2020年2月17日(月)
セキュリティ心理学 ~だましの心理学~
情報セキュリティ大学院大学
名誉教授 内田 勝也
1 はじめに
人間の五感には、視覚、聴覚、触覚、味覚、嗅覚がありますが、これらの1つ、または複数により騙されることがあります。更に、騙されても、気づかないことがあります。だましを知る/経験することは、サイバーセキュリティでも大切なことで、これらをセキュリティ心理学のひとつとして考えてきました。
米国FBIは、「Elicitation Techniques(誘導質問術)」という2ページの小冊子を公開しており、何気ない会話から情報収集することができると言っています。メール、電話、面談、FAX等多くの方法で利用されています。
2 メールによるだまし
(1) インターネットバンキングでの不正送金
(2) 企業における不正送金
2017年9月、国内大手航空会社がリース料金支払時に、送金先銀行口座を変更したとのメールを送金直前に受取り、偽口座に3億8千万円を振り込んでしまいました。2013年頃から海外では多発していました。担当者への教育・訓練や周知が大切です。
3 電話によるだまし
電話は、通常受信者は一人で聴覚を使うため、相手が急いでいたり、怒っていたりすると、不明瞭な話し方を何度も確認し難いことがあり、事故・事件が発生することがあります。
(1) 自動音声ガイダンスの悪用(ビッシング)
2008年7月にNTT東日本から注意喚起がありましたが、銀行からの音声自動応答電話で、途中で電話に人が対応し、ATMで電話料金の支払や個人情報を求められるというボイス・フィッシング(ビッシング:Vishing)と呼ばれる手法もありました。最近も同様の事例が引き続き報告されています。
4 対話によるだまし
対面でも情報の収集が行われます。
(1) お笑い芸人の情報収集
数年前テレビでお笑い芸人のMCが、二人の若い女優を相手にしていました。若い女優は年齢を聞かれ、24歳と回答しましたが、年上の女優は「女性に歳を聞かないで」と。そこで、MCは、若い女優に「二人の関係は?」と聞き、「姉の同級生」との回答に、すかさず、「お前と姉はいくつ違う?」。「3歳」との回答。このように、直接聞かなくても、情報収集ができています。
5 だましの今後
どの様な場合かを考えることは、騙されない秘訣になると思っています。
参考
[1] FBI、Elicitation Techniques、https://www.fbi.gov/file-repository/elicitation-brochure.pdf/view
[2] 警察庁、サイバー犯罪対策プロジェクトhttps://www.npa.go.jp/cyber/policy/caution1910.html
[3] トレンドマイクロ、多額の損失をもたらすビジネスメール詐欺「BEC」、https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/web-attack/3151/billiondollar-scams-the-numbers-behind-business-email-compromise
[4] NTT東、NTT東日本を騙った不審な電話への注意喚起について、https://www.ntt-east.co.jp/release/0807/080717a.html
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。