ストレスはフィッシング対策に効果的？--フロリダ大らが詐欺に対する心理を研究

　機嫌が悪いことには利点もある。ハッカーから自分を守ってくれるという点だ。

　フロリダ大学とGoogleの研究者らは、フィッシングメールにまつわる心理や、ハッカーが人間の本質を巧みに利用してユーザーに悪質なリンクをクリックさせようとする方法を研究した。

提供：Angela Lang/CNET

　フロリダ大学のDaniela Oliveira教授は、Natalie Ebner博士と共にこの研究を指揮した。Oliveira教授は米国時間8月7日、ラスベガスで開催されたサイバーセキュリティカンファレンス「Black Hat USA 2019」で、Googleの乱用防止研究チームのElie Bursztein氏と共にこの研究を発表した。

　フィッシング攻撃は、ハッカーが法的機関を装ってパスワードなどの個人情報を入手しようとするオンライン上の問題だ。Verizonの年次報告書によると、通常、電子メールを通じて行われるフィッシングはデータ流出の原因の第1位だという。Googleは毎日およそ1億通のフィッシングメールをブロックしていると、Bursztein氏は述べた。

　フィッシングキャンペーンはすぐに変化する。中には最速7分で変わるものもあるとBursztein氏は述べた。

　「攻撃者らは自分たちのデザインの変更や更新を絶えず行い、より効率的にしている」とBursztein氏は述べ、「すぐに適応し、標的にされているユーザー数を低く抑えるので、検知がとても困難になる」とした。

　フィッシングは非常に高度になってきているため、多くの人々は多要素認証（MFA）を可能にしていない限り、攻撃を受けやすくなる。フィッシング攻撃は検知が容易だが、効果的でもある。Amazonの最高技術責任者（CTO）のWerner Vogels氏が「Amazon Web Services Summit」で述べたように、「リンクをクリックする間抜けが常にいる」からだ。

　Oliveira教授の研究が示しているのは、フィッシングリンクをクリックしてしまったからといってそのユーザーは間抜けだというわけではなく、たんに人間だということだ。

　3週間にわたって行われた実験で、被験者らは人々のインターネット活用法についての調査に参加していると伝えられ、1日に1度フィッシングメールを受け取った。研究者らは被験者がそれをクリックしたかを追跡した。電子メールはGoogleが検知した本物のフィッシングキャンペーンに基づいていた。

　フィッシングメールは人間の本質を巧みに利用するよう作られている。無意識に素早く決断する人々を当てにしており、リンクのクリックは経験的知識に基づいた決断ではなく、ほとんど反射的に行われているという研究結果が出たという。

　「私たちがフィッシングの被害に遭いやすいのは、フィッシングが人間の脳が決断を下す仕組みを欺くからだ」とOliveira教授は述べた。

　意思決定において、人間の脳は2通りの働きをすると、研究者らは二重過程理論を引き合いに出して述べた。人間の脳は歯磨きなどの日常的な行動に対して無意識に機能する。だが家の購入などの大きな決断は、多くの熟考や思考を要する。

　電子メールのリンクのクリックは前者に属するので、ハッカーらはフィッシングの被害者が迅速な意思決定を行うことを当てにしていると、Oliveira教授は述べた。

　Googleが米国や英国、オーストラリアで調査したインターネットユーザーのおよそ半数はフィッシングが何なのか知らないということも被害を助長していると、Bursztein氏は述べた。

　つまり、Googleはフィッシング攻撃の防止において苦しい戦いに直面しているということだ。同社は意識を高めるキャンペーンを計画しているという。

　幸い、われわれは皆、心理的防御が働く。Oliveira教授によると、多大なストレスを抱えている人々はフィッシングメールなどの詐欺に気付きやすく、オンライン詐欺に対してより懐疑的だという。それがゆえに、フィッシングキャンペーンの中には心理的誘因を利用して、人々を上機嫌にするものもあるとOliveira教授は述べている。

　「常に誰かの機嫌を損ね、ストレスを感じさせるようなことを言う人はいない」とOliveira教授は述べ、「機嫌が良いときは気が緩んでいるということだけは覚えておいてほしい」とした。