標的型メールは見抜くことが難しい。は誤りです

条件さえ揃えば簡単に騙せる。心理学を悪用する犯罪者の狡猾な手口

[セキュリティ教育, 標的型攻撃メールを知る]

まさかと思うようなこともあるからこそ標的型メール訓練の必要性について話をすると、イマドキ、exeの添付ファイルを開いてしまうような社員なんていない。というコメントをいただくことがあります。

もちろん、そのような話をされる方はセキュリティに関する知識も十分にあり、ご自身が仰る通り、添付ファイルを開いてしまうようなことはないのだろうと思うのですが、現実は異なもので、条件さえ揃えば、セキュリティに関する知識がある方でさえ、うっかり騙されてしまうケースもある。というのが実際のところです。

このような話をすると、それは訓練の実施を薦めたいがために、そう言っているだけなのではないか。といぶかる方もいらっしゃるかもしれませんが、

もし、exeの添付ファイルを開いてしまうような社員なんていない。というのが本当であるなら、そうしたスパムメールや標的型メールに騙されてしまうような人はいないはずであり、被害額は年々増加の一途を辿るばかり。ということもないはずです。

しかし、現実には、セキュリティ教育をしっかり行っているはずの大企業からでさえ、未だに被害の報告が発生しています。

狡猾な手口を繰り出してくる犯罪者は心理学を応用している

スパムメールや標的型メールに騙されない。というのはどういうことでしょうか?

それは、それらのメールを受け取った方が、ある条件を元に、そのメールを不審なメールと判断しているから。に他なりません。

これを逆に考えると、それらの条件すべてについて、これは不審なものではない。と判断してしまうよう誘導することができれば、これは不審なメールではないと思い込ませ、騙すことができてしまう。ということになります。

犯罪者達は、メールの受け手が確認するであろうポイントを全て洗い出し、それらのポイントすべてについて、これは「怪しいものだ」と感じさせない、もしくは、「怪しいものではない」と思わせるよう誘導するにはどうするのがよいか?を考え、狡猾な手口として繰り出してきます。

セキュリティ研修などで、拡張子がexe形式の添付ファイルを開いたりすることは危険だ。ということを学び、その知識を持っていたとしても、メールを送ってきた相手が信頼できる人だと思い込まされ、exe形式のファイルが添付されていることについて、もっともらしい理由が付けられていたら、このファイルは問題ないものだとして、あっさり開いてしまうということは十分ありえます。

しかし、犯罪者側が使う手口について理解していれば、このメールは問題なさそうに見えるけど、本当に大丈夫だろうか?という疑問が頭をよぎるはずです。

私たちは、常に犯罪者達から心理戦を挑まれており、それら全てに打ち克つ必要があります。心理戦に打ち克つために、彼らの手の内を知る、また、どのような心理トリックを用いてきそうであるか?を知っておくことは、とても有用なことです。

具体的な例で、その手口の一例をご紹介します

以下は、実際に送られているフィッシングメールのひとつです。リンクに使われているURLは実際に存在する会社のURLで、実際のメール(HTML形式のメール)では、全く違うURLにジャンプするよう設定されています。

◆既に報道されておりますが、オンラインサービスを提供している他社において 数千万件規模でID、パスワードやクレジット情報などの会員情報が不正アクセスの影響により 流失したとの情報を確認いたしました。
◆本人確認のための認証メールを送信いたします。 メールを受信して、記載されているURLをクリックしてください。 :

http://www.ncsoft.jp/login/login?retURL=http%3A%2F%2Fwww.ncsoft.jp%2F

◆情報変更のお手続きにお心あたりのない場合お客様ご本人確認は本メールの認証キーを入力しない限り、完了いたしません。情報変更にお心当たりのない場合、アカウントとパスワードがハッキングされた可能性があります。お手数ですが、NCSOFT公式サイトにアクセスしお早めにパスワードを変更を行ってください。

◆何かご不明な点がある場合は、アカウントを記載の上、こちらのメールに折り返しご連絡ください。

【このメールのポイント】

  1. 他者の信用を利用する


    2. メールの内容に信憑性を持たせる方法の一つは、既に信用されている他者が発信している情報を利用するという方法です。マスコミの発表は「信頼できる」という認識が一般にあるため、「既に報道されておりますが」と書くことで、会員情報が流出したという情報が嘘ではないと思い込ませることに繋げられます。

    メールの受け手がマスコミの発表を目にしていなければ、「本当か?」という疑問が生じますが、同じタイミングで同様の発表がマスコミからされていれば、何の疑問も差し挟まずにそのまま読み進めてしまう可能性は十分考えられます

  2. 行動に対する必然性を記載する


    3. メールに記載したURLをクリックさせたり、添付ファイルを開かせたりするには、その行動が必然だと思わせる、もしくは、そうしたくなる理由を記載し、メールの受け手に「それをしなければならない」と思わせることが必要です。「本人確認のための認証メールを送信いたします」という記述はまさにこれで、

    会員情報が盗まれた ⇒ 不正アクセスを防がないといけない ⇒ 登録情報の変更が必要だ ⇒ 登録を変更できるのは本人だけ ⇒ だから本人かどうかを確認しないといけない

