8万4000通のメールを分析して判明した“高品質”なフィッシングの条件とは？：認知バイアスで考えるサイバーセキュリティ

高度なフィッシングメールには人間心理の隙を巧妙に突いた文面が採用されています。本稿は8万4000通を分析して判明した“高品質”なフィッシングメールの条件と、これに対抗するための心理的アプローチを組み込んだ4つの防御策を紹介します。

[伊藤秀明，パーソルクロステクノロジー株式会社]

　フィッシングメールはもはや「誰もが引っ掛かる」脅威です。単にウイルスを添付したり、巧みな日本語を使ったりする旧来の手口ではなく、近年のフィッシングは組織や個人の心理に深く切り込んでくる「認知的戦略」を駆使しています。

　認知バイアスの観点からサイバーセキュリティを掘り下げる本連載。今回は、欧州の大手金融機関で収集された約8万4000通のフィッシングメールと、認知バイアスを突いた攻撃はどのように設計されているかを分析した研究である「Cognitive Triaging of Phishing Attacks」とを照らし合わせ、具体的な対策を提案します。

筆者紹介：伊藤秀明（パーソルクロステクノロジー　セキュリティ本部　シニアエキスパート）,,

セキュリティ組織の構築、プロジェクト推進、SOC業務など、戦略的視点から技術的な実行まで幅広く手掛けるITシステムコンサルタント。通信、インターネットサービス、医療、メディアなど多様な業界での経験を生かし、業界特有の課題にも対応。クライアントのニーズに応じた柔軟なソリューションを提供し、セキュリティと業務効率の両立を実現するためのプロアクティブなアプローチを重視している。また、講演や執筆活動にも積極的に取り組み、専門知識や実務経験を生かして幅広い層にセキュリティやITシステムに関する知見を共有している。

「人間の無意識を突く」　8万通の分析で分かった高品質なフィッシングメールの条件

　「Cognitive Triaging of Phishing Attacks」は、米国の心理学者ロバート・チャルディーニ博士が提唱した、人間が意思決定を実行するときに無意識のうちに影響を受けやすいとされる6つの要因（権威、緊急性、希少性、好意、返報性、社会的証明）を分析の軸にしています。

　この分析はフィッシングメールの内容やレイアウト、ヘッダ情報などに対し、6つの要因がどのような形で巧妙に織り込まれているかを、自然言語処理とML（機械学習）を使って体系的に分類しました。さらに、それぞれの要因が攻撃の成功率に与える影響度を定量的に測定しています。

　ここでいう「成功率」とは、単に電子メールを開封するだけではなく、「本文内の悪意のあるサイトのリンクをクリックする」「添付された不正なファイルを開く」「個人情報を入力する」といった攻撃者に資する具体的なアクションを指します。

　分析の結果、「権威」「緊急性」「希少性」の要因を含むフィッシングメールが、他の要因よりも顕著に成功率を高める効果があることが分かりました。例えば電子メールの文中に「副社長からの至急の指示」「48時間以内に更新が必要」といった文言が含まれている場合、それが偽物であっても人は反射的に行動してしまうのです。

　さらに送信元アドレスのなりすましと、これらの心理的アプローチが組み合わされた電子メールは、攻撃の成功率が一層高まることが示されています。つまり、従来の技術的な対策（URLの検知やリンクの無効化）だけでは防御しきれず、人間の心理的な弱点を狙った攻撃が成立しやすいということを示唆しています。

成功率の高いフィッシングメールに対抗する4つの防御手法

　同分析では、受信したフィッシングメールを単に分類するのではなく、本文の特徴を基に「今後どの程度被害が拡大するか」を予測し、対応の優先順位を判断するモデルを提案しています。これは心理的リスクに基づくトリアージの考え方をセキュリティ対策に応用する試みです。このモデルによると、こうした認知バイアスを突いた巧妙な攻撃に対し、組織は以下の対策が取れるでしょう。

1．心理的要因を分析するメールフィルタリングシステムの導入

　SPFやDKIM、URLフィルタリングに加えて、AIによる「本文に含まれる心理的要因量の分析」を実施することで、「権威＋緊急性」がある電子メールは優先的にサンドボックスに回すなどの対応ができるようになります。電子メール本文に対して自然言語処理で心理的要因量を分析し、リスクスコアを提示するメールフィルターが実用化されており、大手セキュリティベンダーからも同様の機能を提供する製品が登場しています。

2．通報された電子メールに対する認知的スコアリング

　従業員からの通報メールに対して、「フィッシングかどうか」で終わらせるのではなく、「どのような心理的要因が使われ、他の受信者が引っ掛かりそうな度合いはどれくらいか」をスコア化することで、対応の優先順位を機械的かつ的確に判断することが可能になります。

　例えば「権威」や「緊急性」を併用した電子メールは他の従業員にも拡散しやすいため、スコアの高いものを優先的にブロックし、注意喚起するなど、心理的リスクに基づくトリアージができるようになります。SOCやCSIRTは対応負荷を抑えつつ、行動科学の知見を取り入れた効率的なインシデント対応が可能となります。

3．要因別の模擬演習と教育

　「フィッシングに注意」と全体メールで呼びかけるだけでは、何に注意すべきかは伝わりません。例えば以下のように要因別に訓練することが有効です。

• 権威：　「社長からの緊急指示」「取締役からの至急の連絡」といった偽装メール
• 希少性：　「あなた専用の特別オファー」「限定100人」といった特別感を演出する
• 緊急性：　「あなたのアカウントでログインがありました」「セキュリティ警告：不正アクセスを検知」といった緊急事態を演出する

　また、訓練後には「あなたはどの心理に反応してしまったか」を可視化し、内省を促す形式が効果的です。

4．具体的なフィッシング事案の共有

　フィッシングメールの中身は常に進化しているため、他社のフィッシング事案を定期的に共有し、最新の情報を社内教育に反映することも有効です。ここで幾つかの事例を紹介しましょう。

　1つ目の事例は2023年に発生したスリー・ディー・マトリックスが約4億円を詐取された事件です。

　海外の取引先を装った攻撃者が、実在する取締役の名前を装って「取引先への支払いが急ぎ必要」と指示してきました。電子メールは丁寧で自然な文面で構成されており、担当者が疑念を抱きにくい内容だったとされています。特に、経営幹部名を持ち出した「権威」の演出、長年の取引先を名乗ることによる「好意・信頼」の喚起、そして「緊急性」による時間的圧力という心理的な分類が巧妙に組み合わされており、非常に人的リスクの高い詐欺手法といえます。

　2つ目の事例は2013〜2015年に発生したFacebookとGoogleが1億ドル超を詐取された事件です。

　FacebookとGoogleは、台湾のQuanta社になりすました攻撃者からの偽請求メールにだまされ、合計1億ドルを支払ってしまいました。請求書はQuanta社の正式な書式・ロゴを使い、「実在するベンダーとの取引」という信頼感と、財務部門が疑いにくい合理的な文脈という心理的分類が巧みに使われていました。後に犯人は逮捕され、法的措置により約5000万ドルは回収されました。

「心理を狙う」攻撃に、「心理で備える」対策を

　攻撃者は、ユーザーの「見逃し」「誤認」「焦り」を狙ってくることから、「人的防御に重点を置くべき時代」に入ったといえます。心理的要因を軸にしたトリアージモデルの導入は、セキュリティ対策の新たな段階を切り開く具体的な解決策として期待できるのではないでしょうか。「心理を狙う」攻撃に「心理で備える」対策を講じましょう。