10月はセキュリティ意識向上月間です。この1ヶ月を機に、組織にとって最大の脅威は「人」である現実を見直し、対策を進めましょう。
ソーシャルエンジニアリングが「効く」理由
ソーシャルエンジニアリングは、「ヒューマンハッキング」とも呼ばれており、技術的な欠陥ではなく人の脆弱性を突くサイバー攻撃です。サイバー犯罪者は人間の様々な心理的要素を悪用し、個人や組織の情報などを狙います。見覚えのあるものを信じやすい傾向や、恐怖・緊急性といった感情、注意散漫なタイミングなどにつけ込みます。
訓練を受けた従業員でも、注意がそれた一瞬に誤ることがあります。だからこそ、人の行動を含む防御は組織のサイバーセキュリティに不可欠です。
Cyberpunks(サイバーパンクス)を紹介
KnowBe4の2025年セキュリティ意識向上月間キットでは、アーケード風の「悪役キャラクターカード」でサイバー脅威をキャラクター化し、抽象的な概念を目に見えるものに置き換えています。
Cyberpunksは、ソーシャルエンジニアリングを擬人化したキャラクターです。彼らは、悪意あるリンクのクリックや危険な添付の開封へと従業員を誘導します。Cyberpunksは今年のキットに登場する4つのテーマ別の悪役キャラクターの1つで、ほかには、Dr. Deepfake(ドクター・ディープフェイク)、Enkryptor(エンクリプター)、Doppelgänger(ドッペルゲンガー)があります。
脅威をキャラクター化することで、「ソーシャルエンジニアリングに注意」といった抽象的な注意喚起を、従業員がより具体的に認識できる対象に変えることができます。たとえば「緊急性を装うフィッシングに注意」よりも、「Cyberpunks に負けないで」と共有したほうが、覚えやすくなります。
こうした置き換えは、リスクに関する話題を生み、従業員が現実の攻撃を見抜き、報告しやすい環境を作り、結果として組織の防御力は上がります。
ゲーム化することが有効な理由
サイバーセキュリティは多くの従業員にとって退屈に感じられがちです。恐怖をあおるメッセージや技術解説に偏ると、心に残りにくくなり、従業員には届きません。一方で、行動心理学の観点では、学習を楽しく、双方向にすると、集中が続くだけでなく、記憶に定着し、実際の行動が変わりやすくなることが示されています。
KnowBe4の2025年セキュリティ意識向上月間キットはこの点に着目し、アーケード風の要素とゲームを取り入れ、単なる教育を参加しやすい体験へ変えます。
次のステップ
残念ながら、今後もソーシャルエンジニアリングがなくなることはありません。むしろ、AIによってさらに高度になります。それでも、全員がセキュリティの意識を持つ文化ができれば、巧妙な攻撃も防御することができます。
原典:Anna Collard著 2025年10月6日発信 https://blog.knowbe4.com/cybersecurity-awareness-month-watch-out-for-the-cyberpunks-outsmarting-social-engineering-in-retro-arcade-style