「心理学を活用してサイバーセキュリティを強化する」

Using psychology to enhance cybersecurity

.fav_bar { float:left; border:1px solid #a7b1b5; margin-top:10px; margin-bottom:20px; } .fav_bar span.fav_bar-label { text-align:center; padding:8px 0px 0px 0px; float:left; margin-left:-1px; border-right:1px dotted #a7b1b5; border-left:1px solid #a7b1b5; display:block; width:69px; height:24px; color:#6e7476; font-weight:bold; font-size:12px; text-transform:uppercase; font-family:Arial, Helvetica, sans-serif; } .fav_bar a, #plus-one { float:left; border-right:1px dotted #a7b1b5; display:block; width:36px; height:32px; text-indent:-9999px; } .fav_bar a.fav_print { background:url(‘/images/icons/print.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_print:hover { background:url(‘/images/icons/print.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.mobile-apps { background:url(‘/images/icons/generic.gif’) no-repeat 13px 7px #FFF; background-size: 10px; } .fav_bar a.mobile-apps:hover { background:url(‘/images/icons/generic.gif’) no-repeat 13px 7px #e6e9ea; background-size: 10px} .fav_bar a.fav_de { background: url(/images/icons/de.gif) no-repeat 0 0 #fff } .fav_bar a.fav_de:hover { background: url(/images/icons/de.gif) no-repeat 0 0 #e6e9ea } .fav_bar a.fav_acm_digital { background:url(‘/images/icons/acm_digital_library.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_acm_digital:hover { background:url(‘/images/icons/acm_digital_library.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.fav_pdf { background:url(‘/images/icons/pdf.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_pdf:hover { background:url(‘/images/icons/pdf.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.fav_more .at-icon-wrapper{ height: 33px !important ; width: 35px !important; padding: 0 !important; border-right: none !important; } .a2a_kit { line-height: 24px !important; width: unset !important; height: unset !important; padding: 0 !important; border-right: unset !important; border-left: unset !important; } .fav_bar .a2a_kit a .a2a_svg { margin-left: 7px; margin-top: 4px; padding: unset !important; }

心理学は、人々が行動に基づいて何を考えているのかを推測することによって、人間の行動を研究します。サイバーサイコロジーは、人々がインターネット上でどのように行動するかを研究します。

米国国防総省の情報先進研究プロジェクト活動（IARPA、https://bit.ly/3V39fk8）の新しいサイバーサイコロジー研究プログラム、サイバーサイコロジーに基づいたネットワーク防御の再構築（ReSCIND）は、サイバー犯罪者がどのように行動し、考えるかを研究することに焦点を当てています。

Kimberly Ferguson-Walter氏、IARPAプログラムマネージャーによると、ReSCINDプログラムは、サイバー犯罪者のサイバーサイコロジーを研究し、彼らの思考の弱点を特定してサイバーセキュリティを改善することを目指しています。

• デジタルネイティブ（クラウドで生まれた人々）のデータストリーミングの現状
• アステラソフトウェアのCOO、ジェイ・ミシュラ – インタビューシリーズ
• 高度なPython：関数

この研究により、攻撃者の行動に影響を与えるためにこれらの弱点を活用することで、サイバーディフェンスを遅延させるか、攻撃を防ぐことができる可能性があります。ReSCINDプログラムでは、サイバー犯罪行動を示す人間被験者に科学的な手法を適用します。

政府と民間セクターは、高度な欺瞞技術を使用して情報資産を保護するために、サイバーセキュリティベンダーと連携しています。

Kimberly Ferguson-Walter氏によれば、従来の欺瞞手法では、デコイやハニートークンと呼ばれる偽のマシンやパスワードを使用して、サイバー犯罪者をおびき寄せ、サイバーディフェンダーに警戒させる手法が使用されてきました。

現在の欺瞞技術は、新興技術の進歩を活用して複雑な現代の情報技術（IT）および運用技術（OT）環境を保護するために使用されています。

サイバーサイコロジストとサイバーセキュリティの専門家は、サイバーサイコロジーのセキュリティ強化に高い期待を抱いています。一部の人々は実用的な応用について短期的な期待を抱いています。

