「なぜあの事件は起きた?」 半田病院へのサイバー攻撃を認知バイアス観点で読み解く認知バイアスで考えるサイバーセキュリティ

サイバー攻撃の中には単なる技術的な手法だけではなく、人間の意思決定に影響を及ぼす認知的な偏り「認知バイアス」を狙ったものも増えています。本稿は半田病院の事例を基に、認知バイアスの観点からサイバー攻撃に遭うワケを考えます。

» 2025年01月23日 07時00分 公開
[伊藤秀明パーソルクロステクノロジー株式会社]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 サイバーセキュリティの分野では、攻撃者が巧妙な手口で組織や個人の心理的な脆弱(ぜいじゃく)性を突き、防御策を突破する事例が後を絶ちません。これらの攻撃は、単なる技術的な手法だけではなく、人間の認知や行動を狙ったソーシャルエンジニアリングの手法が使われます。ソーシャルエンジニアリングの背景には、「認知バイアス」と呼ばれる、人間の意思決定や判断に無意識に影響を及ぼす認知的な偏りが深く関係しています。

 認知バイアスとは、私たちが情報を処理し、意思決定を下す際に陥りがちな心理的なゆがみのことです。認知バイアスには、異常事態を過小評価してしまう「正常性バイアス」や、自分の能力や既存のセキュリティ対策を過信する「過信バイアス」、自らの信念や仮説に合致する情報だけを選択的に重視する「確証バイアス」、初めに得た情報に固執しやすい「アンカリング効果」、情報の提示方法によって意思決定が左右される「フレーミング効果」など、多岐にわたる種類があります。

 正常性バイアスを利用したフィッシング攻撃やBEC(ビジネスメール詐欺)攻撃では、受信者の警戒心を薄れさせるために、送信元を「上司」や「取引先」などと偽装します。受信者は見慣れた名前であれば「正常」だと思い込み、電子メールの内容を疑うことなく指示に従うことで被害に遭ってしまいます。また、電子メールに記載されたリンクや添付ファイルに違和感を覚えながらも「まさか本当に危険なものではないだろう」と都合よく考え、クリックしてしまう行動も正常性バイアスによるものです。

 本連載はセキュリティの現場で見られる認知バイアスを事例を基に解説しつつ、この観点で組織の防御力を高める手法を紹介します。

筆者紹介:伊藤秀明(パーソルクロステクノロジー セキュリティ本部 シニアエキスパート)

セキュリティ組織の構築、プロジェクト推進、SOC業務など、戦略的視点から技術的な実行まで幅広く手掛けるITシステムコンサルタント。通信、インターネットサービス、医療、メディアなど多様な業界での経験を生かし、業界特有の課題にも対応。クライアントのニーズに応じた柔軟なソリューションを提供し、セキュリティと業務効率の両立を実現するためのプロアクティブなアプローチを重視している。また、講演や執筆活動にも積極的に取り組み、専門知識や実務経験を生かして幅広い層にセキュリティやITシステムに関する知見を共有している。保有資格:CISSP、情報処理安全確保支援士



半田病院へのサイバー攻撃を認知バイアスの観点で読み解く

 認知バイアスを克服し、防御の抜け穴を埋める取り組みが、「コグニティブセキュリティ(Cognitive Security)」です。コグニティブセキュリティとは、心理学や行動科学の知見を活用して人間の意思決定や認識プロセスを理解し、心理的および技術的な防御を実現しようとするアプローチです。

 コグニティブセキュリティの本質はセキュリティを技術と心理学の両面から捉え、認知バイアスによる意思決定のゆがみを軽減し、組織の防御力を向上させることを目的としています。そのためには、認知バイアスがどのように働き、どのように攻撃者に利用されるかを理解し、それを抑制または回避するための仕組みや文化を組織全体で理解し、構築する必要があります。

 コグニティブセキュリティは、柔軟かつ適応性のあるセキュリティ体制を目指しています。単なる技術的なツールやプロセスの強化だけではカバーしきれない領域にまで対応した防御体制を構築し、セキュリティ対策に人間中心の視点を取り入れることで、組織全体がサイバー攻撃に対してより統合的に対応できるようになります。

 このアプローチの必要性を裏付ける具体的なインシデントとして、2021年に発生した徳島県つるぎ町立半田病院で発生したサイバー攻撃が挙げられます。このインシデントでは、攻撃者は、2年以上放置されていたVPN装置の脆弱性を突いて内部に侵入し、ランサムウェアを使用して病院内のPCを感染させ、電子カルテシステムやバックアップサーバを暗号化しました。

 その結果、医療機器までもが機能停止に陥り、日常業務が完全に停止するという事態を招きました。早期の復旧手段が無くなったことで、病院は「八方ふさがり」の状態となり、患者ケアや緊急医療の提供に深刻な影響を受けました。

 このインシデントの背景には、複数の認知バイアスが深く関与していると考えられます。病院はメディアに対し「なぜ、こんな田舎の病院を」と発言していますが、ここから「自分たちの環境は問題ない」「攻撃が発生する可能性は低い」といった思い込みが働き、リスクを過小評価するという正常性バイアスがかかっていたことが読み取れます。その結果、適切な対策を講じるタイミングを逃し、攻撃の成功率を高める要因となりました。

 また、確証バイアスが「電子カルテのネットワークは閉域網だから安全」という思い込みを過信する要因として働いた可能性もあります。人間は、自分の信念や期待を裏付ける情報を重視し、それに反する情報を無視または軽視する傾向があります。この場合、ベンダーの説明や自身の思い込みが「安全である」という考えを補強し、実際には存在していた脆弱性のリスクを無視する行動につながっています。結果的に、運用の課題や新たなリスクを適切に評価する機会を逸し、攻撃の被害を拡大させた要因の一つと考えられます。

 これらの認知バイアスが組み合わさることで、組織全体が現実の脅威を適切に認識できない状況に陥り、攻撃者にとって「容易に突破できるターゲット」となってしまったのです。このようなケースは、セキュリティの技術的側面に加えて、組織内での心理的要因や文化の改善がいかに重要であるかを如実に示しています。

組織として認知バイアスに向き合う

 このように、サイバー攻撃が高度化、巧妙化する中で、単なる技術的な脆弱性の補強だけでは不十分であることが明らかになっています。多くの攻撃者は、システムそのものではなく、システムを操作する人間の心理的な弱点を狙うことで防御の隙間を突いてきます。この現実を直視し、組織として認知バイアスを理解し、その影響を軽減する取り組みを進めることが重要です。

 次回から、セキュリティの現場で見られる認知バイアスと、それに対応するための具体的な方法について掘り下げていきます。

Copyright © ITmedia, Inc. All Rights Reserved.

あなたにおすすめの記事PR