Skip to main content
QUICK REVIEW

[論文レビュー] Breaching the Human Firewall: Social engineering in Phishing and Spear-Phishing Emails

Marcus Butavicius, Kathryn Parsons|arXiv (Cornell University)|May 28, 2016
Spam and Phishing Detection参考文献 15被引用数 85
ひとこと要約

本研究は、権威、希少性、社会的証明といったソーシャルエンジニアリング戦略が、フィッシングおよびスパー・フィッシング攻撃におけるユーザーのメールの安全性に関する認識にどのように影響するかを調査する。制御された実験を通じて、権威原則がユーザーをだますために最も効果的であることが判明し、特にスパー・フィッシングの文脈において、悪意あるリンクを安全なものと判断する可能性を顕著に高める。

ABSTRACT

We examined the influence of three social engineering strategies on users' judgments of how safe it is to click on a link in an email. The three strategies examined were authority, scarcity and social proof, and the emails were either genuine, phishing or spear-phishing. Of the three strategies, the use of authority was the most effective strategy in convincing users that a link in an email was safe. When detecting phishing and spear-phishing emails, users performed the worst when the emails used the authority principle and performed best when social proof was present. Overall, users struggled to distinguish between genuine and spear-phishing emails. Finally, users who were less impulsive in making decisions generally were less likely to judge a link as safe in the fraudulent emails. Implications for education and training are discussed.

研究の動機と目的

  • ユーザーがメールのリンクをクリックする安全性についての判断に、ソーシャルエンジニアリング戦略がどのように影響するかを調査すること。
  • フィッシングおよびスパー・フィッシングメールにおける権威、希少性、社会的証明の有効性を比較すること。
  • ユーザーが本物のメール、フィッシングメール、スパー・フィッシングメールをどれだけ正確に識別できるかを評価すること。
  • 意思決定の衝動性といった個人差が、ソーシャルエンジニアリング攻撃への感受性に与える影響を明らかにすること。

提案手法

  • 参加者が本物のメール、フィッシングメール、スパー・フィッシングメールの3種類のメールにさらされる制御された実験を実施した。
  • 各メールには、権威、希少性、社会的証明の3つのソーシャルエンジニアリング戦略のうち1つが組み込まれた。
  • 各メールに記載されたリンクの安全性に関する参加者の判断を、標準化されたスケールで測定した。
  • 妥当な心理的評価ツールを用いて、参加者の意思決定の衝動性に関するデータを収集した。
  • ソーシャルエンジニアリング戦略と個人的特徴が、ユーザーのリスク認識とクリック判断に与える影響を分析した。
  • 統計解析を用いて、メールタイプとソーシャルエンジニアリング戦略ごとのクリック安全性判断を比較した。

実験結果

リサーチクエスチョン

  • RQ1権威、希少性、社会的証明は、フィッシングおよびスパー・フィッシングメールにおけるリンクの安全性認識にどのように影響するか?
  • RQ2ユーザーが悪意あるリンクを安全なものと認識するようにだますために、どのソーシャルエンジニアリング戦略が最も効果的か?
  • RQ3ユーザーは本物のメール、フィッシングメール、スパー・フィッシングメールをどれだけ正確に識別できるか?
  • RQ4意思決定における個人の衝動性は、メール攻撃におけるソーシャルエンジニアリングへの感受性に影響を及ぼすか?
  • RQ5これらの発見は、サイバーセキュリティ教育および訓練プログラムにどのような示唆をもたらすか?

主な発見

  • 権威原則が最も効果的なソーシャルエンジニアリング戦略であり、悪意あるリンクを安全なものと判断するユーザーの認識を顕著に高めた。
  • 権威戦略が用いられた際、ユーザーはフィッシングおよびスパー・フィッシングメールを最も識別しにくく、高いだましの効果を示した。
  • 社会的証明が存在する際、ユーザーは不正なメールを最もよく検出できたため、攻撃者にとってこの戦略は効果が低いと考えられる。
  • 全体として、ユーザーは本物のメールとスパー・フィッシングメールを区別するのに苦労しており、人間による脅威検出における深刻な脆弱性を示している。
  • 衝動的でない意思決定をとる人々は、悪意あるリンクを安全なものと判断する可能性が低く、慎重な意思決定が保護的役割を果たすことを示している。
  • 本研究は、技術的防御よりも心理的トリガーを巧みに利用するソーシャルエンジニアリングが、特に標的型攻撃においてより効果的であることを確認した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。