情報セキュリティと心理学
■情報セキュリティと人間の脆弱性
サイバー攻撃者はコンピュターネットワークを介するだけでなく、心理学的な手法も取り入れることにより、巧妙に攻撃してくるようになっています。
情報セキュリティと心理学は一見関係なさそうに見えますが、非常に重要でしかも解決が困難な問題があります。
それは「人間の脆弱性」です。
これは、人間が手作業で行うことがある以上はコンピュータシステムでは防ぎきれないセキュリティ脆弱性です。
では、このような人間の脆弱性という、コンピュータシステムの脆弱性以外の脆弱性に対してどう向き合っていけばよいのでしょうか?
この問いに答える前に、最近、日本の航空会社で実際に発生した事例を見てみましょう。
■JALのビジネスメール詐欺被害について
報道にもありましたが、日本航空は2017年8月24日~2017年9月29日に計3回、詐欺メールにより送金をしてしまいました。
これによると、本物のメールアドレスに似せたメールアドレスで取引先になりすまし、企業の経理部門等の担当者を騙し、送金指示をしていました。
担当者はメールアドレスを本物と思いこんで処理をしていました。
一方、IPA(独立行政法人情報処理推進機構)は2017年4月3日、「偽口座への送金を促す”ビジネスメール詐欺”の手口」の注意喚起を行っていました。
(参考)
詐欺メールは2件、そのうち2件目はIPAが注意喚起していた本物のメールアドレスと1文字違いのメールアドレスを使った手口によるものでした。
この手口に対して、担当者はメールアドレスに気を付ければ防ぐことができたのでしょうか?
一方、スカイマークでも海外の取引先・担当者を騙ったメールが届いており、受け取った担当者はメールの内容を信じて送金操作をしてしまっています。しかし、たまたま送金先口座が既に凍結されて送金できなくなっていたことから、詐欺と判明しました。
この結果、2通目の詐欺メールでは即座に詐欺と認識できています。
このことからも、攻撃者からのメール内容は人間が詐欺と気づきにくい巧妙な内容であったことが考えられます。
送金操作は取引先からの連絡に基づいて担当者が判断して行っている以上、対策としてビジネスメール詐欺に”気をつける”だけでは対策とはならないことがわかります。
コンピュータシステムの脆弱性を悪用したセキュリティ侵害以外には、以下のようなことがあります。
①物理的な漏えい
建物への侵入
これは人間の脆弱性を狙った攻撃です。
③ヒューマンエラーを狙った攻撃
これも人間の脆弱性を狙った攻撃です。ビジネスメール詐欺はメールアドレスにおいて目視による判断が難しいことを利用しています。
①については、生体認証システムによる入退室管理であったり、クロスカットシュレッダーの導入であったりなど、対策のためのソリューションは充実しています。
しかし、②、③のような人間の脆弱性を狙った攻撃に対して、どのように対応していけばよいのでしょうか?
■ヒューマンエラーを前提とした教育・訓練だけでは防げない?
ヒューマンエラーとその対策について、医療事故に関して述べた論文があります。
(参照)詳しくはこちら>>
これによると、対策を考えるポイントとして以下の5つについて述べています。
1.作業または危険を排除する(排除)
2.人による作業を置き換える(代替化)
3.人による作業を容易にする(容易化)
4.異常を検出する(異常検出)
5.影響を緩和する(影響緩和)
これを、ビジネスメール詐欺の対策にあてはめてみましょう。
まず、「排除」を考えています。この場合対策としては、
”許可アドレス以外のメールアドレスでのメールやりとりを禁止する”
ということが考えられます。
しかし、この対策は、電子メールの利便性が低下するため、実現は困難といえます。
または、取引先への送金業務をシステム化するということも考えられますが、実現は許される予算によります。
次に、「代替化」、「容易化」です。これはメールアドレスが偽物であるか、メール本文に怪しい部分があるか判断する作業をシステム化することが考えられます。
確かに、このようなことを自動化するセキュリティ対策システムは実用化し、実装も進んでいます。一方、このことによる問題も発生しています。
2017年11月のマイナンバー制度の本格運用に際し、全国の自治体がサイバーセキュリティ対策を強化しました。その中にメールセキュリティシステムの導入・強化もあったようです。そのためか、住民や民間業者からのメールや申請書類が届かないといったトラブルが45都道府県の300超の市区町村で発生し、業務に支障が出ていたことが共同通信の調査でわかりました。
(参照)
このように、電子メールセキュリティ対策には難しい一面があります。
「異常検出」、「影響緩和」については、以下の対策が考えられます。
”許可アドレス以外のメールアドレスでのやりとりが発生した際はアラート出力と同時に上長の許可を必要とするというビジネスフローをシステム化する。”
これは、メールの利便性はある程度低下し、かつ影響を完全に無くすことはできませんが、スカイマークの事例のように過去事例に基づく”気づき”の可能性は高まることが期待できます。
■ソーシャルエンジニアリングと人間の脆弱性
ソーシャルエンジニアリングとは、人間の心理的な隙や行動のミスにつけ込むことにより、情報システム技術を使用せずに重要な情報を盗み出す方法です。
これは、人間には心理的に以下のような脆弱性があることにより成立します。
社会心理学者のロバート・チャルディーニは、その著書『影響力の武器』(誠信書房)の中で、「人間には六つの脆弱性があり、この脆弱性を利用すれば、相手から承諾や情報などを簡単に得ることができる」と述べています。チャルディーニのいう脆弱性とは、以下の六つを指します。
- 返報性:人から親切や贈り物、招待などを受けると、それを与えてくれた人にお返しをせずにはいられない特性
- コミットメントと一貫性:自分の意志でとった行動が、その後の行動に一定の拘束をもたらすという特性。以下の三つの手法がある
ローボールテクニック:最初にある事柄を決めさせるが、後に決定した事柄が実現不可能であることを示し、代わりに最初の決定より高度な要求を認めさせる。例えば、バーゲンの目玉商品を宣伝しておいて、客がそれを購入しようとすると、「残念ながらその商品は売り切れてしまいました。ただ、少し高価にはなりますが同じような商品がございます」、などと言ってより高額な商品を購入させる
ドア・イン・ザ・フェイス テクニック:最初に実現不可能な要求を行い、相手を対応できない状況に追い込んだ後で最初の要求よりも負担の軽い要求をし、後者を実現させる
フット・イン・ザ・ドア テクニック:最初に誰も断らないようなごく軽い依頼を行い、続けざまに次のより重い要求の承諾を得る。例えば、最初に簡単な署名を依頼し、その後、より時間のかかる調査に協力してもらう
- 社会的証明:他人の考えにより、自分が正しいかどうかを判断する特性
- 好意:好意を持っている人から頼まれると、承諾してしまう特性
- 権威:企業・組織の上司など、権威を持つ者の命令に従ってしまう特性
- 希少性:入手し難い物であるほど貴重なものに思え、手に入れたくなってしまう特性
(参照)
これらに対してすぐに対策することは難しいですが、まずは知ることが必要でしょう。
そして繰り返し訓練を実施して実体験することにより、理解が深まることが期待できます。