[論文レビュー] All About Phishing: Exploring User Research through a Systematic Literature Review
本システマティックレビューでは、ACMデジタルライブラリーに掲載されたフィッシングに関する査読付き論文367編を分析し、そのうちわずか13.9%(51件)の研究が、アンケートやインタビューなどの実証的手法を通じてユーザー行動に焦点を当てていることが明らかになった。本研究は、報告方法や参加者選抜の実務における深刻なギャップを指摘し、現実世界のセキュリティ対策の効果を高めるために、ユーザー中心のフィッシング研究におけるより高い厳密性の向上を要請している。
Phishing is a well-known cybersecurity attack that has rapidly increased in recent years. It poses legitimate risks to businesses, government agencies, and all users due to sensitive data breaches, subsequent financial and productivity losses, and social and personal inconvenience. Often, these attacks use social engineering techniques to deceive end-users, indicating the importance of user-focused studies to help prevent future attacks. We provide a detailed overview of phishing research that has focused on users by conducting a systematic literature review of peer-reviewed academic papers published in ACM Digital Library. Although published work on phishing appears in this data set as early as 2004, we found that of the total number of papers on phishing (N = 367) only 13.9% (n = 51) focus on users by employing user study methodologies such as interviews, surveys, and in-lab studies. Even within this small subset of papers, we note a striking lack of attention to reporting important information about methods and participants (e.g., the number and nature of participants), along with crucial recruitment biases in some of the research.
研究の動機と目的
- 査読付き学術論文のシステマティックレビューを通じて、ユーザー中心のフィッシング研究の現状を評価すること。
- アンケート、インタビュー、ラボ内実験などのユーザー研究手法を採用しているフィッシング研究の割合を特定すること。
- 特に参加者に関する詳細と選抜手法に関して、ユーザー中心のフィッシング研究における方法論的報告の質を評価すること。
- 既存のフィッシングに関するユーザー研究における体系的なバイアスと報告のギャップを浮き彫りにすること。
提案手法
- ACMデジタルライブラリーに掲載された査読付き学術論文を対象としたシステマティックレビューを実施した。
- サイバーセキュリティ、ヒューマンコンピュータインタラクション、コンピュータサイエンスに関連するキーワードおよび分類語を用いて、フィッシングに関する論文を検索した。
- エンドユーザー行動を対象としている研究に焦点を当て、事前に定めた基準に基づき367件の論文をスクリーニングし、関連性と含める適切さを評価した。
- アンケート、インタビュー、ラボ内実験などのユーザー研究手法を用いているかどうかに基づいて、研究を分類した。
- 参加者数、人口統計的特徴、選抜戦略に関して、特に方法論的報告の質を分析した。
- 参加者に関する詳細の不十分な報告や、潜在的な選抜バイアスといった繰り返し発生する問題を特定・記録した。
実験結果
リサーチクエスチョン
- RQ1フィッシング研究のうち、アンケート、インタビュー、ラボ内実験などの実証的手法を通じてエンドユーザーに焦点を当てた研究はどの程度の割合を占めているか?
- RQ2参加者特性と選抜に関する点で、ユーザー研究手法の報告はどの程度厳密に行われているか?
- RQ3ユーザー中心のフィッシング研究における一般的な方法論的欠陥は何か?
- RQ4ユーザー研究における選抜実務が、フィッシング研究の結果にどの程度バイアスをもたらしているか?
主な発見
- 367件のレビュー対象論文のうち、わずか13.9%(n = 51)の研究が、アンケート、インタビュー、ラボ内実験などのユーザー研究手法を採用していた。
- ユーザー中心の研究の大多数が、参加者数や参加者の性質といった重要な方法論的詳細を報告していなかった。
- 多くの研究で、大学の学生のような便宜的サンプルに依存する選抜バイアスが見られ、研究結果の一般化可能性が制限されていた。
- フィッシングにおいてソーシャルエンジニアリングが広く用いられているにもかかわらず、ユーザー研究は文献において依然として不足しており、方法論的に一貫性に欠けていた。
- 参加者の選抜および記述方法に関する報告基準の欠如が顕著であり、報告の透明性が不足していることが同定された。
- これらの発見は、今後のユーザー中心のフィッシング研究において、より高い方法論的厳密性と報告基準の向上が急務であることを強調している。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。