「また新しい手口で騙された」とならない、情報セキュリティの新潮流とは?
アクモスセキュリティチームです!
現代のサイバー攻撃は、従来のフィッシング詐欺や標的型攻撃メールに加えて、AIやディープフェイクなどの技術が進化し、新たな脅威を生み出しています。このような状況下で注目されているセキュリティの新潮流が「コグニティブセキュリティ」です。
本記事では、高度化・巧妙化するサイバー攻撃から組織を守るために必要な「コグニティブセキュリティ」と、関連する脅威をIPA「情報セキュリティ10大脅威 2024」から抜粋してご紹介します。
目次[非表示]
コグニティブセキュリティって何?
「コグニティブセキュリティ」は、認知を意味するコグニティブとセキュリティを合わせたもので、人間の認知や行動、意思決定に悪影響を与える情報攻撃から個人や組織、社会を守ることを目指すものです。
現在のサイバー攻撃は単なる技術的なことだけでなく、人間や組織の心理的な隙やミス、思い込みや行動パターンから生じる脆弱性を狙った手口になっています。
こうした問題や悪意から人や組織を守り、対処するための考え方や技術が、コグニティブセキュリティであり、関心が高まっています。
コグニティブセキュリティの背景
なぜコグニティブセキュリティが注目されているのでしょうか?
それは、ITやAIなどの技術が、偽情報や不正確かつ有害情報の発信や拡散、犯罪行為などに多用されているからです。
今や誰もが簡単にAIでイラストや画像、動画、音声を作れ、誰もが創造的に、効率的にコンテンツを作れる時代になりました。これは同時に、より簡単に、より巧妙に人々を騙す情報攻撃手段としても利用できることを意味します。
大規模な地震などの災害が発生すると、人々の善意につけこんだ救助要請(フェイク情報)が発信され、インプレッションや広告収入を稼ぐために利用されたり、真偽の確かでない新型コロナウイルス情報が拡散され、人々の不安を煽ることもありました。
技術や人間、物理的な要素の融合が進むにつれて、社会への影響はますます大きくなっています。そのため、コグニティブセキュリティの重要性が高まっているのです。
コグニティブセキュリティで大切なこと
コグニティブセキュリティでは、例えば偽ビジネスメールやフィッシングメール、偽情報を受け取ったときの人の認知、行動、意思決定の基本を理解することが重要とされています。(図参照)
*研究開発戦略センター 『研究開発の俯瞰及び重点テーマの検討』参照
組織や個人を悪意から守るためには、技術的な対策や仕組みづくりだけでなく、「どうすれば人は認知を誤るのか?」「なぜ信用してしまうのか?」「なぜ大丈夫だと思ってクリックしたのか」などの心理的要因も考慮して対策や教育を行うことが大切です。
VPN装置など機器に脆弱性があるように、人にも「認知や意識の脆弱性」があり、その原因を見極めて対策する必要があるでしょう。
人の認知の脆弱性を狙った悪意とは?
わかりやすい悪意ある攻撃の例として、最近話題となっているSNS型投資詐欺が挙げられます。
有名人(芸能人やインフルエンサー)が広告宣伝している投資だから大丈夫だろう、良いものだろうという心理(ハロー効果など)を利用しています。さらに、AIで有名人そっくりのフェイク音声を流してお勧めすることでさらに信用させ、結果的に被害者から数千万円を騙しとった事例もあります。
この攻撃は最新技術と人の心理を理解し、巧みに組み合わせたものです。
コグニティブセキュリティの一歩は「知ること」
AI・IT技術の進展はサイバー攻撃・犯罪行為の高度化や効率化にも影響を与えています。
そのため、今後の企業のセキュリティ対策では、「社員や職員の認知(コグニティブ)」がセキュリティにどのように影響するかを考慮して、対策を検討していくことが重要ではないでしょうか。
しかし、人の心理や認知は多様であり、完璧に理解・把握するのは困難で、大変です。
そのため、まずは社会や社内で起こった出来事(インシデント)の中で、「人の認知にどのような課題が生じて起きた問題なのか」を探って活かすことで、より有意義なセキュリティ対策・教育が実施できるでしょう。
コグニティブセキュリティの関連する脅威
人の認知(コグニティブ)を狙った攻撃は、IPAが発表した「情報セキュリティ10大脅威 2024」(個人編・組織編)で登場していますので、それぞれ一部ご紹介します。
標的型攻撃による機密情報の窃取(組織編・第4位)
「標的型攻撃による機密情報の窃取」は、特定の組織を狙ってメールなどを利用し、その組織のPCにウイルスを感染させ、機密情報を窃取したりシステムを破壊するサイバー攻撃です。
攻撃者は取引先などを装いメールを送信、メールの添付ファイルを開かせたり、本文中のURLをクリックさせることで、PCにEmotetやランサムウェアなどのウイルスを仕込ませようとします。
標的型攻撃の一番厄介な点は、人(従業員や職員)を油断させ、騙し、誤った認知をさせることです。いくら技術的な対策を講じても、人の行動(例えばURLのクリック)によって情報が詐取されたり、ウイルスが仕込まれる可能性があります。
これはまさに前述した「人の認知(コグニティブ)」の隙を狙った攻撃です。
フィッシングによる個人情報等の詐取(個人編)
フィッシング詐欺は、公的機関や金融機関、ショッピングサイト、有名企業を装ったメールやSMSを送信し、正規のWebサイトを模したフィッシングサイト(偽のWebサイト)へ誘導することで、認証情報やクレジットカード情報、個人情報を入力させて詐取する行為です。
フィッシング対策協議会によると、2023年のフィッシング報告件数は119万6390件で、昨年2022年(96万8832件)よりもさらに増加しています。
なぜ人々はこれほど多く騙されてしまうのでしょうか?
それは、メールやメッセージがその人にとってリアルであり、タイミングが合ってしまうことで、本物と思い込んでしまうからです。
例えば、ちょうどECサイトで商品を購入し、届くタイミングで宅配便を装ったメールが来ると、深く考えずに「本物」と思ってしまうことがあります。これは運の要素もありますが、現実的であり得そうな出来事であり、タイミングが合ってしまうことで人は本物と信じ込んでしまうのです。
このように、フィッシング詐欺は、人の心理の隙を突いたものであると言えるでしょう。
まとめ
技術革新や人、サイバー、物理(現実)の融合が進むほど、コグニティブセキュリティの必要性が高まっています。社員や職員の行動に悪影響を与える情報から守ることが、組織を守ることにつながるため、会社の情報セキュリティ対策にぜひ組み込んでほしい考え方です。
アクモスでは、コグニティブセキュリティの一環でもあり、「標的型攻撃」への対策や社員の情報セキュリティ意識向上のための「標的型攻撃メール訓練サービス」をご提供しています。短期契約プラン(3カ月)も用意していますので、ぜひお気軽にお試しください!
<アクモスのセキュリティサービス紹介>
標的型攻撃メール訓練サービスの概要
<アクモスのセキュリティサービス紹介>
TMT3ヶ月プラン・料金の詳細
<資料で検討したい場合>
サービス資料のダウンロード
<問い合わせしたい場合>
お問い合わせ・導入相談
<2ヶ月間無料で体験できる無料プランで試してみたい場合>
Freeプランのお申込みはこちら
