情報セキュリティについて人間の側面から考える本連載。今回は人間の「返報性」を利用したソーシャルエンジニアリングに関する調査事例などを紹介します。
情報を安全に確保する最も良い方法は、「コンピュータの電源を切り、金庫の中に置くことだ」と言う専門家は、今でも少なくありません。しかし、人間の心理的な弱さを考えれば、コンピュータを金庫にしまったとしても安全だと言い切ることはできません。「人の口から情報を聞き出す」、あるいは「金庫に保存してあるコンピュータを取り出して電源を入れるように人を誘導する」といったことも不可能ではないからです。今回はそんなソーシャルエンジニアリングについて、特に人間の「返報性」を利用した2つの調査の事例を見てみましょう。
こちらはやや古い調査ですが、2004年4月に英国のリバプールストリート駅で行われたセキュリティに関する調査の結果です。同年に開催されたセキュリティイベント「Infosecurity Europe 2004」で報告されました。以下のような内容です(関連記事)。
リバプールストリート駅で172人の会社員を対象に、「職場で利用しているパスワードに関する質問に回答してくれたら、チョコレートバー(100円程度のもの)をあげます」という聞き取り調査を行った。その結果、対象者172人のうち、71%に当たる120人あまりが、以下のような質問に対してパスワードを明かした。
1.「あなたのパスワードは何ですか?」との質問に対して、37%の人が即座にパスワードを答えた。
2.1の質問でパスワードを教えない人には、「ペットの名前や子供の名前と関係するものを使っていますか?」と追加で質問した。その結果、34%の人がパスワードを明かした。
当然のことながら、10年以上前と今とでは、IT利用者のセキュリティ意識もずいぶん違うでしょう。そのため、現在ではこの結果は参考にならないと思われる方もいるかもしれません。ところが、同様の調査結果が、2016年にも報告されています。
ルクセンブルク大学のアンドレ・メルツアー(André Melzer)氏らが行った調査です。対象者を3つのグループに分け、情報セキュリティなどに関するインタビュー(パスワードを尋ねる質問を含む)を行うとともに、以下のようなタイミングで「チョコレートなどの“インセンティブ”を渡す」ことで、グループごとに回答結果にどのような違いが生じるのかを見るものでした(関連リンク)。なお、調査対象者にはインセンティブを渡すことは事前に伝えていません。
※全対象者1208人のうち、「職場や学校で何らかのパスワードを使っており、質問には正直に答えた」と述べた724人を分析の対象としている
この調査の結果、724人のうち38.6%に当たる280人がパスワードをそのまま明かしてしまいました。
グループ別に見ると、パスワードに関する質問の“前に”インセンティブを受け取った人たち(グループ1と2、計469人)のうち204人(43.5%)が、パスワードに関する質問の“後に”インセンティブを受け取った人たち(グループ3、255人)では、76人(29.8%)がパスワードを回答したとされています。
さらに、1と2のグループを詳細に見ると、1では258人中103人(39.9%)が、2では、211人中101人(47.9%)の人たちがパスワードを明かしたそうです。
これらの結果からは、インセンティブを渡してからパスワードを聞く方が、それもパスワードを尋ねる直前にインセンティブを渡すほど、パスワードの回答率が高くなることが読み取れます。
ちなみに、インタビューの最後に対象者1146人に名前や生年月日、電話番号についても聞いてみたところ、以下の人数がこれらの情報を明らかにしたそうです。
この調査では、他にもいろいろな結果が得られています。詳細については、上記関連リンクから原論文を請求できます。
上記の2つの調査では、第3回で紹介した“人間の脆弱(ぜいじゃく)性”が用いられています。もちろん、これらの調査で得られたパスワードが有効なパスワード、すなわち実際に使われているパスワードであるかどうかを判断することはできません。そのため、「これらの調査の信頼性は低い」とする指摘もあります。ただ筆者は、突然の質問に対して実際に使っていないパスワードが口から出てくる人は少ないのではないかと考えています。
ちなみに、これらの調査はいずれも、第3回で取り上げたチャルディーニの「6つの脆弱性」の中の「返報性(Reciprocation)」を利用したものです。つまり「親切や贈り物、招待などを受けると、与えてくれた人にお返しをせずにはいられない」という人間の性質です。「ギブ・アンド・テイク」と言い換えてもいいかもしれません。
