ESET/マルウェア情報局

なぜサイバー詐欺に引っかかってしまうのか? 詐欺師の手口を解説

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載されたなぜ詐欺に合うのか、詐欺師の手口に共通する攻撃の糸口とはを再編集したものです

 昔から詐欺師と呼ばれる人々は存在したが、インターネットの登場は彼らにそれまでとはまったく次元が異なる、新しい詐欺の手法をもたらすことになった。インターネットを経由することで詐欺師たちは桁違いの数を相手にできるだけでなく、個人情報の入手すら容易になったのだ。

 しかし、今も昔も詐欺の根本は何も変わらない。最近、多くの被害者を生み出し続けているフィッシングを含むサイバー詐欺も、結局のところ人間の心理部分に依存するところが大きい。より正確には、人間の持つ理性を詐欺師がどれだけ狡猾に悪用できるかが成功を左右するのだ。これは昔から言われ続けていることでもある。

 インターネット上で個人情報や金銭を盗み出す最も簡単な方法は、特別なプログラムを作ったり、ユーザーの対抗策を突破する方法を考えたりするのではなく、「人間の心を巧みに操作すること」だと詐欺師たちは理解している。 欧州サイバーセキュリティ月間 (ECSM)において、サイバー詐欺は週次のテーマとして取り扱われている。その流れを受け、この記事ではこれら詐欺の裏側にある心理を垣間見ながら、どのような判断ミスや感情的バイアス、あるいは認知バイアスによって論理的に思考できなくなるのか、そのプロセスを明らかにしていくことにする。自分自身に潜む弱点を認識することで、詐欺の被害に遭う機会を下げることは可能だろう。

インターネット上で濃厚な関係を築くのはお手の物

 恋愛関係を詐欺に利用する輩は、物理的な距離が遠くても近くても、「インターネット上」という制約を巧みに利用し、思いのままにターゲットと濃密な関係を築くことができる。「リアル」の恋愛関係のように一目惚れで始まることなどなく、時にターゲットに気に入ってもらうには相応の時間がかかることがあるにもかかわらずだ。しかし、ターゲットを最終的に「恋愛」関係に落とし込みさえすれば、金銭をだまし取るのは簡単である。

 このような詐欺に引っかかりやすいパターンはさまざまある。例えば、恋愛関係を求めて出会い系サイトにアクセスするような人たちは、他人に対して何らかの愛情を持ちやすく、パートナーの候補者が誠意を示した場合、それを自然の成り行きと捉えがちだ。そして、社会的に交流することを本来の利用目的とする、ソーシャルメディアのユーザーも同様に詐欺師の格好の餌食となってしまう。

 「つながっている」という感覚は人間の依存度を高める。これは、(見せかけであっても) 恋人から「愛されている」という承認欲求と近しいものといえる。仮に「恋人」の子どもが急に入院することになり、治療代を払って欲しいと泣きついてきた場合ですら、共感と同情を抱くことだろう。

「~だけ」が判断を歪める

 崇高な「永遠の愛」には及ばないものの、貴重なものを手に入れたいと思う欲求を悪用した詐欺もある。誰もが、これまで先払いを条件に大金を手に入れることができるとのメールを受け取ったことがあるのではないだろうか。往々にしてそのメールで提示される、先払いすべき金額はそのあと手に入れることができる「大金」と比較すると少額なこともあり、ターゲットとされたユーザーは目が眩んでしまうようである。手口は実にさまざまで、ナイジェリアの王子からメールが来たり、宝くじがあたったり、という具合だ。結局これらは、人間が本質的に持っている金銭への欲望を巧みに利用せんとしているのである。

 あなたがごく一般的な人であれば、大金を手にしたら何を買おうと妄想を膨らませた経験が一度はあるだろう。日々の仕事がつらければ、大金を手に入れることでその地獄から抜け出すこともできる。そのような状況下では、きっと誰しもまともな判断はできなくなる。頭が混乱した状態で、さらにプラスアルファの判断を迫られたらどうだろう。より一層、混乱に陥るのは想像に難くない。追加で判断が迫られる場合、「一意性(手に入れられるのはあなただけ)」、「希少性(残りわずかしかない)」、「緊急性(すぐに行動しないと手に入らない)」といった内容を含めていることが多いので注意が必要だ。

 間違った判断をしないよう、せっかくセキュリティソフトが警告しているにもかかわらず、それを無視して「このチャンスが本物かもしれない」と思ってしまったら最後。それは詐欺師への敗北を意味することになる。この判断を下すかどうかは非常に重要な分かれ目となるだろう。

