企業や政府機関はサイバー攻撃に対し多大なコストと時間をかけてセキュリティシステムを構築するが、社員や職員は不審な添付ファイルを開きマルウェアが侵入する。セキュリティ教育で怪しいリンクを不用意にクリックしないよう指導するがフィッシング被害は後を絶たない。なぜ人間は簡単なトリックに騙されるのか、ニューロサイエンスの観点から研究が始まった。

出典: WikiLeaks

クリントン陣営へのサイバー攻撃

トランプ大統領が就任して以来、ロシア政府との関係が連日報道される。ロシア政府が大統領選挙を操作したとの疑惑で事実解明は進んでいない。一方、US Intelligence Community (米国諜報機関連合体) は大統領選挙でロシアがクリントン候補の活動を妨害したと結論付けている。米国諜報機関によるとクレムリンと関係のある人物がDNC (民主党全国委員会) のメールシステムに侵入し、それをWikiLeaksに提供したとしている (上の写真、窃取されたメールを閲覧できる)。

サイバー攻撃で大統領選が左右された

WikiLeaksに公表されたのはクリントン陣営会長John Podestaのメールで2万ページに及ぶ。この中にはクリントン候補がウォールストリートで講演した内容も含まれ、これらが公開されるとで選挙戦で大きなダメージを受けたとされる。クリントン候補の敗戦理由の一つがWikiLeaksで公開されたメールといわれている。

侵入の手口はシンプル

DNCのメールに侵入した方法はSpear Phishingといわれている。これはPhishingの常套手段で、信頼できる発信人を装い受信者の機密情報を盗む手法である。このケースではPodestaのGmailが攻撃された。Bitlyで短縮されたURLをクリックすると、Gmailログインページが表示され、IDとパスワードの入力を求められた。Podestaは怪しいと感じIT部門に確認したが、結局、このトリックに騙された。この事件は人間の脳の構造が関与しているといわれる。

脳科学とセキュリティに関する論文

脳科学を活用したセキュリティ技術研究が進んでいる。Brigham Young UniversityのAnthony Vanceらは脳科学とセキュリティに関する論文「More Harm Than Good? How Messages That Interrupt Can Make Us Vulnerable」を発表した。この論文は人間の脳はセキュリティメッセージにどう反応するかをfMRI (下の写真) を使って解析した。

出典: Jenkins et al.

マルチタスクでの試験

この研究は人間がマルチタスクを実行 (これをDual-Task Interfaceと呼ぶ) するときに着目し、脳の機能をfMRIで観察した。マルチタスクとは二つの作業を同時にこなすことで、ここでは作業中にセキュリティメッセージを読むタスクが課された。具体的には、被験者に７ケタの数字を覚えることを求め、同時に、セキュリティメッセージに正しく対応できるかが試験された。

マルチタスクでは血流が悪くなる

この時、脳内の血流をfMRIで計測した。対象はMedial Temporal Lobe (MTL) といわれる部位で、ここは長期記憶を司る部分とされる。結果は、被験者がマルチタスクの状態でセキュリティメッセージを読むとMTLの血流が少なくなっているのが観察された。このことはマルチタスクがMTLの活動を低下させ、長期記憶にアクセスしてセキュリティメッセージに反応する機能が著しく制限を受けることを意味する。(下の写真は普通の状態でセキュリティメッセージを読んでいる状態。マルチタスクの時と比べ、オレンジ色の分部で血流が増えた。)

出典: Jenkins et al.

Neurosecurityという研究

これは「Neurosecurity」と呼ばれる研究で、脳科学をセキュリティに応用し製品のインターフェイスを改良することを目指す。論文はセキュリティメッセージを表示するインターフェイスを改良する必要があると提言している。具体的には、利用者が作業を終えたタイムングを見計らってセキュリティメッセージを表示べきだとしている。

研究成果をGoogle Chromeに適用

Brigham Young UniversityはGoogleと共同で、研究結果をブラウザー「Chrome」に応用する試みを進めている。Chromeは「Chrome Cleanup Tool」というセキュリティツールを提供している。これをブラウザーにインストールしておくと、ブラウザーが問題を検知するとメッセージを表示し (下の写真、右上の分部)、利用者にツールを起動するよう促す。このツールを起動することでブラウザーに侵入したマルウェアなどを除去できる。

利用者はメッセージを無視する

便利なツールであるが、メッセージを表示しても利用者がアクションを取らないという問題を抱えている。実際に856人の被験者 (Amazon Mechanical Turkを利用) を使って試験が行われた。この結果、利用者がビデオをみている時にこのメッセージを出すと (下の写真)、79%のケースで無視された。つまり、マルチタスクの状態では利用者はセキュリティメッセージに反応しないことが分かった。このため、セキュリティメッセージはビデオが終わった後に表示するようGoogle Chromeのインターフェイスが改良された。

出典: Jenkins et al.

Chromeインターフェイス改善

この他にも、利用者がタイプしている時や、情報を送信している時など、マルチタスク実行時には80%のケースでメッセージが無視されることも分かった。一方、ビデオを見終わったタイミングでメッセージを表示すると無視されるケースが44%に下がる。更に、ウェブページがロードされるのを待っている間にメッセージを表示すると無視されるケースが22%と大幅に低下する。これらの研究結果がGoogle Chromeのインターフェイス改善に生かされている。

脳科学に沿ったセキュリティデザイン

企業や政府でPhishing被害が後を絶たないが、これは人間の脳が持っている基本的な属性が大きく関与している。本人の不注意という側面の他に、ブラウザーやアプリのインターフェイスが悪いことが重要な要因となる。忙しい時にメッセージが表示されると、注意が散漫になり、操作を誤ることは経験的に感じている。Brigham Young Universityはそれを定量的に証明し、Googleはこの成果を製品開発に活用している。脳科学に沿ったセキュリティデザインに注目が集まっている。