検索
連載

サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情「心」を狙うサイバー攻撃 その実態と対策【前編】

インターネット利用詐欺などの「詐欺」の被害が深刻化している。その背景には、攻撃者が人の「心理的な脆弱性」を狙うようになったという変化があると、セキュリティの専門家は指摘する。何が起きているのか。

Share
Tweet
LINE
Hatena

 フィッシングをはじめとする「詐欺」による金銭的被害が膨らんでおり、企業のセキュリティ担当者にとって看過できない状況になっている。詐欺被害が深刻化する背景には、システムに重きを置いたセキュリティ対策だけでは、実害を防ぎ切れなくなっている現実がある。

 攻撃者の手口はシステムの脆弱(ぜいじゃく)性だけではなく、人の「心」の脆弱性、つまり心理的な脆弱性を突く手法へとシフトしているという。それはどういうことなのか。セキュリティ担当者が認識すべき“心を狙うサイバー攻撃”の実態とは。専門家の知見を基に、それらの答えを探る。

詐欺の被害額が1年で倍増――その“卑劣過ぎる”実態とは

 警察庁は2025年2月、2024年の犯罪についてまとめた報告書「令和6年の犯罪情勢」を公開した。この報告書は、詐欺被害の惨状を明らかにしている。以下で紹介する被害額は総額であり、企業を対象とした犯罪に絞っていない。それでも犯罪の全体的な傾向をつかむことは、企業のセキュリティ対策を考える上でも意義がある。

 報告書によると、他者の財産権を侵害する「財産犯」の被害総額が年間で約4021億円に達し、2023年(約2519億円)から約1500億円も増加した。被害総額の約4分の3に当たる約3075億円が詐欺によるものであり、その額は2023年(約1626億円)の倍近くになっている。一方で窃盗など他の財産犯による被害額は、2023年から2024年の間にほぼ変化していない。つまり被害総額の増加分は、ほぼ全て詐欺によるものなのだ。

 特にSNS(ソーシャルネットワーキングサービス)を使った投資詐欺といった、インターネット利用詐欺の被害が深刻化している。警察庁のデータを基にした日本サイバー犯罪対策センター(JC3)の推計によると、2024年のインターネット利用詐欺の被害額は1890億円に上る。これは詐欺被害額の半分以上を占める。つまりインターネット利用詐欺が、最も深刻な財産犯になっている。

写真
業界関係者向けイベント「Japan IT Week 秋 2025」で講演する西本逸郎氏。ラックの技術顧問の他、複数の企業で社外取締役などの要職を務める。本稿は同イベントでの西本氏の講演を基にした(写真は編集部撮影)

 詐欺被害がこれほどまでに深刻化したのはなぜなのか。ラックの技術顧問を務める西本逸郎氏は「捜査機関の対策強化で物理的犯罪のハードルが上がり、犯罪の主流が強盗や窃盗から詐欺へとシフトしている」という状況の変化に加えて、詐欺における攻撃者の“構造的な優位性”を理由として指摘する。

 フィッシングをはじめとする詐欺では、攻撃者は偽のWebサイトやメールなどを利用し、標的をだまして“自発的”に情報を入力させたり、送金をさせたりする。「攻撃者が直接手を下す必要がないことから、詐欺は摘発のリスクを抑えつつ、成功率を高めやすい」と西本氏は語る。攻撃者にとって、詐欺は“実行しやすく、成功させやすい犯罪”になっているというわけだ。

「心」を狙うサイバー犯罪者 詐欺被害が収まらない根本的な理由

 詐欺被害が深刻化した理由は、攻撃者にとっての容易さだけではない。特に注視すべきなのは、攻撃者の関心が、人の心理的な脆弱性に向かっているという現実だ。

 攻撃者が詐欺を成功させるには、標的をだますことが欠かせない。必然的に攻撃者はさまざまな工夫を凝らし、標的の心理的な脆弱性を突こうとする。こうした状況は、サイバー攻撃と密接な関係のある「戦場」の現実と重なる。

 「サイバー空間」は陸・海・空、そして宇宙空間に続く「第5の戦場」だ――。2011年7月、米国防総省はこう定義し、サイバー空間が新たな戦場になったことを明確にした。さらに最近では「認知空間」が「第6の戦場」として認識され始めている。

