サイバーセキュリティ月間

2020年2月17日(月) 

セキュリティ心理学 ~だましの心理学~

 情報セキュリティ大学院大学
 名誉教授   内田 勝也

 
 
1   はじめに
   人間の五感には、視覚、聴覚、触覚、味覚、嗅覚がありますが、これらの1つ、または複数により騙されることがあります。更に、騙されても、気づかないことがあります。だましを知る/経験することは、サイバーセキュリティでも大切なことで、これらをセキュリティ心理学のひとつとして考えてきました。
   米国FBIは、「Elicitation Techniques(誘導質問術)」という2ページの小冊子を公開しており、何気ない会話から情報収集することができると言っています。メール、電話、面談、FAX等多くの方法で利用されています。
 
2   メールによるだまし
(1) インターネットバンキングでの不正送金
   
2019年9月頃から、SMS(ショートメッセージサービス)を利用し、偽の銀行ウエブに誘導し、ユーザIDやパスワード、ワンタイムパスワード等を盗取し、不正送金事件が発生しています。警察庁によると、2019年1月~8月は、339件、被害額2億7,400万円でしたが、9月~11月の3ヶ月で、1,411件、被害額17億300万円になり、件数で4.2倍、金額で6.2倍に急増しました。図に示すようにSMSは送信元も明確でなく、だまされ易いのです。

(2) 企業における不正送金
   2017年9月、国内大手航空会社がリース料金支払時に、送金先銀行口座を変更したとのメールを送金直前に受取り、偽口座に3億8千万円を振り込んでしまいました。2013年頃から海外では多発していました。担当者への教育・訓練や周知が大切です。
 
3   電話によるだまし
   電話は、通常受信者は一人で聴覚を使うため、相手が急いでいたり、怒っていたりすると、不明瞭な話し方を何度も確認し難いことがあり、事故・事件が発生することがあります。
(1) 自動音声ガイダンスの悪用(ビッシング)
   2008年7月にNTT東日本から注意喚起がありましたが、銀行からの音声自動応答電話で、途中で電話に人が対応し、ATMで電話料金の支払や個人情報を求められるというボイス・フィッシング(ビッシング:Vishing)と呼ばれる手法もありました。最近も同様の事例が引き続き報告されています。
 
4   対話によるだまし
   対面でも情報の収集が行われます。
(1) お笑い芸人の情報収集
   数年前テレビでお笑い芸人のMCが、二人の若い女優を相手にしていました。若い女優は年齢を聞かれ、24歳と回答しましたが、年上の女優は「女性に歳を聞かないで」と。そこで、MCは、若い女優に「二人の関係は?」と聞き、「姉の同級生」との回答に、すかさず、「お前と姉はいくつ違う?」。「3歳」との回答。このように、直接聞かなくても、情報収集ができています。
 
5   だましの今後
   
人が人を騙すだけでなく、【人】、【コンピュータ(AI) 】、【人とコンピュータの合体】の3つが既にそれぞれ、騙す側、騙される側になっています。
どの様な場合かを考えることは、騙されない秘訣になると思っています。
 
 
 
 
 
参考
[1] FBI、Elicitation Techniques、https://www.fbi.gov/file-repository/elicitation-brochure.pdf/view
[2] 警察庁、サイバー犯罪対策プロジェクトhttps://www.npa.go.jp/cyber/policy/caution1910.html
[3] トレンドマイクロ、多額の損失をもたらすビジネスメール詐欺「BEC」、https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/web-attack/3151/billiondollar-scams-the-numbers-behind-business-email-compromise
[4] NTT東、NTT東日本を騙った不審な電話への注意喚起について、https://www.ntt-east.co.jp/release/0807/080717a.html
 
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。







 

 

 

  

 

 
NISC SNS一覧 
セキュリティ情報
Twitter
 活動情報
Twitter
Facebook

LINE
※ SNS運用ポリシーはこちら

 

 
NISCサイバーセキュリティ意識啓発動画ポータルへ 
ご注意 上記リンクをクリックすると別サイトに移動します。