    「さまざまな要素が絡み合い、ターゲットの判断を鈍らせてしまうのだ」

 さらに困ったことに、詐欺の誘惑に負けても、それで終わりではない。詐欺師にとってはむしろ始まりとすらいえるかもしれない。次々と、高額な手数料や裏金などが追加で請求される可能性がある。その要求の数々に抵抗することは正直、難しい。自分の判断を正当化するためだけに、「サンクコストの誤謬」として知られる認知バイアスをその理由とするかもしれない。たちが悪いと、不運なギャンブラーのごとく、失った賭け金を取り戻すために「投資」し続けることを選択するかもしれない。だがしかし、胴元は決して負けないというのは普遍的な真実なのである。

詐欺を成功に導く「切迫感」

 「今すぐに行動しないと、大変なことになる」というのは、フィッシング攻撃の常套句だ。そのように煽り、ログイン情報を漏えいさせるように仕向けるのだ。マルウェアをインストールするように誘いかけるものもある。人間はすぐに行動するように急かすと判断力が低下する。その性質を巧みに利用し、詐欺師は全力を注いでまやかしの切迫感をかき立てようとするのだ。

 詐欺師の働きかけに対し、急いで行動しなければならないように感じるのは普通の感覚である。誰であっても、自身の銀行口座やメールアカウントを台無しにされたくないだろう。「警告」や「危険」といった通知が自分の持つスマートフォンに表示されたら、危機感は一層強まる。このように不安感を煽り立てればターゲットは慌てふためき、異常を伝える警告サインを見逃してしまうだろう。普通にことを進めても、ターゲットに詐欺だとばれてしまうだけである。「急げ」と詐欺師が煽るのにはしっかりと理由があるのだ。

「国家機関」の権威を狡猾に悪事に利用

 通常、私たちは「国家機関」の指示に従わなければならない。フィッシング詐欺師が私たちを狙う時、私たちの国家機関に対する尊重の念と認識を巧みに利用する。権威ある国家機関の存在と、私たちが社会規範を遵守していることを踏まえ、詐欺師は彼らにとって最も厄介なハードルをいとも簡単にクリアしているのだ。

 フィッシングを働く詐欺師は、警察、税務署または別の信頼できる国家機関や、銀行、オンライン決済プロバイダーまたはメールサービスプロバイダーなどの機関になりすまし、被害に遭わないように行動するよう私たちに求める。こうした「指示」を受けた場合、私たちは混乱し、緊張時と同様に恐怖やパニックに陥ってしまう。そうなると、冷静に考えられず時に衝動的に行動してしまうことになるだろう。

自信過剰こそが詐欺師の思うつぼ

 過剰かもしれない自信はさまざまな状況で頼りになることもあるが、一方で自分自身の強さと弱さに対する認識を歪め、「まさか自分に起きるはずがない」という過信に変わってしまうことがある。結局、これがフィッシング攻撃に引っかかってしまったり、それが繰り返されたり、という大きな一因ともいえる。最近発行されたベライゾン社の「データ漏洩/侵害調査報告書 (DBIR)」によると、「フィッシングメールをクリックする回数が増えるにつれ、それ以降もクリックする回数が増える傾向がある」と述べられている。

 また、同報告書によると、あるフィッシング攻撃の被害者の4%がメールで引っかかっていることが判明した。実は、その攻撃はシミュレーションとしておこなわれたものであり、実際の攻撃をシミュレートするレベルを変更することが可能だ。しかし、もちろん本物の攻撃の場合もある。そのため、油断せずに日々自身を守る準備はしておかなければならない。

 フィッシングのメッセージを見極めるヒントについては、「フィッシング詐欺にだまされないための5つの方法」を参考にしてほしい。そして、大量のメールからフィッシングメールを見分ける方法の詳細については、デイビッド・ハーレー (David Harley) 氏の「Phish Allergy – Recognizing Phishing Message(フィッシングアレルギー –フィッシングメッセージの見分け方)」も参考になる。動画で見たいのであれば、「Phishing emails and how to avoid them(フィッシングメールとその回避方法)」も視聴してほしい。

 もちろん、これら以外にもさまざまな角度から詐欺をテーマとした、さらに興味深い記事や論文がある。そのうちのいくつかを以下に紹介する。

Phishing: the click of death

Phish phodder: is user education helping or hindering? 

Is your valentine for real? Six signs you might be falling for an online dating scam

Tech support scams and the call of the void

5 things you need to know about social engineering

Catch me if you can: Can we predict who will fall for phishing emails?

サイバー詐欺にだまされやすいかどうかを調べるテストの第2版が登場  


[引用・出典元]

Scams and flaws: Why we get duped by Tomáš Foltýn posted 19 Oct 2018 - 00:19PM