その事例、本当に出して大丈夫？ “対策を見せたい欲”が招く逆効果：認知バイアスで考えるサイバーセキュリティ

「隣の芝生は青い」ではないですが、他社のセキュリティの取り組みは、やけに良く見えるもの。これをマネして情報を発信するのは素晴らしいですが、伝え方を間違えるとその情報が攻撃のヒントになるかもしれません。今回は羨望と承認欲求が生むリスクを解説します。

[伊藤秀明，パーソルクロステクノロジー株式会社]

　他社のセキュリティは、いつも自社より整って見えます。24時間365日のSOC、ゼロトラストセキュリティ、EDR／XDR、脅威インテリジェンス。そうしたキーワードが事例に並ぶだけで「ウチは遅れているのでは」と焦りが湧きます。

　ここで働いている心理は、自分の状況を判断するときに他社や周囲を基準にして相対評価してしまうというものです。そこに「有名企業がやっている＝正解」「乗り遅れてはいけない」などの心理が重なると、対策を進める過程で「どこまでできたか」を説明したくなり、必要以上に具体的な情報まで外に出してしまうことがあります。結果として、本来わざわざ公開しなくてもよい断片が攻撃者の手がかりになってしまうのです。

　そこで本稿では「他社のセキュリティに対する羨望」の心理の連鎖が、攻撃者にどう悪用されるかを実例とともに紹介し、情報公開のあるべき姿を考えます。

筆者紹介：伊藤秀明（パーソルクロステクノロジー　セキュリティ本部　シニアエキスパート）,,

セキュリティ組織の構築、プロジェクト推進、SOC業務など、戦略的視点から技術的な実行まで幅広く手掛けるITシステムコンサルタント。通信、インターネットサービス、医療、メディアなど多様な業界での経験を生かし、業界特有の課題にも対応。クライアントのニーズに応じた柔軟なソリューションを提供し、セキュリティと業務効率の両立を実現するためのプロアクティブなアプローチを重視している。また、講演や執筆活動にも積極的に取り組み、専門知識や実務経験を生かして幅広い層にセキュリティやITシステムに関する知見を共有している。

セキュリティ版・隣の芝生　「対策を見せたい欲」が生むリスク

　他社のセキュリティに対する羨望は、おおよそ次の3種類に分かれます。

• ツールに対する羨望：　EDRやSIEM、SOAR、SASE、CASB、PAMなどの導入済みの製品やカテゴリー名の多さ
• 体制に対する羨望：　CSIRTやSOC、レッドチーム、MSSP連携などの“組織としてやっている感”
• 認証に対する羨望：　MFAや条件付きアクセス、パスキー、ゼロトラストなどの“今っぽさ”

　ここで厄介なのは、うらやましく見えたとしても「実態として運用がきちんと回っている」ことの証明にはならないということです。導入しただけでもうらやましく見えますし、紹介資料が上手なだけでも「何かすごいこと」をしているかのように感じます。しかし「導入＝安全」と思ってしまうのは、目立つ情報に引っ張られる可用性ヒューリスティックや、「やった感」を過大評価する進捗（しんちょく）バイアスが働いているだけです。

　忘れてはいけないのは「どのセキュリティ製品を導入しているか」を公開するだけでも、運用の流れや対応手順、例外処理のパターンなどの事情まで推測される手掛かりになるという点です。攻撃者は公開情報をつなぎ合わせ、標的になりそうな関係者や運用上の弱点に当たりを付けます。

　では、なぜ本来出さなくてもよい情報を出してしまうのでしょうか。それは「これくらいは大丈夫」と思う楽観バイアス、「ウチは狙われない」という正常性バイアス、そして「詳細を語れば凄そうに見える」という自己提示（セルフ・プレゼンテーション）の欲求が働いているためです。

　これらの心理は誰にでもあり、採用や広報、営業、障害対応など複数の現場をまたぐため、組織のルールやレビューを整えてもゼロにするのは簡単ではありません。

　組織のプレゼンスを高めるために情報を出すこと自体は悪ではありません。問題は「何を、どこまで、どの粒度で出すか」の設計がないまま、承認欲求に任せて攻撃者の利になる情報まで一緒に外に出してしまうことです。本来目指すべき情報公開の形は「やっているように見せること」ではなく「攻撃者に手掛かりを与えない情報で自社の取り組みをきちんと伝えること」であるべきでしょう。

