ユーザーがフィッシング攻撃にひっかからないようにするには？

このポッドキャスト・エピソードでは、ニューヨーク州立大学バッファロー校の助教授、Arun Vishwanath博士に、Black Hat での博士のセッションと、何年にも及ぶサイバーセキュリティの「人的問題」に関する研究についてお話を伺いました。

サイバーセキュリティの入念なトレーニングを受けた後でも、フィッシングメール上のリンクをクリックしてしまう人がいます。なぜでしょう？

ユーザーに万人向けのフィッシング対策教材を提供することは、どのような症状に対してもすべての患者に同じ薬を処方することと類似しています。そのようなトレーニングを行っても、ユーザーがフィッシング攻撃にひっかかってしまうのを止めるのは困難です。

コンピュータウィルスを医療問題になぞらえることは珍しくありません。マルウェア、ランサムウェア、その他の類似した悪意あるソフトウェアは、サイバーセキュリティとITプロフェッショナルが対処すべきものとして、治療する必要のある疾患に例えることができます。

その考え方でいけば、ユーザーは免疫システムのようなものです。フィッシング攻撃を受けたユーザーは、（もっと狡猾な病気でなければ）ウィルスのシステムへの侵入を拒むでしょう。ウィルスの拡散を防ぐための最初の防衛線になり得ます。

一方、不健康な免疫システムが病気になりやすいように、しっかり教育を受けていないユーザーはサイバー防衛を弱体化します。では、どのようにすれば、フィッシング詐欺の餌食にならないようにユーザーを効果的に教育することができるでしょうか？

その答えを得るために、フィッシングの問題、現在行われている解決方法、本当に有効な解決策について考察していきたいと思います。

問題

最初のうち、フィッシング攻撃はほとんど無視されていました。攻撃がターゲットを絞ってより洗練されたものになっても、誰も真剣に注意を払うことはありませんでした。やがて、時間の経過とともに、攻撃は単に迷惑メールやスパムとして簡単にフィルタリングされて無視され得るようなものではなくなりました。

保護するべき資産を持ち、使える資金のある大企業は、いっそう注意を払うようになりました。現在、ほとんどの企業では、従業員向けにフィッシング詐欺対策のためのトレーニングを実施しています。

サイバーセキュリティ・トレーニングには毎年何千ドルも費やされていますが、同じトリックにひっかかるユーザーは続出しています。これでは、せっかくかけたトレーニング費用が無駄になるのに加え、フィッシング詐欺にひっかかって感染してしまったウィルスの駆除のために多大な費用がかかります。

これはいったいどういうことでしょうか？ユーザーはトレーニングを無視しているのでしょうか？

まあ、正確にはそうとも言い切れません。トレーニングがなぜうまく機能していないのか、その理由を探るため、まずフィッシング問題を解決するためにトレーニングが現在どのような形で行われているのか見てみましょう。

現在の（うまく機能していない）解決方法

症状を診ることなく薬を処方する医者にかかったことはありますか？

もちろん、ないと思います。そんなとんでもない医者はプロとして認められず、すぐ淘汰されます。

しかし、それはまさに多くのITプロフェッショナルがフィッシング対策トレーニングの教材を制作しているときにやっていることです。彼らは、ユーザーに何に注意すべきかを伝えるだけで、すべての問題が解決すると信じているようです。そして、うまくいかないと、ユーザーを責めてしまう傾向があります。

もう一つの問題は、多くのユーザーが潜在的なフィッシング攻撃をちゃんとわかって判別できると思い込んでいる点です。ユーザーが既に何をやっているか知っていると信じているため、トレーニング用の資料は適当にさっと斜め読みされるか、完全に無視されてしまう可能性があります。

その逆に、トレーニング資料が技術的過ぎて、ユーザーが自分の立場ではここまでの情報は必要でないと思い込んでしまう可能性もあります。

その後、ユーザーが与えられたアドバイスに従っているかどうかをテストするための電子メールを送信するトレーニングプログラムがあります。しかし、それは別の問題を引き起こすだけです。

この「おとり」スタイルのテストは、ひっかかった人に恥ずかしい思いをさせるだけで、あまり有益とは言えません。目標は、どういったものが危険なメールであるかを認識させることで、受信トレイをチェックしたくなくなるほど恥じ入らせることではありません。

現在のフィッシング詐欺対策トレーニングがまったく無意味というわけでは、もちろんありません。ただ、現在行われているトレーニングプログラムは、ほとんどの人がそうあってほしい、できるはずだ、と思うほどにはうまく機能していないことを認識することは重要です。

（より良い）解決策

では、ユーザーがすでに知っていると思い込んでいて本当はよく理解していないことをしっかり教える、より優れたトレーニングプログラムを作成するにはどうすればいいでしょうか？

まず、人がなぜフィッシング詐欺にひっかかるのかを理解する必要があります。フィッシング詐欺がなくならず、ますます深刻な問題になっているのには、ある程度の心理的な理由があります。

ユーザーの心理と、疑わしいリンクをクリックしてしまった理由を理解できれば、それを阻止する方法を見つけることができるはずです。医師のアナロジーに戻るなら、どんな症状があるのかを把握できれば、病気を治すための薬を処方することができます。

Arun Vishwanath 博士が提案した1つの方法は、ユーザーに対してリスクスコアを作成するための調査を実施することです。これで診断に役立つ測定値が得られます。疑念、認知、自動性（suspicion, cognition, and automaticity、SCAM）は、有用な測定ツールです。

たとえば、疑わしいリンクへの疑念は送信者に対するものですか？最も基本的なレベルにおいて、何に注意すべきかが理解できていますか？

リンクをクリックするかしないか、メールに返信するかそないかを判断するとき、認知的な思考を行っていますか？もしそうであるとした場合、それは本当に論理的な思考になっていますか、それともあるデバイスが別のものよりも安全だと勝手に思い込んでいるような、自分で作り上げた奇妙なルールに従うようなものですか？

そして、自動性に関してはどうでしょうか？分析して統合すれば自動操縦が可能になるような、人間がとる通常の行動パターンがあります。

Arun Vishwanath博士のウェブサイトから、このトピックやその他のサイバーセキュリティ問題を検索することができます。

まとめ

コンピュータウィルスを病気だとするなら、ユーザーは、その病気を寄せ付けないように守るか、またはシステム全体に大混乱を引き起こしてしまう可能性がある免疫システムです。

免疫システムと同じように、ユーザーには万人向けのソリューションは通用しません。ある人がある方法で詐欺リンクをクリックしないように学習できたとしても、その同じ方法が別の人にはうまく機能しないかもしれません。ユーザーの思考パターンを把握し、ユーザーがなぜフィッシング詐欺にひっかかるのかを観察し分析することが、本当に効果があるフィッシング詐欺対策トレーニングを作成する鍵になります。