せいうちセキュリティ

研究論文からサイバー犯罪とセキュリティを考えてみる

【論文考察】ソーシャルエンジニアリングがなくならないのはなぜか

今回の論文はコチラ。1か月くらい前のニュースで「Amazonがダークパターンで提訴された」と知り、数年前にほんのりと流行った『ダークパターン』を調べてみました。そしたらこの論文に行き着いたので紹介します。ここからわかることをソーシャルエンジニアリングと紐づけて解釈すると面白いと思ったので、今回のタイトルにしてみました。

arxiv.org

Arunesh Mathur, Gunes Acar, Michael J. Friedman, Elena Lucherini, Jonathan Mayer, Marshini Chetty, and Arvind Narayanan. 2019. Dark Patterns at Scale: Findings from a Crawl of 11K Shopping Websites. Proc. ACM Hum.-Comput. Interact. 3, CSCW, Article 81 (November 2019), 32 pages. https://doi.org/10.1145/3359183

 

 

どんな人におすすめ?

企業に勤めるマーケター(特にメルマガやブログ担当者)やセキュリティ教育に携わっている人たち向けの内容です。ダークパターンはUXの話なので、自社ウェブサービスのUX開発者には既知のテーマです。しかし影響範囲はもっと広いです。ネットをこれからも長く利用するであろう人たち全員が知っておく基礎教養レベルの知識でしょう。

特にマーケターは要注意の概念なのでよーーーく覚えておいたほうがいいです。ダークパターンは、一昔前の「優れたマーケティング戦術」が行き過ぎたかたちと捉えて言い過ぎではありません。社会人として長く活躍するためにも、自分の周りの人を犯罪被害から守るためにも、ダークパターンとフィッシングに使われる「認知バイアス」を知っておきましょう。

 

どんな内容?

ダークパターンとは限りなく黒に近いグレーなユーザーインターフェースのことで、オンラインショッピングのUXなどでしばしば議論になるものです。その特徴は、人間の認知バイアスを利用して、ユーザー本人が「よく考えてみれば本当は買うつもりじゃなかった」という行動を誘発するという点です。ダークパターンにもグラデーションがあって、「まあ気を付けて設計しようね」くらいの注意で終わるミディアムグレーUIもあれば、「これは明らかにダメでしょ。詐欺詐欺!」っていうレベルのチャコールグレーUIまで様々です。
この研究はそういったダークパターンの観点で、約11,000件のオンラインショッピングサイトにある53,000件の商品ページをレビューして、ダークパターンを7カテゴリ15タイプに分類しています。この分類がまたなかなかにエモいです。以下に詳しく見ていきましょう。

ダークパターンのカテゴリおよびタイプ(説明、出現頻度、定義を含む)

 

カテゴリは以下の7つです。京都大学/鹿島久嗣さんの翻訳がわかりやすかったので拝借しました。文章の後半は例を示しています。

  1. Sneaking(こっそり型)…オプション商品の追加が最初から☑されている
  2. Urgency(急かし型)…カウントダウンタイマー
  3. Misdirection(誘導型)…「本当によろしいんですか?」的な言い回し
  4. Social Proof(みんなやってるよ型)…「ほかのユーザーが今買ったのはこちら」的なビジュアル
  5. Scarcity(希少性煽り型)…残りあと3個!的なやつ
  6. Obstruction(妨害型)…登録よりも解約のほうが死ぬほど難しい
  7. Forced Action(強制型)…個人情報取り扱いの同意とメルマガ受信の同意が一つのチェックボックスにまとまっている

なんかもう心当たりがありすぎて、とても他人事とは言えません。当時調べたものでも大体10%くらいのサイトでダークパターンが確認されています。妻に話したときも「なんかそういうのあった気が…っていうかそういうのばっかだなあ…」と遠い目をしていました。

 

注目ポイント

そしてセキュリティに関わる方は既にお気づきかもしれませんが、このダークパターンの特徴はだいたいソーシャルエンジニアリングの特徴と一致します。支払期限を明示するランサムノートも典型的な急かし型ですね。ダークパターンもソーシャルエンジニアリングも人間が持っている認知バイアスを悪用しているためです。逆を言えば、自分が持っている認知バイアスをあらかじめ自覚しておけば、チャコールグレーパターンが来ても対処できる確率がちょっと上がるかもしれません。ということで、悪用されがちな認知バイアスを見てみましょう。

  1. アンカリング効果…最初に意識したもの(あるいは目にしたもの)を過剰に重視すること。日常的によく購入する食品(牛乳や卵)が安い店は「顧客のために価格努力をしている」とみなしてすべての商品がお値打ちに感じるようになる。
  2. バンドワゴン効果(Bandwagon)…みんながいいと思うものをいいと思ってしまうこと。勝ち馬に乗ってしまう人間の心理。選挙で「候補者Aが優勢」と聞くとAに投票しがちになる。定番色のコートを買おうとしたが店員に「今年はオレンジが来てるんすよ!」って言われるとオレンジも良く思えてくる。
  3. デフォルト効果…初期設定値に留まりがちなこと。3年前に1回しか使ってないオンラインショップから今だにメルマガが届き続けている。臓器提供の同意率が国ごとに低いところと高いところに完全に二分されているのは、初期値が「同意」なのか否か。
  4. 希少性バイアス…品切れ、期間限定、残り一点などと言われると無性にほしくなること。数が少なかったり入手が難しいものほど価値があると感じてしまう。ケーキ屋さんに行ったときに、残り少ないケーキを買いがち。
  5. フレーミング効果…同じ情報であっても言い回しや焦点の当て方によって意思決定に差が出てしまうこと。「この手術は95%の確率で成功します」と「この手術は5%の確率で失敗します」なのかで印象が異なる。
  6. 埋没費用効果(サンクコスト効果)…「もったいない」という心理。今まで投資を続けてきたものや高価な買い物だったものをなかなか手放せない現象。いったん動き出してしまったプロジェクトをなかなかやめられないのはこれが原因。

認知バイアスは人間にもとも備わっている習性なのでなくすことはできません。どんなに頑張っても目は錯覚してしまうのと同じです。なので、認知バイアスに抗うことはあまり得策とは言えません。それよりも「ああ、これバイアスかかってんな…しっかりしろ、俺。」みたいな感じで自分を客観視することが良いでしょう。自分のことを第三者として認識することの効果は『Chatter(チャッター)「頭の中のひとりごと」をコントロールし、最良の行動を導くための26の方法』に詳しく書いてあるので、ぜひ読んでみてください。

 

感想

「セキュリティの最大の脆弱性は人間だ!」と得意げにいう人がそれなりにいますが、そういう人の大半は、まるでその「人間」に自分は含まれていないかのような話し方をしがちな印象です。人間は予想通りに非合理的です。心理学は人間の非合理的な部分を研究する学問なので、サイバーセキュリティに携わる人たちもある程度は知っておいたほうがいいと思います。ただし、心理学の中には大衆心理学と言われる「根拠は乏しいがキャッチーな言説」がとても多いので、そっち側に堕ちないように注意しましょう。

 

最後までお読みいただきありがとうございました。ではまた次回。

 

おわり

 

ランキング参加中
セキュリティ