「いたちごっこ」の先へ 攻撃者心理を読み解く“先回りの防御術”：認知バイアスで考えるサイバーセキュリティ

サイバー攻撃者たちは一体何を考え、どのようなモチベーションで攻撃を仕掛けるのでしょうか。今回は彼らの心理を掘り下げて思考を先読みしながら、有効な防御策について解説していきます。

[伊藤秀明，パーソルクロステクノロジー株式会社]

　認知バイアスの観点からサイバーセキュリティを掘り下げる本連載。前回は認知バイアスを取り除き、セキュリティ対策を前進させるための実践的な手法を解説しました。

　第3回となる本稿では、「攻撃者は何を考えているのか」「攻撃者にはどのようなモチベーションがあるのか」など彼らの心理を掘り下げて思考を先読みしていきます。手口が巧妙になるほど対策にも進化が求められる今、攻撃者の心理を知ることはセキュリティ強化への第一歩につながるでしょう。

筆者紹介：伊藤秀明（パーソルクロステクノロジー　セキュリティ本部　シニアエキスパート）,,

セキュリティ組織の構築、プロジェクト推進、SOC業務など、戦略的視点から技術的な実行まで幅広く手掛けるITシステムコンサルタント。通信、インターネットサービス、医療、メディアなど多様な業界での経験を生かし、業界特有の課題にも対応。クライアントのニーズに応じた柔軟なソリューションを提供し、セキュリティと業務効率の両立を実現するためのプロアクティブなアプローチを重視している。また、講演や執筆活動にも積極的に取り組み、専門知識や実務経験を生かして幅広い層にセキュリティやITシステムに関する知見を共有している。

攻撃者心理1．金銭目的だけではない　パズル解決思考とその中毒性

　サイバー攻撃は必ずしも金銭目的とは限りません。彼らは心理学や期待値といった戦略思考を駆使して私たちの行動や心理の隙を探り、まるで謎解きを楽しむかのように攻撃を仕掛けてくることもあります。

　一部の攻撃者にとって攻撃は「挑戦的なパズル」であり「解くべき難題」として楽しむ傾向も見られます。この思考の裏には「誰かに認められたい」「自分の能力を証明したい」といった承認欲求が強く作用し、それが攻撃の原動力となるケースもあります。

　2025年3月、楽天モバイルのシステムに対する不正接続事件で逮捕された無職少年（17歳）とその仲間たちは、まさにその典型でした。彼らはインターネット上での荒らし行為やWebサイトの改ざん、企業への脅迫などを繰り返すサイバーグループを形成し、グループの内部には役職制度まで存在していました。主犯の少年は自らを「主席」と名乗り、毛 沢東になぞらえた支配構造を演出し、未成年の構成員を巻き込んで組織を拡大しました。

　この事件の注目点は、共犯者たちが金銭的な報酬を得ていなかったことです。書類送検された中高生は「肩書がもらえてうれしかった」「プログラミング技術を認めてもらいたかった」と語っており、その動機の核心には「達成感中毒」とでも呼ぶべき心理状態が垣間見えます。彼らは褒められること、技術的な貢献を評価されること、組織内で役割を持つことに強い価値を感じていたと考えられます。

　このような心理構造は、強固なセキュリティを突破することそのものに快感を覚えるタイプの攻撃者と本質的に共通しています。金銭的なリターンがなくても「難しいシステムを破った」「自分の技術が通用した」という実感が、彼らを行動に駆り立てたのです。

　このような攻撃者に対して組織が講じるべきは「堅固な防御」だけではなく、攻撃する価値があると思わせない設計です。システム構成やバージョン情報を公開しすぎず、ハードニングの存在をあえて目立たせないことで、挑戦意欲のターゲットから外れさせます。さらに、アクセス制御のエラーメッセージやレスポンス内容を抽象的にすることで「学習させない」構造を設計することも有効です。

〜編集部注〜

承認欲求を満たすための未成年者によるサイバー犯罪についてはこちらの動画（YouTubeリンクに飛びます）でもまとめているので参照してほしい。

攻撃者心理2．「まるで義賊？」　攻撃の正当化

　攻撃者はしばしば、自分の行為を倫理的に正当化しようとします。この心理的傾向は「認知的不協和」と呼ばれ、行動と信念が矛盾するときに生じる不快感を解消するため、自分の行動を都合よく解釈し直すものです。

　「企業は多くの利益を得ているから少しぐらい損害を与えても構わない」といった責任転嫁や「脆弱（ぜいじゃく）性を突くのは社会のため」という偽善的な正当化がその典型です。2025年1月に「Telegram」でクレジットカード情報を不正取得した高校生が、「悪い人たちから情報を入手しても問題無いと思っていた」と供述した事件も、こうした認知のゆがみを象徴しています。