しかし、課題は残っています。

トップへ戻る

サイバーサイコロジーがサイバーセキュリティを強化する方法

サイバーセキュリティの領域での進歩のほとんどは、サイバーサイコロジーに関連しています。アメリカのコンピューターサイエンティストであり、コンピューターウイルスの防御技術の発明者として知られるフレッド・コーエンは、現在は経営分析会社のCEOです。

コーエンは、「サイバーサイコロジーの領域は技術の領域よりも豊かです。私たちはサイバーセキュリティの技術的側面をほとんど使い尽くしています」と語りました。

コーエンによれば、彼の2001年の論文「Red Teaming Experiments」で示された実験的な研究は、サイバーサイコロジーがサイバーセキュリティにおいて長期的に有効な手段であることを確立しました。

IARPA ReSCINDプログラムは、サイバーサイコロジーを欺く技術の向こうに広げる可能性があります。

フェルガソン・ウォルター氏は、「ReSCINDプログラムは、攻撃者の人間の制約、例えば彼らの固有の意思決定のバイアスや認知的な弱点を利用する、サイバーサイコロジーに基づいた新しいセキュリティ防衛策の開発によってサイバーセキュリティを向上させることを目指しています」と述べました。

サイバー犯罪者の認知バイアスは、彼らの思考の弱点であり、攻撃中に特定の行動を示す要因です。サイバーサイコロジーを使用することで、防御側はこれらの弱点を利用し、攻撃者の行動を有利に誘導することができます。

フェルガソン・ウォルター氏によれば、IARPA ReSCINDプログラムでは、研究で見られるサイバー犯罪者の行動に新しいサイバーディフェンスを自動的に適応させるアルゴリズムの開発を目指しています。

テキサス大学エルパソ校のコンピューターサイエンス助教であるパルヴィ・アガルワルの研究では、このようなアルゴリズムがどのように機能するかの例が示されています。

アガルワルの研究では、コンピューター＆セキュリティ誌に掲載されたもので、攻撃者はリスク回避の意思決定を行いました。犯罪的ハッカーは、低い報酬があるが成功の可能性が高いマシンへの攻撃を好むことで、リスク回避の行動を示しました。彼らにとっては、攻撃の失敗の見た目を避けることが、自分たちの努力に見合った大きな報酬を得ることよりも遥かに重要であるように見えました。

例えば、ReSCINDプログラムがアガルワルの結果をアルゴリズムに利用できる場合、結果として得られるサイバーディフェンスは、犯罪的ハッカーに低リスクで低報酬のターゲットを提示し、組織が最も保護する必要のある貴重な資産からそれらを遠ざけるかもしれません。

アガルワルはReSCINDプログラムに参加するために申請しました。

トップへ戻る

サイバー犯罪者の思考方法の学習

フェルガソン・ウォルター氏によれば、ReSCINDプログラムは、熟練した人間参加者による動的なサイバー攻撃タスクを探索するための新しい被験者研究が必要です。

ReSCINDプログラムでは、犯罪的ハッカーの行動に従事する被験者を研究する必要があります。

メリーランド州ローレルにあるキャピトルテクノロジー大学のサイバーサイコロジー教授であり、ReSCINDへの参加を申請したメアリー・アイケンは、人間の被験者から得られたサイバー犯罪行動に関する興味深いデータを収集しました。

アイケンによれば、彼女はパンヨーロッパの研究プロジェクトの主任研究者として、9つのEU加盟国で16〜19歳の約8,000人を対象にサイバー犯罪行動の人間的および技術的要因を調査しました。

アイケンによれば、その調査で約半数の参加者（47.76％）が前の12か月間にサイバー犯罪行動に従事したと報告しています。

彼女はまた、調査対象の10.7％がダークネットマーケットを利用していることを報告しました。

ダークネットマーケットは、サイバー犯罪者や盗まれたデータ、ユーザーの認証情報（ユーザー名やパスワードなど）を含む悪意のあるツールをホストしています。

「私たちの研究からの重要な結果は、主要なリスクテイクとサイバー犯罪行動の間に強い関係があることです」とアイケンは述べています。アイケンによれば、これらの行動にはハッキング、サイバー詐欺、アイデンティティ盗難などが含まれます。

