2021 Fiscal Year Research-status Report
ヒューマンエラーに対するアプローチのフィッシング詐欺被害防止教育への応用
| Project/Area Number |
20K05013
|
|---|
| Research Institution | Institute of Information Security |
|---|
Principal Investigator |
稲葉 緑 情報セキュリティ大学院大学, その他の研究科, 准教授 (80419093)
|
|---|
| Project Period (FY) |
2020-04-01 – 2023-03-31
|
| Keywords | 質問紙調査 / 実験 / 標的型攻撃メール / 仮説評価 |
|---|
| Outline of Annual Research Achievements |
フィッシング詐欺による被害は、詐欺サイトに誘導するためのメールが不正な相手からのメールであると適切に判断することによって防ぐことができる。本研究は、精巧に作成されたフィッシング詐欺のメールが不正なメールであると気づくメカニズムを明らかにすることを目的とする。また、この気づきに関するスキルの向上に効果的な教育プログラムを示すことを目指す。具体的には、従来型の教育プログラムと、本研究が提案する追加的な教育プログラムとを使った実験を実施し、その効果を評価する。
実績としては第一に、企業に勤める社会人に対象を絞り込んだWEB調査を実施した。フィッシング詐欺メールに関する質問項目のほか、企業に特化したフィッシング詐欺メールである標的型攻撃メールについても同様の質問項目を提示し、回答を依頼した。その結果の一部として、一個人としての標的型攻撃に対する判断は、一般的なフィッシング詐欺被害のメカニズムと大きく変わらないことが示唆された。
第二の実績としては、教育プログラムを検討するための実験条件の一部を実施した。この実験ではフィッシング詐欺メールの中でも標的型攻撃メールにさらに内容を絞り込むこととした。実験はオンライン(Zoom)で実施した。使った教育プログラムは、本研究が従来型プログラムと位置づけるもので、IPAやフィッシング対策協議会等が展開するユーザ向けのガイドラインなどを参考に作成した。人材派遣会社を通じて実験への参加を契約した参加者に、①標的型攻撃模擬メールへの対応(教育前)、②教育プログラムの受講、③標的型攻撃模擬メールの対応(教育後)、の手順で実験を実施したところ、当初の仮説とおり、③の標的型攻撃模擬メールへの反応に②教育プログラムの効果はみられなかったことを確認した。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
本研究では、フィッシングメールである危険性に気づくメカニズムを明らかにし、その危険性に気づくスキル向上を目的としたプログラムを示すことを目的とする。この目的を到達するにあたり、申請時には1回のWEB調査と3回の実験を実施することを予定していた。1回目のWEB調査を実施したところ、この結果に想定以上に示唆が含まれていたことから調査を1回追加的に実施することし、準備したところで令和2年度は終了した。
総合的には以下の理由により、令和3年度の進捗は、おおむね順調であると評価した。
・はじめに、これまでに得られた成果を俯瞰し、また、研究代表者が令和3年度よりフィッシング対策協議会に参加し、その報告書作成に携わった経験から、研究の計画を一部、次のように変更した:1)最終目標である評価する教育プログラムは、企業内での教育に使うことを想定したプログラムとする。2)プログラムはフィッシング詐欺メールの中でも、標的型攻撃メールに重点を置いた内容とする。3)WEB調査を1回から2回に増やした一方、実験を効率化することで、回数を2回に減らしても最終目標に到達できると判断した。このように研究対象を、より絞り込み、実験の効率化を図ったことで、研究を円滑に進めることができた。
・前年度に準備した内容を基にしつつ、企業に勤める社会人向けの調査に変更した上で、前年度終了時に予定したWEB調査(2回目)を実施した。
・また、1回目の実験に関し、複数の実験条件のうち、一部を実施した。一部の結果ではあるが、提案型教育プログラムに関する当初予測していたとおりの結果を確認することができた。
・国内の学会・研究会に参加したほか、海外の研究調査を実施し、フィッシング詐欺やビジネスメール詐欺のマネジメントおよび技術的対策に関する最新の情報を収集することができた。
|
| Strategy for Future Research Activity |
令和4年度は、実験1回目の一部の残った実験条件と、実験2回目を実施する。2回目の実験では、本研究が提案する教育プログラムの効果を評価する。この教育プログラムは、1、2回目のWEB調査の結果に基づき作成する。従来型教育プログラムを使った場合の効果と比較するため、使用する教育プログラム以外の実験手続きは、令和3年度に実施した実験と同様である。また、令和3年度は新型コロナ感染症蔓延防止の観点からオンラインで実験したため、令和4年度も同様にオンラインで実験する。オンサイトで実験を実施する際の参加者への対応が無くなったことから、実験補助の協力を得ず、研究代表者1人で実施した。令和4年度も、同様に研究代表者1人で実施する予定である。なお、この人に関する実験は、模擬的で、かつ、安全であるものの、標的型攻撃メールを参加者に送信するという倫理的な側面を持つ。そのため、実施前に所属先での倫理委員会の承認を得る。令和3年度の実施前には問題なく承認を得ることができたため、令和4年度も円滑に承認され、実験を開始することができると期待される。
成果報告については、WEB調査1回目の結果は英語論文にまとめ、令和3年度に国際会議での発表を目指したが採択されなかった。そこで修正し、令和4年6月に投稿予定である。WEB調査2回目の結果は、国内学会において発表する。また、この発表時の議論を参照としつつ、成果をまとめたものを国内の学術誌に投稿する予定である。実験の結果は、まずは国内の学会研究会で報告する。その後、国際学会あるいは海外の学術誌に投稿することを目指すが、これは研究年度終了後の予定であり、科研費以外の研究費を使う。さらに、本研究の成果は、フィッシング対策協議会で共有することが期待されている。当該協議会が令和5年度に公表するフィッシングレポートにて本研究の成果の一部を紹介する予定である。
|
| Causes of Carryover |
令和3年度はWEB調査での結果やフィッシング詐欺メール対策に関する今後の動向をもとに、研究内容を絞り込み、効率的に実験を実施することができたが、実験1回目の実験条件の一部に実施が留まった。その分の人材派遣会社を通した参加者への謝金の支払いを繰り越して請求する。これによって、本年度に残りの実験条件について実施する。
また、令和3年度は所属する学会・研究会にオンラインで参加し、旅費・参加費ともに出費はなかった。また、オンラインで実験を実施することとなり、実験補助者への謝金支払いがなくなった。この余剰分は、令和4年度に実施する実験を実験室実験からオンラインでの実験に変更するのに伴い増加する実験費用に充てる。令和3年度に実験1回目の一部を実施したが、オンサイトで実験をする場合に比べて参加者一人あたりの金額が1.5倍であった。これは、オンサイト実験で実験補助が実施する予定であった参加者への対応や管理を、オンライン実験では事前に人材派遣会社に依頼するためである。さらに、提案型プログラムは従来型プログラムに追加的に実施するものであり、実験時間が長くなる。そのため、より多くの謝金が必要になる。当初の予算では実験計画を縮小する必要があったため、繰り越された予算を使用して令和3年度に最終的に決定した実験計画のとおりに実験を実行する。
|
