DL資料請求

余談:特定された“犯人像”に「かっこいい」!となる情報漏えい事件【快活CLUB漏えい 高校生逮捕】

お知らせ コラム 事故事例

今日のお話しは、完全に余談ですが、

情報保護体制を構築する上での教訓も含まれているので気軽にお読みいただければ嬉しいです。

快活CLUB|不正アクセスの発生及び個人情報漏えいの可能性に関するお知らせとお問い合わせ|インフォメーション

「快活CLUB」へサイバー攻撃疑い、高校生逮捕 ChatGPT悪用か – 日本経済新聞

“物語”の中の“犯人像”

 

目に見えない攻撃者には恐怖を感じにくいのに、犯人像がはっきりすると“すごい”と感心してしまう。この矛盾は、私たちが物語として理解できる対象に魅力を感じてしまうという、人間の根源的な心理に基づいています。

それは、時に事件を報道する「ニュース」にさえ感じてしまうものです。

企業の個人情報保護体制構築に直結する話しではありませんが、同じ年ごろの子どもがいる身としては、「すごい」を試す方向性は人の役に立つ道であってほしいと願う親心です。

ハロー効果(Halo Effect)

 

「能力の高さ」が見えると、その人物全体を“優れた存在”として評価してしまう心理があります。

たとえそれが犯罪行為であっても。

  • 技術力が高い
  • 組織を出し抜く頭脳がある
  • 手口が巧妙
    といった特徴があると、人は無意識に“優秀さ”に魅了されてしまいます。

それは 目的(犯罪)と手段(技術)が脳内で切り離されて評価されるため、
「悪いことだけど、すごい……」という

“感情的評価”が入り込んでしまうというから厄介ですよね。

具体的な犯人像があると、人は“物語”として処理してしまう

 

また、心理学的には「ストーリーファイング(物語化)」と呼ばれる現象で“危険性の認知が弱くなる”ケースがあります。

  • 顔が見えない犯罪
  • 匿名のサイバー攻撃
  • どこの誰か分からないリスク
    は、
    ➡怖いけど、現実感が薄れるため“危険性の認知が弱くなる”のです。

大手企業のサイバー攻撃ニュースは自分に関係ない世界の話しに聞こえるのに対し、今回のように、犯人像が明確になると、人はその人物を “キャラクター”として扱い始めます。

物語の登場人物のように感じるため、ハロー効果と併せて感情移入しやすくなります。

それが

正の逸脱への憧れ(Deviance Admiration Effect)

 

心理学では、組織や社会の枠を超える人物に対し、

「逸脱しているのに、どこか尊敬してしまう」

という反応が生まれることがあります。

  • 天才ハッカー
  • カリスマ詐欺師
  • “頭脳犯”としての犯罪者
  • 映画に出てきそうな怪盗
  • ルールを破っても“スマート”に見える人物

ここで大事なのは「被害者」が権威や悪の場合であるという「設定」です。

「逮捕される悪いことなんだけど…何かすごい」「やってくれたね!」
と称賛が混じるのです。

これは犯罪を肯定しているわけではなく、
私たちの脳が“人物評価モード”に入ってしまうことに原因があります。

それを利用した“教育”

実は、この人間心理は
セキュリティ教育にも応用されていることがあります。

単に

・サイバー攻撃は危険です
・情報漏えいは大変です
・気を付けましょう

と言われても、人の脳はなかなか動きません。

しかし、

「実際に起きた事件」
「具体的な人物」
「どんな手口だったのか」

という “物語” が加わると、急に理解が深まります。

人は
ストーリーを通して世界を理解する生き物だからです。

例えばセキュリティ研修でも、

・ランサムウェアの仕組み
・パスワード管理の重要性

を説明するだけより、

「実際にこんな事件がありました」
「この会社はこんな経緯で被害に遭いました」

という “事件の物語” を聞いたほうが、
圧倒的に記憶に残ります。

セキュリティは“人の心理”との戦い

ここが実は、情報セキュリティの本質でもあります。

サイバー攻撃というと

・高度なプログラム
・専門的な技術
・ハッキングツール

の世界に思えますが、

多くの攻撃は 人の心理の隙を突くことで成立しています。

例えば

・「社長からの急ぎのメールです」という詐欺
・「パスワードを更新してください」という偽サイト
・「無料ツール」を装ったマルウェア

どれも
人間の心理を利用した攻撃です。

つまり、

技術 vs 技術ではなく

心理 vs 心理

という側面が非常に大きいのです。

“すごい”と思う気持ちは悪くない

今回のニュースを見て

「すごい技術だな…」

と感じてしまう気持ち自体は、
決しておかしなことではありません。

それは人間の脳の自然な反応です。

ただし大事なのは、
その “すごい”の使い方

もし同じ能力が

・セキュリティ研究
・脆弱性発見
・社会を守る技術

に使われれば、
それは社会にとって大きな価値になります。

実際、世界のセキュリティ研究者の中には
若い頃に“いたずらレベルのハッキング”を経験して
そこから ホワイトハッカーになった人も少なくありません。

情報セキュリティの本当の教訓

今回のニュースの教訓は、

「すごい高校生がいた」

という話ではなく、

サイバー攻撃は
意外なところから起きる

ということかもしれません。

攻撃者は

・国家レベルの組織
・国際犯罪グループ

だけとは限らず、

・好奇心
・遊び心
・技術への興味

から始まるケースもあります。

だからこそ企業は

「すごい攻撃者」から守る体制ではなく

「普通の人でも起こせてしまう攻撃」から守る体制

を作ることが大切になります。

そんな視点で見てみると、
個人情報保護体制の構築も面白さを見いだせるかもしれません。

従業員の行動を変えるまで「運用に落とし込む」にはいいエッセンスなのでは?

社長なりすまし詐欺:勉強会資料

03-3294-5415 [営業時間]10:00〜18:00 土日祝休み
お問い合せ