　ハクティビズム（※注）は1990年代から存在する概念ですが、近年では政治的・社会的な主張を目的としたサイバー攻撃が広く展開されています。攻撃者は「社会の不正義を暴く」といった大義の下で、法的・倫理的な線引きを曖昧（あいまい）にします。これは一種の道徳的優越感を伴った正当化であり、自己の行動に疑いを持たなくなる要因となります。

（※注）

政治的または社会的な主張・目的のためにハッキングやサイバー攻撃を行う行為

　このタイプの攻撃者に対しては、技術的防御だけでなく「正当化の構造を崩す」工夫が必要です。システム内で「この操作は記録されました」「アクセスは追跡可能です」といったメッセージを表示することで、匿名性への過信を揺さぶり、行動に責任が伴うことを意識させます。また、脆弱性報告窓口の整備や公表により、攻撃者の「正義のための行動」という逃げ道を断つことも有効です。

　攻撃者のゆがんだ正義感や自己正当化に対抗するには、倫理ではなく設計で対抗する視点が重要です。「あなたの行動は見られており、責任を問われる」という意識を生み出す仕組みこそが、有効な防御策となります。

攻撃者心理3．認知バイアスの隙を突く　攻撃者たちの信頼を装う心理術

　セキュリティと心理学を考える上で忘れてはならないのが「ソーシャルエンジニアリング」です。攻撃者はターゲットの心理的な防御を逆手に取ることで意識を巧妙に操り、ターゲットの信頼を得たり、防御の無効化を試みたりします。

　「自分はセキュリティのルールを守っているから大丈夫だ」と考える人は、正常性バイアス（「自分だけは問題に直面しない」と思い込む傾向）がかかっていると言えます。攻撃者はこの心理を悪用し、「IT部門からの重要な連絡」や「社内緊急通知」といった信頼を得やすい偽装メールを送りつけます。ターゲットは「普段からセキュリティを意識している」という安心感が裏目に出てこれらの電子メールを信用し、攻撃者の指示に従ってしまうのです。

　攻撃者にとっての最大のメリットは、ターゲットが攻撃者の意図に気付きにくいことです。そのため、ターゲット自身の安心感や信念を巧みに利用することで、あたかも自らの意思で行動しているかのような錯覚を生み出します。

　北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」は、ビジネス向けSNSでリクルーターになりすまし、暗号資産関連企業の従業員に接触してくることが観測されています。2024年5月、DMM Bitcoinの従業員に対して採用試験を装った悪意のあるスクリプトを送り、約482億円相当のビットコインが不正流出するという事件が発生しました。リクルーターであることで信用を得て、従業員の正常性バイアスを利用したと考えられます。

攻撃者心理4．リスクの確率思考

　一部の攻撃者にはリスクを数値で捉え、リスクの高さや期待できるリターンを客観的に評価し、最も効率の良い方法を選ぶ「確率思考」が見られます。

　数千通のフィッシングメールを送信する攻撃の場合、通常であれば被害者がフィッシングメールを信用してだまされる確率は非常に低いと予想されます。しかし攻撃者は、これを確率論として捉え、仮に1万通のメールを送り、そのうちたった0.1％が成功したとしても、それが十分な利益を生むのであれば挑戦する価値があると判断します。

　この考え方は「期待値」の概念に基づいています。期待値とは、全ての結果の「発生確率」と「得られる利益」を掛け合わせた合計値のことです。さらに攻撃者は失敗からも学びを得ます。彼らは失敗した原因を分析し、次回の攻撃に生かすことで、失敗するたびに精度が上がるという、防御側にとっての悪循環が生まれます。

　こうした「数で押す」「学習して進化する」タイプの攻撃者に対して、組織としての防御の鍵は、単に入口を堅くするだけでは不十分で、攻撃者の期待値を意図的に引き下げる設計をすることです。

　まず、防御の第一の原則は「1件成功すれば十分」という構造を許さないことです。たった1つの電子メール突破で大きな成果が得られないよう、重要情報は分散管理し、アクセス権限を細かく制御することで「一撃必殺」の可能性を低くします。

　また、フィッシング対策としては多層防御（添付ファイル検査やURLチェック、受信元フィルターなど）を講じることで、攻撃者にとっての労力を段階的に増やし、「割に合わない」と思わせる状況を作り出すことが、効果的な防御策となります。

彼を知り己を知れば百戦殆からず

　「敵と味方を知ることで何度戦っても敗れることはない」を意味する古代中国の言葉のように、攻撃者の心理を深く理解することは、最新の技術対策を超えた防御の要です。自分たちの心の隙を見つめ直し、相手の思考を先読みすることで、より強固なセキュリティ体制を築けることでしょう。

　次回はこれまで説明してきた防御側と攻撃側の認知を踏まえ、サイバー攻撃における攻撃者と防御者の関係を「対立」だけでなく「共存」という視点から考察します。