叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

壁に耳あり障子に目あり

パスの回数

はじめに有名な心理学の実験動画を紹介します。

この動画では白いシャツを着た人と黒いシャツを着た人が出てきます。そして、答えて欲しいのはーー

白いシャツを来た人が何回パスをするでしょうか?

ということです。

こちらが動画です。

youtu.be

その答えは後に書きます・・・

標的型訓練と内部不正

毎年、職場の標的型訓練メールが実施されます。防災訓練と同様、多くの職場で標的型訓練が行われ、年間イベントのひとつとして定着している気がします。

標的型訓練メールは、対象者に訓練の詳細日時は伝えず、標的型のテストメールを送信します。そこには添付ファイルがついていて、それを誤って開封した率(開封率)を探ります。それによって今後のサイバーセキュリティ教育に活かすことを目的としています。

f:id:slowtrain2013:20200416001200p:plain:w400
標的型攻撃(イメージ)
この訓練でややこしいのは、訓練の詳細日時は伝えないながらも、全くの不意打ちで実施するのは避けたほうがいいということです。不意打ちに標的型メールが来たら、職場がパニックになりかねませんからね・・・。通常業務に支障をきたし、取引先に迷惑をかける可能性もあります。

ですので、大抵は「今週か来週くらいに標的型の訓練メールをしますので、注意してください。」といった事前アナウンスが、管理部門から発信されることが多いかと思います。

ところで、標的型訓練メールの期間中は職場が普段よりちょっとざわつく傾向があります。誤ってメールの添付ファイルをクリックしたら、開封したことがバレてしまいます。開封率」の上昇は職場のセキュリティ対策がキチンと出来ていないことを証明することになってしまいます。

ですので、社員は受信メールに対していつも以上に慎重に対応する空気感が醸成されます。

もちろん、これはいいことだと思います。

しかし、ややうがった見方をすると、内部不正を企む人間にとっては、不正行為をする「機会」が増えたと感じるかもしれません。

不正行為は「動機」「機会」「正当化」という3つの要因がそろった時に発生するという「不正のトライアングル」という理論があります。

f:id:slowtrain2013:20200330195011p:plain:w500
不正のトライアングル

標的型訓練メールの期間中、社員はメールに関心が集中します。そのため、標的型メール以外の方法による不正行為への関心が低くなる可能性があると思います。

たとえば、背中越しからあなたのパソコンを覗き見して、秘密情報をつかもうとする人がいるかもしれません。その人は不正を行う「動機」と「正当化」はもっていたのですが「機会」がなく、それを見計らっていたのです。

この覗き見は「ショルダーハック」という「ソーシャルエンジニアリング」のひとつです。ソーシャルエンジニアリングとは、人間の心理的な隙やミスにつけ込んで、秘密情報を入手する方法です。

f:id:slowtrain2013:20200503144353p:plain:w300
ショルダーハック

見えないゴリラ

さて、はじめに紹介した実験動画の説明をします。

この動画では、白いシャツを来た人が何回パスをしているかを問いてますが、その答え(16回)はあまり重要ではありません。動画に登場する「ゴリラ」に気づいたかどうかが重要です。この動画を見た半数近くの人が「ゴリラ」の登場を見落としたというのです。

つまりこの実験動画で伝えたかったことは、

「予期しないできごとは見落としやすい」

ということです。

視聴者は白いシャツを来た人のパスの回数に気を集中させていたため、その途中に出てくる「ゴリラ」は視野には入っていたと思いますが、認知がされなかったのです。おそらく同じ動画を普通に見れば「ゴリラ」の登場にほとんどの方が気づいたはずです。

この実験動画と同じように、標的型訓練メールに気を取られていると、覗き見のような予期しない不正行為を見落としてしまうかもしれません。

因みにIPAが毎年発表している「情報セキュリティ10大脅威」の 2020年のランキングでは「内部不正による情報漏えい」が「標的型攻撃による機密情報の窃取」に次ぐ第2位でした。
www.ipa.go.jp

壁に耳あり障子に目あり・・・秘密は漏れやすいものです。いつどこで誰が秘密情報を盗もうとしているか用心に用心を重ねましょう。

なお「見えないゴリラ」は「The Invisible Gorilla」として数多くの実験がまとめられています。「錯覚の科学」として日本では出版されています。