コラム

フィッシング詐欺、騙されるプロセス 後編「マインドゲームの敗者にならないために」

ニセの電子メールなどを用いて本物そっくりのインターネットWebサイトへ誘導し、重要情報の入力を促し、パスワードや個人情報を盗み出すオンライン犯罪である、フィッシング詐欺にひっかかってしまう心理面を分析してみましょう。

●騙される三段階

米大手セキュリティ企業のMcAfee社は、サイバー犯罪者がインターネットユーザを騙すためにしかける頭脳戦を「マインドゲーム」と呼び、その研究結果を発表しています。同報告書によれば、人がフィッシング詐欺などで騙されるプロセスは以下の段階を経るそうです。

1) そのメッセージやWebサイトを「本物」と信じてしまう
2) 提示された、利益獲得または不利益回避の選択肢を、検討してしまう
3) 利益獲得または不利益回避のためと誤解し情報提供等の何らかの行動をとってしまう

(1)の、本物だと信じさせるテクニックとしては、「権威」「親しさ」がキーワードになります。銀行やクレジットカード会社、中央官公庁など信頼するに足る権威を名乗ったり、過去に取引実績のある団体を騙ったり、よく知られた企業やブランドのロゴを流用したり、上司の名前を騙ったりして送信者に嘘の保証を与えます。また、職場の同僚や知人、同じ学校の卒業生、同じ趣味嗜好などを装うのは「親しさ」の悪用と言えるでしょう。

メッセージが本物であるとうっかり信じてしまったあなたは、その内容の検討を開始する(2)のプロセスに入っていることでしょう。読み進めた先のメッセージや、ポップアップされた選択肢は「抽選でプレゼントを受け取るには」「利用ポイントの消滅を避けるには」など人間の脳の報酬系に訴える、古典的な利益と不利益(アメとムチ)をもとに設計されており、あらがうことはむずかしいのです。もしあなたが、Aといういかがわしい商品を「買う」か「買わない」かと提示された場合、「買わない」をクリックすれば安全のように思ったら、あなたはすでにマインドゲームの敗者です。買う買わない以前に、そもそも何も選択しないという選択肢があることを忘れてしまっているのですから。

クリックや個人情報入力、支払手続などの(3)のプロセスを、論理的判断を放棄し、感情的に促進するために犯罪者は、仕上げとしてあなたの不安や好奇心をあおったり、羞恥心に訴えかけたり、出世欲や恋愛感情など、ありとあらゆる感情を刺激して、最後の一押しを進めようとします。人間には本能的な問題解決の欲求があり、完全にマインドゲームからのがれる方法は無いと心得ましょう。

●騙されると思うことが予防策

それでは、フィッシング詐欺から身を守るにはどうすればいいでしょうか。まず心がけるべきことは、メール内のリンクは安易にクリックしないことです。フィッシングでなくてもマルウェアに感染させるサイトの可能性もあります。HTMLメール中のリンクは、表示上と実際のリンク先URLを別のものにすることができるため、特に注意が必要です。

偽サイトのURLは「***bank.co.jp.example.com」のように、最初の部分だけ正しく見せる場合があります。URLは最後までよく確認しましょう。特にスマートフォンなどではURLの後半が隠れている場合もあり注意が必要です。

大抵のサイトでは、認証や個人情報等、重要な情報を入力する場面ではデータを暗号化して送受信するSSLという技術を用いています。SSLは通信を暗号化するだけでなく、Webサーバの証明書によって正当なサーバであることが確認できるようになっています。ブラウザに表示される南京錠をクリックすると、組織名等が表示されるので、間違いがないことを確認しましょう。逆に言うと認証などの情報をSSLを用いずに通信するようなWebサイトは、そもそも怪しいと考えた方が良いでしょう。

銀行など信頼性が重要なサイトでは、企業名がアドレスバーに表示されることもあります。この場合、「Extended Validation SSL(EV SSL)」という企業の実在確認を厳格にした業界統一基準の規格が適用されていることを示しています。組織の確認には、登記簿等が用いられます。

しかしながら、偽サイトもSSLを使っていますし、EV SSLを使っている場合さえありますので完全ではありませんが、先にURLが正しいことを確認したうえでサイトにアクセスし、次に南京錠をチェックするということを行ってください。

今回は心理面に着目しましたが、フィッシング詐欺で弄されるさまざまな心理的詐術を完全に防ぐことはできないと認識しておいた方がいいでしょう。しかし、騙される心理を客観的に理解しておくことは大きな意味があります。自分は騙されないという意識こそが、最大の弱点になり得るからです。

フィッシング詐欺は、みなさんにも無縁なものではありません。誰でもうっかり騙される可能性がありますから、困った時は周りにいる同僚や上司、各情報セキュリティ担当者に気軽に相談するようにしましょう。失敗した可能性があるから相談するのが恥ずかしいと思っているのだとしたら、マインドゲームにまんまとはまっているのですから。

Copyright (C) 1998-2014 IID, Inc. All rights reserved.

 

この記事が気に入ったら
いいね!しよう

Twitter で