ルクセンブルク大学の調査では、パスワードの質問をした後にチョコレートを渡すより、チョコレートを渡してからパスワードを聞く方が、回答率が高くなっています。この結果からは、ソーシャルエンジニアリングにおいて「返報性」を利用するのが有効であることが見て取れます。情報セキュリティの重要性に対する認識が高まってきているとはいえ、いまだに多くのコンピュータ利用者が自分のパスワードを気軽に教えてしまう現実も浮き彫りになっています。
また、インタビューの最後で名前や生年月日、電話番号を併せて聞き出している点にも注目すべきでしょう。チャルディーニの6つの脆弱性のところで「ドア・イン・ザ・フェイス・テクニック」を紹介しました。これは、「難度の高い要求をした後で小さな要求を行うことにより、後者を実現させやすくする」技術でした。この実験においても、パスワードという大きな要求の後で、名前や生年月日など比較的軽めの質問をすることで、多くの人に包み隠さず回答させたと考えることができます。
ところで、ロンドンやルクセンブルクの調査では、調査員が対象者に直接質問をして情報を聞き出していますが、インターネット上にも(悪質なものかどうかは別として)類似のWebサービスなどがたくさんあります。例えば、SNSのアカウント情報を入力すると、その情報を基に「○○診断」「○○占い」のような結果を表示してくれるサービスです。利用者側に“お返しをしている”という意識はないかもしれませんが、「何らかの情報を受け取る代わりに、SNSアカウントに関する情報をアプリケーション側に提供している」という見方をすれば、返報性に従って情報を提供しているのと同じ結果になっています。
サービス側は、こうして手に入れたSNSアカウントの情報を利用することで、氏名や誕生日、プロフィール写真、メールアドレス、趣味など、持ち主に関するさまざまな情報を取得することができます(どんな情報が取得可能かはSNSの種類にもよります)。実際に、SNSアカウントを入力させることで入力者の属性情報を取得し、悪用するようなアプリケーションも存在しています。こうしたサービスを利用する際には、十分な注意が必要です。
もちろん、注意すべきなのはSNSアカウントだけではありません。例えば、住民基本台帳が始まったころに、「住民基本台帳番号を入力すれば、あなたの性格や相性を診断します」というWebアプリケーションが登場したことがありました。最近では「マイナンバー」で同様のアプリケーションが現れたことを覚えている方もいるでしょう。マイナンバーを入力させるのは当然違法なのですが、利用者側が知らずに入力してしまう可能性は十分にあります。このようなWebサイトは、「個人情報の窃取を狙うアプリケーションだ」と考えるようにしましょう。
こうしたSNSアカウントやマイナンバー、あるいはタブレット端末やスマートフォン上の画像などを“利用者の気を引くようなコンテンツ”と引き換えに取得しようとするWebアプリケーションは、今後も必ず現れます。そのようなアプリケーションの全てが危険なわけではありませんが、利用者は十分に注意を払う必要があります。現実の世界とインターネットの世界で行われている“だまし”の技術は決して異なるものではなく、根は一緒です。コンピュータを利用しているときにも、「リアルの世界」と同じように警戒心を忘れないようにしましょう。
内田 勝也(うちだ かつや)
情報セキュリティ大学院大学 名誉教授 博士(工学)。
オフコン企業でのCOBOL開発、ユーザー支援、ユーザー/社員教育や、
米系銀行におけるデータセンター管理、システム監査/業務監査、
損害保険会社でのコンピュータ保険作成支援、事故データベース作成などに従事後、
中央大学研究開発機構での「21世COEプログラム『電子社会の信頼性向上と情報セキュリティ』」事業推進担当、「情報セキュリティ・情報保証人材育成拠点」推進担当を経て、
情報セキュリティ大学院大学にて「情報セキュリティマネジメントシステム」「リスクマネジメント」講座を担当。
「セキュリティ心理学」「セキュリティマネジメント」「リスクマネジメント」などの調査研究を行う。
「情報セキュリティ心理学研究会」(日本心理学会 研究助成研究会)代表。
「フィッシング対策協議会 ガイドライン策定ワーキング」主査。
「ISMS/ITSMS認証審査機関 審査判定委員会」委員長。
Webサイト(http://www.uchidak.com/)
Copyright © ITmedia, Inc. All Rights Reserved.