ヨーロッパ9か国の16〜19歳の約8,000人を対象にした調査では、約半数が前の12か月間にサイバー犯罪行動に従事したことが明らかになりました。

「私たちは関連する行動特性も調査しました」とアイケンは述べています。これには、オンラインでの強迫的な、衝動的な、執着的な行動などが含まれます。

フェルガソン・ウォルター氏は、攻撃者の行動に影響を与える可能性のあるいくつかの認知バイアスを仮説化しています。新しい防御策は、これらのバイアスを利用して攻撃者にネットワーク内での多くの曖昧さを信じさせ、より多くのチャンスを取らせることができるかもしれません。これにより、防御側は彼らを捕まえやすくなるかもしれません。

「しかし、サイバーディフェンダーには異なる目標があるかもしれません」とファーガソン・ウォルター氏は述べています。「彼らはいくつかの重要な資産を保護し、攻撃を緩和するためにより多くの時間が必要なため、攻撃者によりリスクの少ない行動を取ってもらいたいのです」と彼女は説明しました。

トップに戻る

サイバーセキュリティにおけるサイバーサイコロジーの活用方法

デジタルツインやオペレーショナルテクノロジー（OT）シミュレーションなど、デセプション技術の進歩は、公共および私営の組織によってよく活用されています。

CounterCraftのデジタルツインを使用した外部攻撃面管理のケーススタディ（https://bit.ly/3UZDA3b）では、CounterCraftのグローバル銀行の顧客が同社のThe Edgeデセプションソリューションを使用して、銀行システムへの攻撃に関する情報を収集するためにアプリケーションプログラミングインターフェース（API）システムのデジタルツインを作成し、攻撃者を誘いました。

デジタルツインは本物のシステムと区別がつきません。これにより、銀行はデジタルツインへの組織的で成功した攻撃を迅速に引き寄せることができました。銀行はCounterCraftのThe Edge脅威インテリジェンスソリューションを使用して、攻撃者の戦術、技法、手順（TTP）および攻撃の手がかり（IoC）をフィルタリングおよび収集しました。IoCは攻撃の手がかりであり、TTPはサイバー犯罪者が攻撃を行う方法です。攻撃の記録により、銀行は将来の攻撃に対してAPIシステムおよび他のシステムを同じような脆弱性から保護することができました。

Pacific Northwest National Laboratory（PNNL）およびAttivo Networksのホワイトペーパーである「Operational Technology Environmentsの防御のためのモデルドリブンデセプション」によると、米国エネルギー省（DoE）はデセプション技術を使用して重要なインフラを保護しています。この報告書では、電気配電サブステーションにおけるオペレーショナルテクノロジー（OT）の保護にデセプションを使用した概念実証（PoC）が語られています。

PoCでは、Attivo BOTsinkプラットフォームを使用し、信じられるように見せかけたOT攻撃の結果をサイバー犯罪者に提示しました。BOTsinkソリューションにより、攻撃者はシミュレートされたバルブのオフによって下流センサーが彼らを検知したと信じ込まされました。

OTデバイスは複数のネットワークプロトコルを使用して通信し、変数を制御および監視し、指定された論理に従って応答します。OTコントローラとアプリケーションはセンサーデータに基づいてコマンドを交換します。攻撃者は、悪意のある活動に対するコントローラの反応を見ることを期待しています。

OTシミュレーションは、現実世界の症状やイベントを予測し、効果的に複製しました。（Sentinel Oneは2022年にAttivo Networksを買収しました。）

トップに戻る

短期的な成果、期待、および課題

ニューヨーク大学タンドン工学部のコンピュータサイエンスおよびエンジニアリング准教授であるジャスティン・キャポス氏によると、サイバーサイコロジー研究からの実用的な応用は、市場に3〜5年以内に現れるはずです。「より直感的なAPIの振る舞いや、スマートフォンの許可やプライバシーポリシーの使用など、より賢い携帯電話の利用に関して考えています」とキャポス氏は述べています。

