フィッシング攻撃はその巧妙さを増しており、簡単には見抜くことが難しくなっている。FBIの専門家が指摘する、人の「信頼」を悪用するフィッシング攻撃の危険性と、理解しておくべき人の心理的な特性とは。
人の心理でフィッシング攻撃を防御することはできるのか――。米連邦捜査局(FBI)のデービッド・ファイン氏は、2024年10月から11月にかけて開催された年次イベントHealthcare Cybersecurity Forumにおける講演で、そう問い掛けた。イベントの主催は医療情報管理システム学会(HIMSS:Healthcare Information and Management Systems Society)だ。
ファイン氏の講演内容は、人の心理を利用するフィッシング攻撃がなぜ効果的なのかを読み解くとともに、人の心理で対抗するためのポイントを解説するものだ。なぜ人はフィッシングメールにだまされてしまうのか。フィッシング攻撃への効果的な対策とは何か。同氏の見解を基に解説する。
フィッシング攻撃をはじめとするソーシャルエンジニアリング(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)は、医療などのさまざまな業界における主要なサイバー脅威だ。2023年に米インターネット犯罪苦情センター(IC3:Internet Crime Complaint Center)に寄せられたフィッシング攻撃の苦情は30万件だった。これは同年にIC3へ寄せられたインターネット犯罪に関する苦情の中で最多を記録している。
2024年4月、Google傘下のセキュリティベンダーMandiantは年次レポート「M-Trends 2024 Special Report」を公開した。それによると、フィッシング攻撃は一般的な初期侵入手段の一つである一方、近年は従来のセキュリティ対策を揺るがすものになりつつあるという。攻撃者はフィッシング攻撃を使うことで、メールやSMS(ショートメッセージサービス)、ソーシャルネットワークサービス(SNS)といった複数のコミュニケーション手段を通じて標的を絞ったり、より多くの人に攻撃を仕掛けたりすることができるようになった。
米保健社会福祉省(HHS)は2024年10月、医療分野を標的にするサイバー攻撃集団「Scattered Spider」の情報を公開した。Scattered Spiderは、ビッシング(音声を使うフィッシング攻撃)やAI技術を、標的に対する初期侵入手段として利用している。
ソーシャルエンジニアリングを使った攻撃は衰える気配を見せない。「それにもかかわらず、人は知人から届いたメールに問題はないと無意識に信じてしまう。私たちはそのように刷り込まれている」。ファイン氏はこう指摘する。自分が信頼する人が詐欺メールを送ってくるはずはないと考えてしまうのだ。
攻撃者は、受信者がその内容に疑問を持たないようにフィッシングメールを作成する。「無意識の思い込みや直感に基づいた判断、メールの受信者が信頼する人物との信頼関係を利用して攻撃を成功させる」とファイン氏は説明する。
フィッシングメールが成功する理由は、正規のメールとの見分けが付きにくい点にある。フィッシングメールが登場した当初は、警戒心を持つ受信者であれば、メール本文中の誤字や不自然なリンクを見つけて警戒できた。しかし攻撃者がAI(人工知能)技術を使ってメールを作成できるようになったことで、フィッシングメールは巧妙化。その結果、受信者が一目見ただけではフィッシングメールとそうではないメールを区別しにくくなった。警戒心を持つ受信者でさえ悪意のあるリンクをクリックしたり、QRコードをスキャンしたりしてしまうメールを作成できるようになった。
人は本来、受け取った情報を信頼しやすい特性を持っている。そうした特性を理解することが、防御策を構築するための第一歩だとファイン氏は提案する。サイバー攻撃者はこの特性を認識しており、標的が信頼する人やサービスを装って、信頼関係を悪用したメールを送信する。
フィッシング攻撃を技術だけで防御するには限界がある。脅威を検出する技術をそろえることは重要だが、疑わしいメールが届いた場合に適切な判断ができるかどうかは受信者次第だ。
ファイン氏はフィッシング攻撃への効果的な対策として、人の心理を活用したトレーニングを挙げる。「情報をすぐにうのみにしないこと、まずは疑問を持つこと、客観的な情報に基づいて判断できるようにすることがフィッシングメールに対する最良の防御策だ」と同氏は補足する。
「『自分が信頼する人や組織から届いたメールであれば問題はない』という思い込みにあらがうことが重要だ」とファイン氏は指摘する。この思い込みこそがフィッシングメールを防御するに当たっての最大の障壁なのだ。
ある従業員がミスを犯したとき、他の従業員が、その問題をその従業員だけの問題だと捉えないようにしなければならない。ファイン氏は、「自分もその問題を解決するための一員だという意識を全従業員が持つことができたり、ミスを安心して報告できたりする職場を構築することが必要だ」と強調する。
ファイン氏が企業から相談を受けた場合、実際に受信しそうなフィッシングメールの偽物を作成することを勧めているという。
「メール中のリンクのクリック率が高いフィッシングメールを作成してほしい。それが従業員にとっての学びの機会となるからだ。トレーニング中であれば、リンクをクリックすることは何も悪いことではない。クリックした結果、従業員は自分の弱点を認識できる」(ファイン氏)
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
Metaに潰されないために残された生き残りの道は?――2025年のSNS大予測(Snapchat編)
若年層に人気のSnapchatだが、大人にはあまり浸透していない。一方で、AR(拡張現実)開...
「猛暑」「米騒動」「インバウンド」の影響は? 2024年に最も売り上げが伸びたものランキング
小売店の推定販売金額の伸びから、日用消費財の中で何が売れたのかを振り返るランキング...
Netflixコラボが止まらない 「イカゲーム」シーズン2公開で人気爆上がり必至のアプリとは?
Duolingoは言語学習アプリとNetflixの大人気ドラマを結び付けたキャンペーンを展開。屋外...