“私は大丈夫”を悪用 詐欺メールにだまされないためのFBI流フィッシング対策:怪しいメールを開いてしまう心理を読み解く
フィッシング攻撃はその巧妙さを増しており、簡単には見抜くことが難しくなっている。FBIの専門家が指摘する、人の「信頼」を悪用するフィッシング攻撃の危険性と、理解しておくべき人の心理的な特性とは。
人の心理でフィッシング攻撃を防御することはできるのか――。米連邦捜査局(FBI)のデービッド・ファイン氏は、2024年10月から11月にかけて開催された年次イベントHealthcare Cybersecurity Forumにおける講演で、そう問い掛けた。イベントの主催は医療情報管理システム学会(HIMSS:Healthcare Information and Management Systems Society)だ。
ファイン氏の講演内容は、人の心理を利用するフィッシング攻撃がなぜ効果的なのかを読み解くとともに、人の心理で対抗するためのポイントを解説するものだ。なぜ人はフィッシングメールにだまされてしまうのか。フィッシング攻撃への効果的な対策とは何か。同氏の見解を基に解説する。
人はなぜ“うっかり”メールを開いてしまうのか
フィッシング攻撃をはじめとするソーシャルエンジニアリング(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)は、医療などのさまざまな業界における主要なサイバー脅威だ。2023年に米インターネット犯罪苦情センター(IC3:Internet Crime Complaint Center)に寄せられたフィッシング攻撃の苦情は30万件だった。これは同年にIC3へ寄せられたインターネット犯罪に関する苦情の中で最多を記録している。
2024年4月、Google傘下のセキュリティベンダーMandiantは年次レポート「M-Trends 2024 Special Report」を公開した。それによると、フィッシング攻撃は一般的な初期侵入手段の一つである一方、近年は従来のセキュリティ対策を揺るがすものになりつつあるという。攻撃者はフィッシング攻撃を使うことで、メールやSMS(ショートメッセージサービス)、ソーシャルネットワークサービス(SNS)といった複数のコミュニケーション手段を通じて標的を絞ったり、より多くの人に攻撃を仕掛けたりすることができるようになった。
米保健社会福祉省(HHS)は2024年10月、医療分野を標的にするサイバー攻撃集団「Scattered Spider」の情報を公開した。Scattered Spiderは、ビッシング(音声を使うフィッシング攻撃)やAI技術を、標的に対する初期侵入手段として利用している。
ソーシャルエンジニアリングを使った攻撃は衰える気配を見せない。「それにもかかわらず、人は知人から届いたメールに問題はないと無意識に信じてしまう。私たちはそのように刷り込まれている」。ファイン氏はこう指摘する。自分が信頼する人が詐欺メールを送ってくるはずはないと考えてしまうのだ。
攻撃者は、受信者がその内容に疑問を持たないようにフィッシングメールを作成する。「無意識の思い込みや直感に基づいた判断、メールの受信者が信頼する人物との信頼関係を利用して攻撃を成功させる」とファイン氏は説明する。
フィッシングメールが成功する理由は、正規のメールとの見分けが付きにくい点にある。フィッシングメールが登場した当初は、警戒心を持つ受信者であれば、メール本文中の誤字や不自然なリンクを見つけて警戒できた。しかし攻撃者がAI(人工知能)技術を使ってメールを作成できるようになったことで、フィッシングメールは巧妙化。その結果、受信者が一目見ただけではフィッシングメールとそうではないメールを区別しにくくなった。警戒心を持つ受信者でさえ悪意のあるリンクをクリックしたり、QRコードをスキャンしたりしてしまうメールを作成できるようになった。
人の心理を生かしてフィッシング攻撃を封じ込めるには
対策1.思い込みの排除
人は本来、受け取った情報を信頼しやすい特性を持っている。そうした特性を理解することが、防御策を構築するための第一歩だとファイン氏は提案する。サイバー攻撃者はこの特性を認識しており、標的が信頼する人やサービスを装って、信頼関係を悪用したメールを送信する。
フィッシング攻撃を技術だけで防御するには限界がある。脅威を検出する技術をそろえることは重要だが、疑わしいメールが届いた場合に適切な判断ができるかどうかは受信者次第だ。
ファイン氏はフィッシング攻撃への効果的な対策として、人の心理を活用したトレーニングを挙げる。「情報をすぐにうのみにしないこと、まずは疑問を持つこと、客観的な情報に基づいて判断できるようにすることがフィッシングメールに対する最良の防御策だ」と同氏は補足する。
「『自分が信頼する人や組織から届いたメールであれば問題はない』という思い込みにあらがうことが重要だ」とファイン氏は指摘する。この思い込みこそがフィッシングメールを防御するに当たっての最大の障壁なのだ。
対策2.セキュリティ文化の醸成
ある従業員がミスを犯したとき、他の従業員が、その問題をその従業員だけの問題だと捉えないようにしなければならない。ファイン氏は、「自分もその問題を解決するための一員だという意識を全従業員が持つことができたり、ミスを安心して報告できたりする職場を構築することが必要だ」と強調する。
対策3.フィッシングメールのシミュレーション
ファイン氏が企業から相談を受けた場合、実際に受信しそうなフィッシングメールの偽物を作成することを勧めているという。
「メール中のリンクのクリック率が高いフィッシングメールを作成してほしい。それが従業員にとっての学びの機会となるからだ。トレーニング中であれば、リンクをクリックすることは何も悪いことではない。クリックした結果、従業員は自分の弱点を認識できる」(ファイン氏)
TechTarget.AIとは
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。