« なぜ人はソーシャル・エンジニアリングにだまされるのか(3) | トップページ | なぜ人はソーシャル・エンジニアリングにだまされるのか(5) »

2009年2月16日 (月)

なぜ人はソーシャル・エンジニアリングにだまされるのか(4)

今回もTECHWORLDの記事「なぜ人はソーシャル・エンジニアリングにだまされるのか」からのつづきです。

 社会心理学では、自身を取り巻く環境について結論を出す際に使用する知識の枠組みのことを「スキーマ」と呼ぶ。例えば、わたしたちは子どものころ、「他人に親切にすることはよいことだ」と教えられる。今では、こうして教えられたことを基に、人へ親切を行おうとする。それがスキーマだ。
 悪名高いクラッカーであるケビン・ミトニック(Kevin Mitnick)氏によると、攻撃者たちはこの点をよく理解しており、「相手の信頼を最大限に利用しながら、疑いの余地がまったくない要求」を行うという。ソーシャル・エンジニアは、わたしたちの社会的スキーマを悪用しているのだ。

悪用される「社会的スキーマ」として、以下の3つが挙げらている。

基本的な帰属の誤り:わたしたちは、“他者の行動には当人の内面的な特性が反映されている”と考える傾向がある。つまり、誤った第一印象を持ちやすいということだ。そこでソーシャル・エンジニアは、好感度の高い第一印象を熱心に作り上げる。そのほかの攻撃者も、何かを画策したり、相手に何かをさせようとするときには、相手に好印象を与えようとする。被害者は、相手が演技をしていることも、目的を達成するために攻撃者が状況に応じて態度を変えることにも、まったく気付かない。

顕著性の効果:集団では、最も影響力の大きい人物、あるいは最も影響力の小さい人物に注目が集まるものである。ソーシャル・エンジニアは、周囲に溶け込む能力に長けており、自身に優位に働くように“顕著性の効果”を最大限に利用する。つまり、ビジネス・スーツを着こなして顧客を装ったり、作業服を着て作業員に成り済ましたりするのだ。竹馬に乗って曲芸師の真似をするようなことはしない。外見に限らず、ターゲットの社内で使われている専門用語を使ったり、イベントや従業員の情報に詳しくなったり、地方の方言を使ったりすることもある。
 例えば、カリフォルニア州のソーシャル・エンジニアが、ボストンにある企業Aに侵入しようとする。彼はまず、赤ん坊の生まれた社員やライバル会社に転職した元社員のことなと、その会社の従業員でなければ知り得ない情報を入手する。そして、受付でこの話題をボストンなまりで話し出し、情報機器の修理を行うために事務所に入る必要があると訴えるのだ。

協調、従順、服従:人は自身の振る舞いを変えることで、協調・従順・服従から来る圧力に対応している。ソーシャル・エンジニアリングの多くは、このような圧力に対する被害者の対応を予測する。
 ある女性が、取引先の重役に成り済まし、若い警備員に対して入館許可証がなくても社内に入れてくれるように頼んだとしよう。警備員に何か謝礼をしたり、脅しをかけたりするかもしれない。不慣れで圧力に弱い警備員であれば、これに応じてしまうこともあるだろう。

この「社会的スキーマ」から、「信頼」という「先入観」が生み出されているわけです。そのために、騙されているということに気がつかない。
このようなことに対応できるには「懐疑心」が必要と私は考えています。しかし、「懐疑心」を常に使うわけにはいかないですし、これを持って適切に使うこと自体が難しいのです。何より、「懐疑心」を持つことは、ある意味でこの「社会的スキーマ」という枠組みに矛盾していて、人間の思考や感情としては葛藤を起こすからです。

また、次回以降にこのつづきを書きます。(あと1回、たぶん)

|

« なぜ人はソーシャル・エンジニアリングにだまされるのか(3) | トップページ | なぜ人はソーシャル・エンジニアリングにだまされるのか(5) »

ニュース」カテゴリの記事

コメント

なんだ〜。TECHWORLDなら24を取り上げてくれればいいものを。。(^_^;

投稿: ag | 2009年2月16日 (月) 06時58分

>agさん

あら~、見つかっちゃった。

"24"は、いつも読んでますよ。
アクセス数もいつも上位ですね。さすが…
だから、わざわざここで取り上げなくても、と思ってました。
それに、コメント書くとagさんが怖いし…

それにしても単に"24"と書いていると、ジャック・バウアーと間違われそうですね。

ちなみに、こちらです。(最後に宣伝しときます)
「追跡! ネットワークセキュリティ24 」
http://www.techworld.jp/channels/security/102980/

投稿: Hase | 2009年2月16日 (月) 07時41分

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/28120176

この記事へのトラックバック一覧です: なぜ人はソーシャル・エンジニアリングにだまされるのか(4):

« なぜ人はソーシャル・エンジニアリングにだまされるのか(3) | トップページ | なぜ人はソーシャル・エンジニアリングにだまされるのか(5) »