「自己管理の甘さはサイバー犯罪被害につながりやすい」――ミシガン州立大学研究チーム:被害に遭いやすいのは誰?
ミシガン州立大学の研究チームは、約6000人の協力を得てサイバー犯罪に関する調査研究を行い、自己管理に甘い兆候がある人が、マルウェア攻撃に遭いやすいことを明らかにした。
米ミシガン州立大学は2018年12月17日(米国時間)、同大学の刑事司法学教授トーマス・ホルト氏などの研究チームが、サイバー犯罪の被害につながりやすい行動の傾向や特性についての調査研究を行っていることを明らかにした。
「自己管理に甘い兆候がある人は、マルウェア攻撃を受けやすいことが分かった」とホルト氏は語る。
ミシガン州立大学のトーマス・ホルト氏同氏によると、自己管理の甘さはさまざまな形で現れる。こうした傾向がある人には、近視眼的な考え方や、不注意、言葉よりも物理的な行動に訴える、素早く満足を得たいといった兆候が見られるという。
「自己管理は、犯罪学において、犯罪を起こすという観点から研究されることが多かった。だが、われわれは、自己管理の甘さと被害の相関を発見した。この傾向がある人は、法を犯す動機がある他人と近づく状況に身を置いてしまう」(ホルト氏)
6000人を対象に調査
研究チームは、調査研究をまとめた論文を「Social Science Computer Review」で発表した。この調査研究では、研究チームはオランダ在住の6017人を対象とした(うち有効回答数は5046人)。
対象の48.1%が男性で、平均年齢は49.91歳だった。家庭内にあるインターネットに接続されたPCの台数は平均2.18台。
PCを使ったオンライン活動については電子メールやインターネットバンキングなど15種類を調べている。電子メール利用率は97.7%、インターネットバンキングの利用率は88.3%だった。マルウェアを防御する6種類の手法のどれを利用しているのかも調べた。ファイアウォール、ウイルススキャナー、アンチスパイウェアソフト、Trojanスキャナー、スパムフィルター、セキュアなWi-Fi接続が対象だ。
研究チームは参加者に対して、特定の状況でどのように対応するかに関する一連の質問を行った。PCの挙動に関しても質問した。処理が遅い、クラッシュする、心当たりのないポップアップが表示される、Webブラウザの起動ページが変わるといった問題が自分のPCで発生しているどうかといった項目だ。
調査参加者の属性や自己管理、参加者のPCにおけるマルウェアや感染の可能性を示す挙動を評価し、回帰分析を用いて感染との相関を調べた。
- マルウェア被害と強い相関があった属性
マルウェア被害者と被害者の属性の相関を調べたところ、自己管理能力と年齢、収入に強い相関があった。自己管理能力が低いこと、若いこと、収入の低いことがマルウェア被害と強く関係する。 - 弱い相関
世帯内のPCの数が多い、またはPCの利用時間が長い個人には弱い相関があった。 - 相関がない
性別や世帯内の子供の数、教育水準については有意な相関が見られなかった。 - 逆相関(被害に遭いにくい)
PCを使ったオンライン活動のうち、情報を頻繁に検索する個人とSNSを利用している個人には逆の相関があった。
研究対象となった個人は複数のオンラインアンケートに回答しなければならない。興味深いことにアンケートに何度も回答した個人は被害に遭いにくかった。
6つのマルウェア対策ソフトウェアのうち、スパムフィルターとセキュリティ対策が施されたWi-Fi接続を利用している利用者は、マルウェア被害の危険性が大幅に減少していた。だが、スパイウェア対策ソフトウェアは効果が薄かった。
サイバー犯罪では人的な側面の理解が大切
「インターネットでは、至る所に危険がある。自己管理の甘い人にとっては、海賊版の映画にしろ、有利な取引にしろ、欲しいものが手に入るチャンスが多い場所だ。だが、そうしたチャンスは、危険と隣り合わせだ。サイバー犯罪者にとって、このように欲求のままに衝動的に行動する人は、格好の標的になる」(ホルト氏)
自己管理と、PCがマルウェアに感染しやすい人(そして、感染を他人に広げそうな人)の心理学的側面を理解することは、サイバー犯罪と戦う上で非常に重要だと、ホルト氏は語る。人々がオンラインで何を行うか、その行動特性がどのようなものかは、リスクと密接に関連するからだ。
コンピュータ科学者は、技術的な観点からセキュリティ対策に取り組んでいる。これは確かに重要だ。だが、自己管理が甘く、衝動的に行動する人の心理学的な側面に対処することも大切だという。
「サイバー犯罪の人的な側面も理解できれば、ポリシーと介入という点で、より効果的なソリューションが見いだせる可能性がある」(ホルト氏)
関連記事
「情報漏えいの原因」になる、3タイプの“危ない”従業員
情報漏えい事件が発生する背景には、外部から受けるサイバー攻撃の他に「内部犯行」も実は多く存在する。また、内部犯行にも「故意」だけではなく、「従業員の軽率な行い」が原因になることも多い。あらためてセキュリティ担当者には、「内向き対策」の重要性が問われている。
“適度な不信感”をベースに考える「人間のセキュリティ」
情報セキュリティの世界では、「人間こそ最大の弱点である」ということがしばしばいわれます。実際、過去に起きた数々の情報漏えい事件を見ても、内部犯行や単純なヒューマンエラーなど、人間がその原因となっていることが少なくありません。人間にまつわるセキュリティを考える上では、どのような理論や考え方をベースにすればよいのでしょうか。心理学や行動科学、犯罪学などの知見を参考にしながら人的セキュリティについて考える連載をスタートします。
「セキュリティ人材」って、何ですか?――本当に必要なセキュリティ教育を考える
昨今「情報セキュリティ人材の不足」がしきりに叫ばれていますが、本当に人材は不足しているのでしょうか。そもそも、「セキュリティ人材」とは一体どのような人材を指すのでしょう? セキュリティ教育に現場で携わってきた筆者が、今求められる人材育成について考えます。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。