    というロジックで、「URLをクリックしなければならない」と思わせるわけです。

  3. 実存するURLを記載する


    4. いくらメールの内容が巧妙でも、クリックするURLがいい加減なものだったら、誰もがそこで「怪しい」と思ってしまいます。

    なので、犯罪者はクリックするURLには有名な会社のURLを利用するなどして、URL自体が怪しいと思われない工夫をしています。

    知識のある人であれば、実際にアクセスする先のURLをきちんと判別して、正当なURLかどうかを見極めますが、現在はDNSをハッキングする手口との組み合わせがあり、URL自体は実際のURLであっても、実際にアクセスする先(IPアドレス)は、実際のものと異なるというケースがあります。

    正しいURLをクリックしているのに、実際には詐欺サイトに誘導されてしまう。ネットワーク技術に明るくない方からすれば、そんなことがありうるのか?と思われるかもしれませんが、技術的には可能なことであるので、URLが不正なものでないからといって、大丈夫であると判断してしまうのはとても危険なことです。

    URLは不正なものでないとしても、メール前後の脈絡や状況などから、本当にクリックして大丈夫なものかどうか?を考えられるだけの知識を身に着けること。これがとても重要です。

  4. メールが送信されている理由を記載する


    5. 普段やり取りしている相手からのメールでない場合は、そのメールが送られてきた理由に妥当性がないと、怪しいメールであると疑われてしまうことになります。このため、メールの受け手に「怪しい」と思わせないようにするには、メールが送信されていることが妥当であると思わせることが必要になります。

    「既に報道されておりますが」の下りはその一つですが、それだけでは十分ではないので、二重三重に理由を記載するというのはよく使われる手口です。

    「情報変更にお心当たりのない場合」という記述もこのひとつで、メールの受け手は心当たりなどないのが当然なので、心当たりがなければハッキングされた可能性があります。と言われると、「そうなのか」と思い込んでしまうことになります。

    エセ占い師に、「あなた最近ツイていないでしょ?」と言われたら、大抵の方は「そうだなあ」と思ってしまうはずです。毎日がツイてばかり。という人なんてごく稀であり、ほとんどの方はツイている日とツイていない日が混在するものなので、ツイていないでしょ?と言われたら、「当たってる!」と思い込んでしまうものなのです。

    犯罪者は、こうした心理トリックを使い、メールの受け手を騙そうとするのです。

  5. 無理強いをしない


    6. 人は無理に何かを薦められると、疑いの目を持つようになります。「何で無理にでもさせようとするのか?何か裏があるのではないか?」と。

    このため、無理強いしないことがポイントになってくるのですが、実は無理強いしないことで、もう一つの効果が生まれることになります。それが「認知的不協和」です。

    この例の場合では、「アカウントがハッキングされているかもしれないのに、本人確認をしようとしない自分の考えは正しいのか?」というものです。

    下手に強制されると「怪しいのでは?」と思いますが、クリックするかしないかはあなたの自由ですよ。と、選択権を自分に渡されると、自分は正しい選択をしなければと思ってしまい、上記のような不協和状態が発生してしまうのです。

  6. 安心感を醸成する


    7. もっともらしい問い合わせ先を記載しておくことは、メールの受け手に安心感を醸成するための常とう手段です。

    「何かご不明な点がある場合は」のくだりはまさにこれで、問い合わせ先があるということは、責任を持って対応してくれる人がいる。と思い込ませ、責任を持って対応してくれる人がいるなら、このメールは信頼できるものなのだろう。という思い込みを生じさせることに繋がります。

    請求書詐欺のメールなどはこの点を上手く利用しており、実際、もっともらしい名前の事務所と電話番号を用意し、電話を使って言葉巧みに信用させ、お金を振り込ませるということをしています。

大抵はどこかに穴があるものですが・・・

ここでご紹介した例では、リンク先に設定されている実際のURLは一目で詐欺サイトとわかるようなURLになっていたり、メールの本文自体が、企業から送られてくるメールにしてはヘッダやフッタなどがきちんとしていないなど、よく見れば「おかしい」と思える点がいくつもあるので、フィッシングメールであると見破ることはさほど難しくないケースに相当します。

しかし、「おかしい」と思える点について、全て「おかしい」とは思えないような工夫を施し、DNSのハッキングとの組み合わせによって、正しいURLを詐欺サイトに誘導するような仕掛けが施されていたら、簡単に見破ることはできなくなってくるはずです。

「添付ファイルの拡張子がexeだったら開かない」「怪しいURLはクリックしない」というのは、まさにその通りなのですが、言葉通りの知識を持っているだけでは、巧妙な手口に騙されないようにすることはできません。

「添付ファイルの拡張子がexeだったら開かない」であれば、exeファイルを開いてしまうとどうなってしまうのか?ということに加え、犯罪者はどのような形で添付ファイルを送ってくるのか?まで含めて、立体的に教えることをしなければ、メールの中に「穴」と思える部分を見つけ、その「穴」から、そのメールが不審なメールであると見破るということはできないのです。

もし、あなたの会社が、「怪しいURLはクリックしない」など、平面的な知識しか教えていないようであれば、exeの添付ファイルを開いてしまうような社員なんていない。というのが本当かどうか、実際に演習を実施して確かめてみてください。

自社のセキュリティレベルを高めたいと思うなら、そんなことはないはずだ。と思うことにスポットを当て、実際にそうであるかどうかを、何らかの方法によって確認することです。

セキュリティ対策のイロハのイは、正確な事実に基づいて対策を進めることであり、思い込みによって思わぬ落とし穴があることに気づかないまま放置されている。という状態にしないこと。これが重要だと思います。

←前の記事へ(
→次の記事へ(
サブコンテンツ

標的型メール訓練なら、標的型攻撃メール対応訓練実施キット!