 認知空間では、人の認知や感情などの心理的プロセスが直接の攻撃対象になる。こうした心理的プロセスは、人のさまざまな意思決定に大きな影響を与える。そのため認知空間での戦況は、他の全ての戦場の勝敗を左右しかねない。その意味で「認知空間を『第0の戦場』だと捉えるべきではないか」と西本氏は指摘する。

 サイバー空間での攻撃行為、つまりサイバー攻撃での典型的な手口は、システムの脆弱性を突くことだ。これに対して認知空間での攻撃は「不安を抱きやすい」「過度に信頼しやすい」「権威に服従しやすい」といった、人の心理的な脆弱性を突く。詐欺では、攻撃者はこうした心理的な脆弱性を巧みに悪用し、標的に誤った意思決定をさせる。

 詐欺被害の深刻化は、人の心理的プロセスを狙う認知空間が、既に攻撃者の“主戦場”になっていることの現れだと言える。インターネット利用詐欺をはじめ、心理的な脆弱性を狙うサイバー攻撃の実害を防ぐには、セキュリティ担当者は認知空間での攻防を踏まえたセキュリティ対策へとかじを切らなければならない。

「3層ハッキングモデル」で読み解くサイバー攻撃の実態

 「サイバー攻撃は、複数の要素を組み合わせた複合的な構造へと進化している」と西本氏は指摘し、この構造を「3層ハッキングモデル」として整理する。3層ハッキングモデルは、以下の3種類の層で構成される。

  • テクノロジーハッキング
    • システムへの技術的な侵入やマルウェア感染など、従来型のサイバー攻撃を指す。
  • ノームハッキング
    • 法制度などのルールの抜け穴やグレーゾーンを突くサイバー攻撃を指す。ルールの趣旨に反する形で利益を得る行為がこれに当たる。
  • マインドハッキング
    • 人の心理的な脆弱性を悪用し、標的を心理的に“遠隔操作”するサイバー攻撃を指す。標的に誤った意思決定をさせることを目的とする。

 3層ハッキングモデルのうち、特に注意が必要なのがマインドハッキングだ。2024年以降、世界的に被害を広げた「ClickFix」は、マインドハッキングを駆使したサイバー攻撃の代表例として挙げられる。ClickFixは「あなたは人間ですか」などと標的に問い掛け、マルウェアに感染させるサイバー攻撃だ。本人確認を装って標的に簡単な操作をさせることで、不正な処理に誘導する。

 「あなたは人間ですか」という問い掛けそのものは、Webサイトにおいて人かどうかを確認するプロセスとして、広く採用されている。「人であれば、こうした操作はできて当然だ」という前提に基づいており、見方によっては人を試すような問い掛けではある。そのため「『ばかにするな』『これくらい当然できる』という“反発心”を生むことがある」と西本氏は指摘する。

 問い掛けによって生じる標的の心理的な脆弱性を、攻撃者は巧みに利用する。術中にはまった標的は、攻撃者からの指示通りに端末を操作し、結果として自らの手でマルウェアを実行してしまう。

 攻撃者はマインドハッキングを単独ではなく、3層ハッキングモデルの他の層と組み合わせて実行する。 例えば深刻化しているオンライン証券口座の乗っ取りでは、攻撃者は次の3層を組み合わせていた可能性がある。

  • 不安や信頼を巧みに操り、標的にリンクのクリックといった最初の行動を起こさせる(マインドハッキング)
  • フィッシングなどの手段を使ってID・パスワードなどの認証情報を窃取する(テクノロジーハッキング)
  • 証券会社の本人確認手続きや不正検知の盲点を突き、取引を正規ユーザーの操作に見せ掛ける(ノームハッキング)

 3層ハッキングモデルを踏まえると、単純に「システムを守る」という従来の発想だけでは、十分なセキュリティ対策にはならないことが分かる。セキュリティ担当者にとっては、従業員を守り、そして従業員がだまされることを前提としたセキュリティ対策の構築が急務だ。

 国内企業のセキュリティ担当者が、3層ハッキングモデルを踏まえたセキュリティ対策を検討する際に、考慮すべきことがある。西本氏によると、それは国内企業における「企業文化」だ。後編はその詳細と、巧妙化するサイバー攻撃の実害を防ぐための手段を解説する。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る