事例で知ろう　公開情報を攻撃者はどう悪用するのか？

　ここからは、公開情報を悪用するありがちな攻撃パターンの実例を紹介します。ポイントは攻撃者が技術より先に人間のバイアスを狙っていることです。

パターン1．製品名を出して信用させるサポートなりすまし

　攻撃者はITベンダーやサポートを装い、「貴社はこれを導入していますよね？」と製品やサービス名を挙げて連絡してきます。連絡の内容は「緊急アップデート」「障害対応の確認」「契約更新の手続き」など疑いを持ちにくいもので、最終的には攻撃者が用意したWebサイトやプログラムを開かせてアカウント窃取を試みます。

　ここで突かれる心理はベンダー名やサポートという肩書に反射的に信頼を置いてしまう権威バイアスや、「ウチは確かに導入しているのだから、この連絡も本物だろう」と簡単に信じてしまう確証バイアスです。

　Googleの脅威インテリジェンス（GTIG）は「UNC6040」という攻撃者グループがSaaS環境を狙う手口と防御策をまとめた推奨を公開しています。

　特徴的なのは、脆弱（ぜいじゃく）性を突くというより、サポート担当などを装った「それっぽい連絡」で利用者や管理者をだまし、正規の手順（認証や承認）を踏ませて侵入につなげるということです。GTIGはユーザー確認やヘルプデスク対応、SaaS側の設定見直し、ログの取り方まで含めて対策を促しています。

パターン2．「みんな終わっています」　同調圧力で動かすIT担当なりすまし

　英国のリサーチ組織BITの調査によると、状況が不確実で正解を自力で判断しにくいほど、人は「みんながやっている」という周囲の行動を参考にしてしまいます。補償や手続きのルールが曖昧（あいまい）な場面では、「他の社員はもう対応済み」と言われるだけで事実確認の代わりになってしまい、不確実な状況ほど「多数派の行動＝正しい」と信じてリンクをクリックしたり情報を入力したりする行動に流されやすくなります。

　この心理は、一般市民を直接標的にした攻撃でも悪用されています。2020年7月に起きた「Twitter」乗っ取り事件では、攻撃者がオバマ元大統領やイーロン・マスク氏、Apple、Uberといった著名人・大企業のアカウントから一斉に「ビットコインを送ると2倍にして返す」という詐欺ツイートを投稿しました。さらに攻撃者自らがウォレットに送金し、「既に多くの人が参加している」ように見せかける工作もしており、わずか数時間で400件以上、約1200万円相当のビットコインが詐取されました。

パターン3．「助けたい心理」が入口になる　ヘルプデスク攻撃の仕組み

　ヘルプデスク担当者は、本来「困っている社員を助ける」ことが仕事です。そのため、電話口で「パスワードを忘れた」「MFAデバイスをなくした」と言われると、まず助けようとする姿勢が働きます。攻撃者はこの構造を悪用し、「緊急の会議がある」「すぐにログインしなければならない」という場面を作り出して、今すぐ復旧させなければという圧力を演出します。相手が社員らしく話すだけで「本人だろう」と判断してしまう代表性ヒューリスティックと、「まず業務を止めない」という現在バイアスが重なることで、回復手続きが最短ルートで通ってしまうのです。

　この構造を組織的に突いたのが、攻撃グループ「Scattered Spider」による2023年のMGM Resorts事件です。攻撃者は「LinkedIn」でMGM社員を特定し、ヘルプデスクに電話でなりすました。提示した個人情報が「全て合っているように見えた」ため、担当者は高権限社員のパスワードとMFAコードをリセットしてしまいました。わずか10分の電話で社内ネットワークへの入口が開き、最終的にランサムウェアが展開され、MGMは1億ドル以上の損失を被りました。

無駄な見栄は「攻撃者への親切」に直結

　組織のプレゼンス向上や採用のために、ある程度の発信は必要ですが、求人票や登壇資料、導入事例の中に紛れ込む具体的な情報には注意が必要です。導入を頑張った張本人としてはアピールしたい気持ちがあると思いますが、発信前レビューをワークフロー化して「どこまで具体的に書いていいか」を組織としてそろえておくことが重要です。

　セキュリティの成熟は何を導入したかよりも、まず「何をどう語るか（語らないか）」に表れます。せっかく強化するなら、信頼を得る発信と手掛かりを与えない発信を両立する設計をしましょう。