私たちが「脆弱性」という言葉を使うとき、普通はコーディングのエラーや、情報システムの弱点などのことを言っています。しかし、他の種類の脆弱性もあります。それは、被害者になりそうな人の頭の中に潜む脆弱性です。
サイバーセキュリティへの認識が足りないとか、セキュリティ対策を怠っているなどという話ではありません。そのような問題であれば、対処方法はある程度分かっています。ここで言う脆弱性とは、人間の脳は、ときにITセキュリティのエキスパートが考えるのとは違う働きをするということです。ソーシャルエンジニアリングに巻き込まれる場合には、そういうことが起こります。
ソーシャルエンジニアリングの本質は、社会学と心理学との融合です。あらかじめ定められた結果に導くために、環境を作り上げていく技術の集結です。サイバー犯罪者は、人間の恐怖心、感情、感受性、反応などを自在に操って、望みの情報を手に入れます。現代の標的型攻撃で、中心となっているのがこの手法です。
詐欺師は、主に以下のような感情につけ込みます。
- 好奇心
- 同情心
- 恐怖心
- 金銭欲
これらは人間が持つ自然な感情ですから、脆弱性と呼ぶのは適切ではないかもしれません。相手を揺さぶるために犯罪者が利用する「感化の手段または経路」とでも言えばいいでしょうか。これによって、批判的思考の入り込むことなく自動的に反応してくれれば好都合なのです。サイバー犯罪者たちは、そのためのトリックをたくさん隠し持っています。手口はもちろんターゲットによって違いますが、今回は、よくある手法をいくつか取り上げて具体的に説明します。
権威への服従
これはいわゆる認知バイアス(行動、認知、思考の偏りの体系的なパターン)の1つです。一定の実績や権力を持つ人に対して疑問を持たずに服従し、そうした行動の正当性について自分自身で判断するのをやめてしまう、という傾向に根ざしています。
これを利用するタイプのソーシャルエンジニアリングは、上司から送られたと見せかけるフィッシングメールです。セクシーなダンスをする姿を自撮りした動画を友だち10人に送りなさい、などというメールが来たら、普通は考え直します。でも、新しいプロジェクトの書類に目を通しておくようにという内容のメールなら、添付ファイルをクリックしてしまうのではないでしょうか。
時間的制約
一番よく使われる心理操作のテクニックは、切迫感を作り出すことです。知識に基づいた冷静な判断を下すには、関連する情報を詳しく調べる必要があるものです。それには時間がかかります。この貴重な時間を、詐欺師たちは奪おうとするのです。
犯罪者は感情を操るために、恐怖をあおったり(「あなたのアカウントへのアクセスが試みられました。心当たりがない場合は、すぐにこのリンクをクリックしてください」)、楽にお金を手に入れたい欲望を刺激したりします(「先着10名様限定の割引。今すぐクリック」)。残り時間があとわずかだと思うと、衝動に負けてしまい、冷静な判断ができずに感情のまま判断を下す可能性が飛躍的に高まります。
このタイプに分類できるのは、「緊急」と「重要」を声高に主張するメールです。効果を高めるために、危険を示す色である赤でそうした単語を強調表示してあることがよくあります。
オートマティスム
オートマティスムとは、意識とは直接関係なく起こされる行動を指す、心理学の用語です。オートマティスムには一次的な(最初から意識しない)ものと、二次的な(思考によりあえて意識しなくなった)ものがあります。また、オートマティスムは運動、発話、精神の分野に分類されます。
サイバー犯罪者は、受信者の誰かが反射的に反応してしまうようなメッセージを送ってオートマティスムを誘発しようとします。例を挙げると、「メールを送信できませんでした。ここをクリックして再送信してください」という類のメッセージ、目立つ「購読停止」ボタンが付いた煩わしいニュースレター、SNSの「新しいコメントがあります」通知に見せかけたメールなどがあります。この場合に現れる反応は、運動と精神の二次的なオートマティスムによるものです。
思いがけない告白
これもよくあるタイプの心理操作テクニックです。誠実な告白と同時に与えられる情報は単独で届くよりも疑われにくい、という事実を悪用するものです。
このタイプに分類できるのは、次のようなメールです。「大変申し訳ございません。当社でパスワードの漏洩が発生したことを確認いたしました。本件の影響を受けるお客様の一覧を添付いたしますので、ご自分が該当するかどうかをこちらでお確かめください」
対策
不本意にもサイバー犯罪者の思うままに操られてしまう認知のゆがみ、これは生物学的なものです。脳の進化の過程で現れた認知のゆがみのおかげで、人間は社会に適応し、時間やエネルギーを温存できるようになりました。ゆがみの大部分は批判的思考スキルの欠如からくるものであり、適応の多くは現代社会の実態と合っていません。しかし、恐れる必要はありません。人間心理について少々知識を付け、以下を参考にすることで、人間心理を操ろうとするサイバー犯罪者に対抗できるようになります。
- 会社の上司から来るメールを、批判的な目で読むことを習慣化しましょう。上司がパスワードで保護されているアーカイブを開くように言ってきたが、そのパスワードを同じメールに書いてきたのはなぜだろうか?口座にアクセスできるはずのマネージャーが、新しい取引先への送金を自分に頼んでくるのはなぜだろうか?普段とは違う仕事を割り当てるときはいつも電話をかけてくるのに、今回メールで連絡してきたのはなぜだろうか?何かがおかしいと思ったら、別のコミュニケーション方法を使って、疑念を解消してください。
- 至急の対応を求めるメールが来ても、すぐには反応しないでください。動揺させられるような内容であっても、落ち着きましょう。何かをクリックする前に、送信者、ドメイン、リンクを必ず確認してください。それでも怪しさが残るなら、IT部門に相談しましょう。
- 特定のタイプのメールについ反応してしまう傾向を自覚しているなら、自分が取りがちな行動を、ひととおり意識的に思い返してみてください。反射的な行動の抑制に役立つことでしょう。重要なのは、必要なときに意識できるかどうかです。
- フィッシングの罠に引っ掛からないためのヒントを、おさらいしましょう。以下のKaspersky Daily記事を参考にしてください。
- 実績のあるフィッシング対策技術を備えたセキュリティ製品を使用しましょう。犯罪者が侵入しようとしても、ほとんどの場合、最初の段階で撃退できます。