃんがロシア国民へ宛てたメッセージ

味の素


[読切漫画] マリトッツォだっつってんだろ
スゲ~時代なんだと痛感😎
あっお湯が沸いた😑
大胆なことするよなぁ
すげぇことやっとるやんけ……😨 QT
なるほど。
障害訓練いいよ。やったことある。連絡体制の不備などが顕在化して学びがあるので是非やりましょう。
>インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則。
乗り遅れましたがこの記事すごいですね。本当にありそうな攻撃パターン。
サイバー戦争時代に片足を突っ込んでいる現実を思い知らされます。
おぉお。これはすごい…!
たしかに今後どんどんこういう想定、必要になるよね。
良い訓練だね。上層部が足を引っ張るという事実に気づける。
じ、「実戦」に勝る経験は無しっていうけどマジで実戦訓練やったの凄いな・・・。
すごい(小並感)。
ブコメではポジティブな意見が多いけど記事本体のコメは荒れ気味なのはなぜだ?
ここまでやるんか…。すごい。
見出しだけで怖い
無予告でやるからこそ課題が洗い出されるし良い訓練になるけど、確かにトラウマにはなるよなw
いや、本当にインシデント起こってのトラウマよりは遥かに良いんだけど。
これウケてるみたいだけど、下品な会社のやることだと思う
へー😳
面白いことやってるなー
freeeさん。
過去の反省もあるとはいえ通常業務もあるだろうに。良い取り組みだと思う。
ぎゃー!クラウドならではかー。
社内組織、楽しそう
たしかにこれはトラウマになるな、、
サービス停止はヤバいので参考にしたい。
事前に小さな訓練を何度かやらんとほんとにトラウマになりそう。
何かもう色々アウトな事が書いてあるような

1週間は寝れなくなるわ
すげ……、とは思うけど本来の訓練ってここまでの想定が必要なのかなと思ったり
これ、実施からたった半年で成功事例と断定していいんだろうか。社員数650人にもなるとこの件でPSIRTに不満を持つようになった人は一定数いるはず。すでに発見的統制を優先してるとあるし。
台場の会社で全社メールクリックしたら負けみたいな変な訓練見た。
すげえ
せっかくここまでやってるんだから、freeeは「解約時の執拗な引き止め」をやめた方がいいと思う。何年も前だけど、サービス利用をやめようとした時の引き止めが多段すぎて呆れた。
訓練だけど、機能するマルウェア仕込むとか不正にアカウント乗っ取るって、「不正指令電磁的記録に関する罪」に引っ掛かりそうで怖い。
へー。それより反対科目を一発訂正できず、削除してから再入力させる業務用有料サービスとは思えない理不尽仕様をなんとかした方がいい。
おおすげえとか思っちゃうけど、未来はITダーとか言い始めた頃からネットに接続するあらゆる企業、とくに官公庁がこういうことをやる「はず」だったのでぶよね( ˘ω˘)
これ凄い
PSIRTとCSIRTが並列してると、組織運営的に面倒だったりしないのだろうか。
--
パイセンさすがっす
危機感を与えつつ、『どんなにちょっとしたことでも「これはまずいんじゃないか」と周囲に報告できる環境』を目指しているところが良さげですね
すごい訓練だ😭
そして問題が発生した時のこの考え方、大事だよね

『インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則。仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任。』
自社のDB破壊しCEOに身代金要求、クラウド会計サービスを提供するfreee(株) が本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」 :本来こんな凄まじい訓練までやらなきゃならないとは恐れ入った。
泣きそう…
楽しそうな事してますな(*・ω・)
これは凄いわ…色んな学びと目的が
【当たり前だが、CEOに脅迫状が届いたという情報を全社に開示するわけにはいかない。かといって、その情報をいつ、誰に提示すべきかといった話は、そもそも決まっていなかった。】
「仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任。びくともしない仕組みや取り組みを、会社としてやっていくことが大事」
すごい…ここまでの訓練見たことない
おもろ
本当にやったんだ!
リアルでやりたいって思っている人多そう(しない
す、すごいなーー。これ。
なかなかここまでは出来ないけど、戻せないバックアップよりよっぽど良いね。
見習ってほしい企業は今でもオンプレだったり、ホスト使ってたり。やっちゃえルカワくん。
freeeのクラウド障害訓練、恐るべしΣ░(꒪◊꒪ ))))
すげえなw
確かにこういう訓練大切かも、、
こっわ…まあこういうレベルの訓練しててもらえるからユーザーとしては安心して使えるのよね
これほんと面白かったな。カオスエンジニアリング出来る余裕があるのがすごい。いや無いんだろうけど作り出した事がすごい。
これ、実際当事者として関わったなら、ゲロ吐くレベルなんだろな。。
多田さん、軍隊におけるアグレッサーだ。めちゃかっこいい
ひょええ…
こわっ!
なかなか面白いお話を見つけたので読んでました
freeeさんの社内訓練スゴすぎw
すごい。AWS も意図的に障害起こすプログラム走らせてると言うし、クラウド会計のデータの機密性考えたらやりすぎってことはないからな
何事も、いざという時にどう動くのかは日頃の訓練が大事。何処の会社もやるべき訓練だと思うけどね。出来ないところが多いんだろうな。>
真似したい訓練
4478フリー
ゲリラ的に火災報知器鳴らして避難訓練してた会社よりも心臓に悪い😭
まじ心臓に悪い。
自分が佐々木だったら、退職するレベル。

DB破壊とバックアップ削除はテスト環境に対しての攻撃らしいので、なんとか息できるが、本番環境にやられたらマジ卒倒する。

やるなら、事前に連絡が欲しい。
胃に穴が空く。

自社のDB破壊しCEOに身代金要求
本当はここまでやるべきだろうけど、なかなか難しいだろうなー。
ガチのトラウマになるやつ…
こういう企画を立てられるエンジニアになりたい。
怖すぎるから訓練受ける側にはなりたくないw
気になる今日のニュース
企業全体の約3割「1カ月以内にサイバー攻撃を受けた」 ウクライナ侵攻やEmotetの影響で攻撃増加か
こりゃスゲーな。こーゆー演習を役所や銀行でもできるようになったらな
パソコンを無くしたときの訓練をやったら大混乱しそうだけど、やったほうがいいなぁ
スゴイ>
昨日の"よるラボ"はクラウド会計をテーマにしたんだが、終わった後にクラウド上のデータがふっとんだらどうすんのって話が出て、とてもタイムリーな記事。
こんなんトラウマなるわ笑
タイトルとURLをコピーしました