セキュリティの防衛対策の基本は「敵を知り己を知れば百戦危うからず」ですので敵の心理を知る事は非常に重要です。

　前編と後編の2回にわたり≪ソーシャルエンジニアリング≫という、パスワードなどの重要な情報を摂取したり、なりすましを行ったりする際に利用される方法をご紹介します。その多くは人間の心理的な隙や、行動のミスにつけ込む手法です。

　マーケティング界には有名な“チャルディーニの法則”があります。社会心理学者のロバート・チャルディーニは、著書『影響力の武器』の中で、「人間には六つの脆弱性があり、この脆弱性を利用すれば、相手から承諾や情報などを簡単に得ることができる」と記しています。その脆弱性とは、以下の六つを指しています。

①返報性　
②コミットメントと一貫性　
③社会的証明　
④好意　
⑤権威　
⑥希少性 

今回は前編として①～③について、それぞれ解説と攻撃方法をご紹介します。

①返報性

　スーパーで試食をした際、何も買わずに立ち去るのを気まずく感じる事はありませんか？タダでもらったのだから、何か購入しないと申し訳ないなと罪悪感が生じ、何かお返しをしたくなるのが返報性の原則です。
2004年…と少し古いの実験ですが、チョコレートと引き換えに71％の人がパスワードを明かしたという実験結果もあるようです。そして、その後2016年の別の調査において、“インセンティブを渡してからパスワードを聞く、特に、パスワードを尋ねる直前にインセンティブを渡す方が、パスワードの回答率が高くなる”ことが結果に表れています。

≪この心理を使った攻撃例≫
「ビジネスに役立つ情報を差し上げます」　
「今日はお酒をごちそうします」
「お土産を持ってきました」
　→いつも色々良くしてくれてありがとう！代わりにこちらからも貴方の力になりますよ。
接待や手土産の持参は身近でもよく行われていませんか？
よく“モノ”をくれる人には、何かお返しをしたくなりませんか？

参考：ありがとう、お礼にパスワードを教えます――リアルもネットも変わらない“だまし”の技術

②コミットメントと一貫性

人は、自分の行動や考え方に一貫性を持とうとする特性があります。具体的には以下の3つの種類に分けられます。

◆ローボールテクニック
　例えば、セールの目玉商品を宣伝しておいて、お客様がそれを購入しようと来店すると、「残念ながらその商品は売り切れになりました。ただ、少し高額にはなりますが似たような商品がございます」などと言い「購入しよう」と決めていた「一貫性」を利用して、より高価な商品を購入させます。

◆ドア・イン・ザ・フェイス テクニック
　最初に不可能な事実を伝えてから、それより軽めの要求をしてくることをと言います。例えば、「すべてのカスタマイズをつけると50万円になります」と提案し、「そんなに予算がない、費用対効果がみえない」と断られた際、「それでは、最低限の機能に絞った10万円のプランはいかがですか？」と提案内容を切り替えます。お客様は、“交渉した結果大幅に値引いてくれた！”と気分がよくなり、相手へ好印象を持ち（先に紹介した返報性の心理が働きます）、購入に至りやすくなるのです。

◆フット・イン・ザ・ドア テクニック
最初に簡単な要求をして、その後徐々にハードルを上げる方法のことを言います。仲良くなったり、会話をし始めて時間が経ったりすると段々断りづらくなってくるという人間の心理を利用しています。例えば、最初に簡単な署名を依頼し、その後、より時間のかかる調査に協力してもらう等です。最初に「承諾した」という心理の一貫性を利用した方法です。

≪この心理を使った攻撃例≫
「氏名・電話番号・住所・生年月日・家族構成を教えてください」→なんだか怖いなぁ…
「メールアドレスの登録で特典を差し上げます」→それくらいならいいかな！
このように、まずは小さなきっかけを作り、その後本来の攻撃を仕掛けてきます。

③社会的証明

　他人の考えを知る事により、自分が正しいかどうかを判断するという特性です。例えば、口コミサイトで“良い”評価やコメントが多いと信用してもいいかなって思いますよね？それとは逆に、悪い評価をたくさん見ると、自分の判断に自信が持てず購買意欲が下がる事があります。

≪この心理を使った攻撃例≫
「御社のA様・B様からは既に〇〇の情報を送っていただいたのですが、あとは貴方だけです」
　→「（自分だけ送っていないのならマズイな・・）　すぐに送ります！」
“周りはみんなやっていますよ”と言われると、自分だけ仲間外れのような気持ちになったり、なんとなく焦ってしまったりする事はありませんか？不特定の人からの情報でもその意見が多数、あるいは身近な人の大半がその意見であると、より“それが正しいのではないか”と思ってしまいませんか？


長くなってきましたので、チャルディーニの法則前編はここまでです。後編はまた近日中に公開いたします。

　情報セキュリティというと、どうしても「サイバー攻撃」を連想しがちですが、実際にはこのように一見単純にみえる、（実際は様々な技を織り交ぜながら巧みに演出してきます）ソーシャルエンジニアリングによって情報が盗み取られるケースも少なくありません。企業における情報セキュリティにおいて、ハードやセキュリティソフトウェアの導入だけでは、ソーシャルエンジニアリング攻撃には対応できません。実際起こっている事件の多くは、いくつかの詐術の組み合わせや過去の事件の模倣です。ソーシャルエンジニアリングに対抗するには、人間の心理的な脆弱性やそこを突く攻撃方法を知り、それに合った対策を見直し、教育を行っていく必要があります。ただ、相手はプロ中のプロなので様々な技を駆使し、新たな抜け道を探してきます。

　セキュリティに関する専門用語や、難しい話はちょっと…と思われる方でも、人間心理の話は比較的身近に感じられ、抵抗が少ないと感じる場合が多いようです。より具体的な攻撃事例を知りたい場合や、社員向けセキュリティ教育・研修についてはニュートラルへお気軽にご相談ください。