« 「人間の特性 8か条」 | トップページ | 「THE SECURITY INSIGHT 2009」 »

2009年2月24日 (火)

「6つの人間の脆弱性」

今回も人間の特性、つまり「人間性」についてです。

いろいろ調べていたら、「情報セキュリティ心理学の提案」という資料が出てきました。

この中で「ソーシャル・エンジニアリング」と、そこで利用される「6つの人間の脆弱性」について述べられています。

人間の性質を利用してある行動へと誘導するといった分野については、多くの研究が行われているが、Robert. B. Cialdini はそれらを体系的にまとめた。
Cialdini はその中で承諾誘導の戦術として「返報性」、「コミットメントと一貫性」、「社会的証明」、「好意」、「権威」、「希少性」の6つをあげているが、それはまさにソーシャルエンジニアが利用する人間の性質そのものである。
この6つの要素について、Mitnick等はソーシャルエンジニアたちが利用する「6つの人間の脆弱性」と述べているが、この6つの要素について、もう少し詳しく述べる。

(A) 返報性: 親切や贈り物、招待等を受けると、それを与えてくれた人に対して将来お返しをせずにいられない気持ちになること。
(B) コミットメントと一貫性:自由意志によりとった行動がその後の行動にある拘束をもたらすことで、代表的なものに以下のような手法がある。
ローボールテクニック:最初にある「決定」をさせるが、決定した事柄が実現不可能である事を示し、最初の決定より高度な要求を認めさせる方法。例えば、特売の商品を購入しにきた客に、購入の手続きの最中に在庫がなく当該の商品は購入できないが、色違いの少し高いものならあると言って高い商品を購入させてしまうというようなこと。
ドア・イン・ザ・フェィス テクニック
最初に実現不可能な要求を行い、対応できない状況の中で、それに比べて負担の軽い要求をしてそれを実現させる方法。
例えば、法外な借金の依頼を最初に行い、断られたら少額の借金を申し出てそれを承諾させるようなこと。
フット・イン・ザ・ドア テクニック: 最初に誰もが断らないようなごく軽い要求を行ってもらい、次のより重い要求の承諾を得る方法。例えば、最初に簡単な署名を依頼し、その後時間がかかる調査に協力してもらうといったこと。
(C) 社会的証明: 他人が何を正しいと考えているかによって、自分が正しいかどうかを判断する特性。
(D) 好意: 好意を持っている人から頼まれると、承諾してしまうというもの。パーティを開いて、商品を購入させる場合、好意を持っている隣人がホスト役として販売を行うと、そうでない場合に比べて簡単に購入してしまうといったこと。
(E) 権威: 企業・組織の上司等権威を持つものの命令に従ってしまうこと。
(F) 希少性: 文字通り、手に入りにくい物であるほど、貴重なものに思え、手に入れたくなってしまう特性。

ソーシャル・エンジニアは、このような人間の特性(「6つの人間の脆弱性」)を利用して正当なアクセス権を持つ人間を騙し、内部機密情報への正当なアクセス権などを手に入れる、ということですね。
そういえば、「欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法」に、こんなことが書いてありました。

近いうちに、もう1度読み直してみるとします。

<参考記事・このブログ>
「人間の特性 8か条」

「欺術」

|

« 「人間の特性 8か条」 | トップページ | 「THE SECURITY INSIGHT 2009」 »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/28321594

この記事へのトラックバック一覧です: 「6つの人間の脆弱性」:

« 「人間の特性 8か条」 | トップページ | 「THE SECURITY INSIGHT 2009」 »