サイバー犯罪者は、人を欺く道具として、かなり前から心理学を利用してきました。しかし私たちの側もまた、心理学的な現象を用いて、なぜ特定の犯罪手口が成功するのかを説明し、適切な保護戦略を組み立てることができます。攻撃の手口やそうしたものが成功する理由は、多くの心理学者によって分析されています。今回の記事では、フィッシング対策技術の有効性にもかかわらず、メールによるわなにはまる人が今でもいて多大な損害を被ることがあるのはなぜか、その理由を説明しようとする仮説を取り上げます。また、これに対して取り得る対策についても考察します。
スパム対策とフィッシング対策は、企業のオンラインセキュリティにおける重要な要素です。当社のエキスパートがサイバーインシデントを調査する際、発端はメールだったと判明するのはよくあることです。不特定多数に大量送信されたメールの場合もあれば、標的を絞ったメールの場合もあります。最近は典型的なフィッシングメールをメールフィルターでかなりの確度で特定できますが、それでも攻撃者は時折、(パートナー企業のメールボックスを乗っ取るなどして)フィルターをすり抜け、メールを着信させることに成功します。弱点となるのはいつも人間です。フィルターの効果が高いほど、すり抜けたメールが受信者をだませる可能性は高くなります。
実験
悪意あるメールの頻度と人がそれを特定できるかどうかの間に、直接の相関関係があるのではないか。そのような仮説を立てた、2人の米国人リサーチャーがいます。マサチューセッツ工科大学のベン・D・ソーヤー(Ben D. Sawyer)氏と、中央フロリダ大学のピーター・A・ハンコック(Peter A. Hancock)氏です(英語記事)。この仮説は、心理学の分野で昔から知られている「Prevalence Effect」を下敷きにしています(リンク先は英語)。聞き慣れない言葉ですが、簡単に言うと、人は頻度の高いシグナルよりも頻度の低いシグナルの方を見逃しやすい(検知しにくい)傾向があるというものです。
この仮説を検証するため、両氏は実験を行うことにしました。被験者にメールを送信し、そのうち一部のメールに悪意あるファイルを添付します。悪意あるメールの割合は被験者によって変え、たとえばマルウェアを添付したメールを受け取る割合がわずか1%の被験者もいれば、5%の被験者も、20%の被験者もいる、というようにしました。実験の結果は、脅威の出現頻度が低いほど、人はこれに気づきにくくなる、という仮説を裏付けるものでした。また、相関関係は直線的に推移するのではなく、対数関数的なものに近い結果となりました。
この実験はサンプル数が非常に少なく(被験者は33人)、また被験者は全員学生であったため、結論を言葉どおりに受け取るのは時期尚早というべきでしょう。しかし、心理学の分野でPrevalence Effectが実証済みであると一般に見なされていることを考えると、フィッシングメールに適用することもできそうに思われます。いずれにしても、ソーヤー氏とハンコック氏は、今後より充実した検証を行って仮説をさらに練り上げていくつもりだと述べています。
この現象について考えられる説明として、両氏はシステムの安全性に対する信頼が高まっていることとの関連性を示唆しています。すなわち、フィッシング対策のテクノロジーが人々を脅威から守ると同時に、人々の警戒を緩めさせている可能性です。ついでながら両氏は、サイバー犯罪者がその効果を知っていて意図的にマルウェアの送信頻度を減らしている可能性も仮定しています。
現実的な結論
ご想像のとおり、私たちは自動化されたセキュリティシステムの利用を断念しようと主張しているのではありません。しかし、ソーヤー氏とハンコック氏の仮説が正しいなら、たまにはフィッシングメールに遭遇することがあった方が得るものがあると考えることができます。もちろん、本物のフィッシングメールではなく、トレーニング用に準備したメールを使って。
両氏の仮説が最終的に否定されたとしても、そうしたトレーニング用メールを使った社員教育に害はないはずです。少なくとも、トレーニング担当者は自社の弱点となる社員を把握できることでしょう。