フィッシング対策のブレークスルー

河本孝之(Takayuki Kawamoto)

1st appeared: 2016-04-04 16:06:01.

ここでは、ニューヨーク州立大学バッファロー校でニューズを担当しているバート・ガンビニ(Bert Gambini)さんが書いた “UB researcher develops SCAM model to explain why people fall for spear phishing” (2016-03-29) という記事を取り上げます。

フィッシング・メール、つまり正統な事業者や公共団体から送信されたかのように見えて、実は不正なリンク先へ誘導したりマルウェアをダウンロードさせようとするメールを見分けるのは、なかなか難しいことです。そして、その見分け方を多くの消費者や上司・同僚・部下へ教えることも難しいものです。しかし、ガンビニさんが所属しているバッファロー校の情報セキュリティの専門家、コミュニケーション学部の准教授であるアルン・ヴィシュワナート(Arun Vishwanath)は、既存のトレーニングで成功してこなかった見分け方を、とうとう突き止めたとのことです。ヴィシュワナートさんは、フィッシング・メールの攻撃が成功するための複合的な影響を包括的に説明するモデルを、はじめて打ち建てたと言うのです。

ヴィシュワナートの指摘によると、大多数のフィッシング対策では、攻撃が成功する理由を実際に描くよりも、なぜ人々が攻撃の餌食になるかを攻撃者が知っているという前提で、攻撃を食い止めようとしてきました。

このヴィシュワナートさんのモデルは有償の論文を読まなければ詳細が分からないのですが、彼の強調しているポイントは分かります。攻撃が成功しているということは、つまり犠牲者が既に「見分けるポイント」に関心を払っていないということを意味しているのですから、実験施設で「いかにも危険」とされている目印を使って教え込んだところで効果は低いと言えます。そんなフィッシング・メールのあからさまな目印に、ふだんの業務で気づくくらいなら、誰も苦労はしない筈だからです。

こうした、認知心理学を使ってユーザの行動や判断を分析する事例は数多く知られています。2016年に入って連載が始まった、内田勝也さんの「『セキュリティ心理学』入門」という記事も、やはり情報セキュリティにおいて重要なポイントの一つは(なんとかシステムといった「ソリューション」だけではなく)人の判断や振舞いであるという着眼点で書かれています。実際に、ヴィシュワナートさんの「モデル」がどのていどの説得力をもつのかは分かりませんが、これまでのトレーニングに対する一つの指摘として興味深いものです。

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook


著者の簡単なプロフィール

河本孝之(かわもと・たかゆき / Takayuki Kawamoto)

大阪市内のベンチャー企業で Chief Privacy Officer(個人情報保護管理者)として、情報セキュリティにかかわるマネジメントや社内システム、ネットワーク全般の運用を担当。1968年、東京都目黒区生まれ。神戸大学大学院博士課程中退(科学哲学専攻)。日本科学哲学会所属。Twitter アカウントは @identifiable_me