「攻撃者はここではFacebookのAPIデザイナーであり、ユーザーがプライバシーを正しく評価しないことで利益を得ています。彼らはユーザーの弱点を悪用して目標を達成しています」とキャポス氏は述べています。「最高のAPIは非常に明確であり、誤用しにくいです。情報を持ったユーザーは、現在のプライバシーの選択とは異なる選択をすることが多いでしょう」と彼は言いました。

したがって、APIデザイナーのサイバーサイコロジーを理解することで、業界全体にわたって透明性のある直感的なAPIが求められ、アプリに対してスマートフォンの許可を拒否したり、他のプライバシーの選択を行うことができるようになるかもしれません。

ただし、サイバーサイコロジーへの課題も残っています。

まず、「このサイバーサイコロジーの分野にはもっと優れた研究者が必要です」とキャポス氏は述べています。

キャポス氏は言いました。「ここには多くのポテンシャルがあります。ただし、それには深い技術的および心理学的スキルの組み合わせが必要です。これらのスキルを同時に持つことはほとんどありません」と。

しかし、サイバーサイコロジーの重要性の認識は高まっており、IARPAによるReSCINDプログラムへの資金提供はその明白な証拠です。

ファーガソン・ウォルター氏は、「政府が特定の分野に資金を投入すると、それは産業や学界全体で研究を促進することができます。私たちは、産業や学界が迅速に取り組んでいなかったことを達成するために、高リスクで高リターンの研究に投資しています」と述べています。

資金力のあるサイバーサイコロジー研究がサイバーセキュリティにどのような成果をもたらすかは興味深いものです。ただし、お金の量に関係なく、それがサイバー脅威の万能薬になるわけではありません。

「サイバーサイコロジーだけで大きな変化をもたらすことは疑わしいです。なぜなら、多くの人々が多くの角度から私たちを攻撃しようとしているからです」と述べています。

キャポス氏は「サイバーサイコロジーだけでは、攻撃者が様々な角度から我々を攻撃しようとしているので、大きな影響を与えることは疑わしいです。それでも、特定のことを改善するのに役立つ可能性は楽観的です。ただし、サイバーセキュリティの問題に対する銀の弾丸にはならないと思います」と述べています。

さらに読む

CounterCraft—Cyberspace Deception U.S. Defense Innovation Unit, www.diu.mil

Ferguson-Walter, K.J. An Empirical Assessment of the Effectiveness of Deception for Cyber Defense. March 2020. University of Massachusetts, Amherst. https://core.ac.uk/download/pdf/288433305.pdf

Edgar, T.W., Hofer, W., and Feghali, M. Model Driven Deception for Defense of Operational Technology Environments. September 2020. Pacific Northwest National Laboratory. Attivo Networks. https://bit.ly/3AqD7xi

Aggarwal, P. et al. Designing effective masking strategies for cyber defense through human experimentation and cognitive models. June 2022. Computer & Security. https://www.sciencedirect.com/science/article/pii/S0167404822000700

Fred Cohen & Associates, Red Teaming Experiments with Deception Technologies, http://all.net/journal/deception/experiments/experiments.html

トップに戻る

著者

デイビッド・ギアは、サイバーセキュリティに関連する問題に焦点を当てたジャーナリストです。彼はアメリカ、オハイオ州クリーブランドから執筆しています。

©2023 ACM  0001-0782/23/10

この作品の一部または全部を個人的または教室での使用のためにデジタルまたは印刷物として複製する権利は、料金を支払わない限り許可されます。ただし、複製物が営利または商業的な利益を追求するために作成または配布されず、最初のページにこの通知と完全な引用が表示されている必要があります。ACM以外の他者が所有するこの作品の著作権は尊重されなければなりません。クレジットを付けて要約することは許可されています。それ以外の場合は、事前に特定の許可と/または料金が必要です。公開の許可を求めるには、[email protected] または fax (212) 869-0481 までお問い合わせください。

デジタルライブラリは、Association for Computing Machineryによって出版されています。Copyright © 2023 ACM, Inc.

We will continue to update VoAGI; if you have any questions or suggestions, please contact us!