« なぜ人はソーシャル・エンジニアリングにだまされるのか(2) | トップページ | なぜ人はソーシャル・エンジニアリングにだまされるのか(4) »

2009年2月13日 (金)

なぜ人はソーシャル・エンジニアリングにだまされるのか(3)

TECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」からのつづきです。

 ソーシャル・エンジニアは、感情以外のものを悪用することもある。それは、人が情報を処理するときの心理的な傾向─つまり、経験として得られている知識である。

 経験があまり当てにならないことは認識しておくべきだが、われわれは経験がなければ何もすることはできない。経験を持たず、物事に対してその都度対応しなければならないとすれば、生きていくのは容易ではない。心理学者であるロバート・チャルディーニ(Robert Cialdini)氏は、経験の必要性を次のように述べている。
われわれは、個人、出来事、たった1日の間に遭遇する状況でさえ、すべてを認識して分析することはできない。人は、そうする時間もエネルギーも、能力もない。その代わり、ステレオタイプ─つまり常識を使い、それらを幾つかの特徴的なグループに分類し、それらの動機要因を認識して無意識のうちに反応する
のである。

 ソーシャル・エンジニアは、このような「被害者の無意識の反応」を引き出し、だます。その1つが心理的な誤り「認知的偏向」であり、この記事では以下の4つの例が挙げられています。

選択支持偏向:わたしたちは、過去に行った「選択」を覚えている。特に、ネガティブなものよりは、ポジティブな選択をよく記憶しているものだ。例えば、オンライン・ショッピングを利用する人が、口コミで特売情報を知り、商品を格安で購入できたことを覚えているとしよう。そこでソーシャル・エンジニアは、あたかも口コミ情報のようなスパム・メールを被害者に送り、不正なWebサイトに誘導してクレジット・カード番号を入力させる。

確認偏向:人は、自分の考えに合致する証拠を集めて、都合よく解釈しようとする。例えば、A社がオフィスのプリンタの保守契約をB社と結んだとしよう。B社の作業員は、全員グレーの長袖シャツを着用し、胸に名札を付けている。時間が経つにつれ、A社の社員は、B社の制服(グレーの長袖シャツと名札)を着用している人物を、すべてB社の作業員だと思い込むようになる。するとソーシャル・エンジニアは、B社の制服を盗み出したり偽装したりしてB社の作業員に成り済ませば、身分を疑われることなくA社に侵入できるようになる。

接触効果:人は、親近度によって物事や人物を判断する。天災や事故に関するニュースは、人の親近感につけ込むフィッシング詐欺サイトの格好の材料となる。つまり、話題の事件に関する情報が得られると称するフィッシング詐欺サイトに、疑いもせずに訪問してしまうのだ。

アンカリング:人は、何かを決断する際に、最初に触れたものに意識が集中してしまう傾向がある。例えば、銀行のWebサイトを偽装する不正なサイトは、銀行の本物のロゴを表示してユーザーをだまそうとする。ほかの個所をよく見れば、容易に偽装サイトと判断できるにもかかわらず、最初に目に付いたロゴによってだまされてしまうユーザーが少なくない。

ここでの重要なキーワードとして、「経験」「常識」「無意識」というものが挙げられると思います。
「経験」はあてにならない(特に「年数」)ことも多い。「常識」は昔のものや特定の狭い範囲のものは、ほとんど通用しない。
これらが「思考」を停止させ、「判断」や「行動」を誤らせる。そして「たった1日の間に遭遇する状況でさえ、すべてを認識して分析することはできない。人は、そうする時間もエネルギーも、能力もない」のも事実(人間としての能力的限界)です。

しかし、われわれはソーシャル・エンジニアリングにも対抗しなければならないのです。

また、次回以降にこのつづきを書きます。(あと2回くらい、かな)

|

« なぜ人はソーシャル・エンジニアリングにだまされるのか(2) | トップページ | なぜ人はソーシャル・エンジニアリングにだまされるのか(4) »

ニュース」カテゴリの記事

コメント

ソーシャル・エンジニアリング、怖いですね・・・
無意識を扱うときは、倫理的でもありたいものですね( ̄▽ ̄)

投稿: アンカリング | 2009年3月25日 (水) 17時30分

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/28006187

この記事へのトラックバック一覧です: なぜ人はソーシャル・エンジニアリングにだまされるのか(3):

« なぜ人はソーシャル・エンジニアリングにだまされるのか(2) | トップページ | なぜ人はソーシャル・エンジニアリングにだまされるのか(4) »