
イランを巡る情勢をはじめとする地政学的緊張が高まる際、多くの組織は物理的なセキュリティ、サプライチェーンへの影響、あるいは政治的な動向に目を向けます。しかし、それらとほぼ同時に、もう一つの戦いが幕を開けます。それが人間の心理を巡る攻防です。
サイバー犯罪者や国家主導の攻撃者は、単にニュースを眺めているわけではありません。彼らはニュースを武器化することに長けています。人々のストレス、不確実性、恐怖心がピークに達したとき、ソーシャルエンジニアリング攻撃の成功率は劇的に跳ね上がります。
危機は攻撃者にとっての好機
政治の世界には「良い危機を無駄にするな」という格言があります。犯罪者がこの教えを忘れる心配は、まずありません。彼らはこの格言を誰よりもよく理解していますし、むしろ危機に乗じることこそが彼らの生業だとさえ言えます。
まずは、すでに知られている事実から整理します。サイバー犯罪者は、隙のあるところを狙います。金銭目的、データの窃取、業務の妨害、さらには思想的な影響力の行使まで、さまざまな動機が攻撃を突き動かしています。
そして、世界規模の紛争や混乱は、これらの動機のすべてを満たします。重大な紛争、政治的対立、大規模な災害が発生した際、社会には次のような現象が起こります。
- メディアの消費量が増加する
- 十分な検証が行われないまま、情報が急速に拡散する
- 恐怖、怒り、不安といった感情的な反応が生じる
この組み合わせこそ、ソーシャルエンジニアリングが最も活発化する環境です。攻撃者にとって、世間を騒がせるニュースがあるかぎり、高度なゼロデイ脆弱性など必要ありません。
攻撃が成功する心理的メカニズム
改めて確認しておきたいのは、ソーシャルエンジニアリングは技術的な攻撃ではなく、心理的な攻撃であるという点です。人の心理に対する攻撃は、体内にコルチゾールというストレスホルモンを分泌させ、脳に物理的な影響を及ぼします。コルチゾールは、意思決定、計画立案、衝動の抑制、社会的行動を司る前頭前野の働きを低下させます。その一方で、恐怖や警戒心を高める扁桃体を刺激するため、人はより感情的になり、衝動的な行動を取りやすくなります。
衝動を抑えられず、感情に流されやすい。これは望ましい組み合わせといえるでしょうか。攻撃者にとっては、これ以上ない好条件です。
研究によると、このような攻撃は人間の認知的な隙を巧みに突いてきます。特に人々が以下のような状況にあるとき、その効果は絶大です。
- 強いストレスを感じているとき
- 認知的な負荷が高いとき(処理すべき情報が過大)
- 気が散っている、あるいは心に余裕がないとき
言うまでもなく、世界的な紛争、政治、災害は、これら3つすべてを増幅させます。
心理学の研究でも、ストレスが意思決定能力を直接的に低下させることが実証されています。簡単に言えば、人はストレスを感じると、十分な検証をしないまま判断を下してしまう傾向があります。メッセージ内のURLを確認せずにリンクをクリックしてしまうのは、まさにこのメカニズムによるものです。
「感情」という攻撃対象領域
イランをめぐる紛争が報じられると、攻撃者はすぐさま、その話題に合わせて手口を切り替えました。無差別にばらまくフィッシングメールやショートメッセージではなく、人の心を巧みに引っかける、練り込まれた仕掛けです。過去に起きた大規模な抗議活動や航空機事故、そしてコロナ禍でも全く同じ手口が使われました。同じ手法が繰り返されるのは、それが確実に成果を上げるからです。
よく見られるテーマには、次のようなものがあります。
- 速報を装ったアラート
- 緊急のセキュリティアップデートという名目
- 寄付や人道支援の呼びかけ
- 政府機関や軍を装ったなりすまし
これらがよく効くのは、人間の予測しやすい行動に付け込んでいるからです。
- 恐怖:自分の近くで何かが起きているのか、という不安
- 緊急性:今すぐ行動しなければ、という焦り
- 権威:これは政府機関から届いたものだ、という思い込み
- 好奇心:もっと詳しく知りたい、という欲求
人間の脳は、本能的にこうした場面で同じような反応を返すようにできています。ソーシャルエンジニアリング攻撃は、こうした感情的な反応や認知バイアスを操作するために、特別に設計されています。
ストレス+緊急性=誤った判断
サイバーセキュリティにおいて最も危険な組み合わせの一つが、ストレスと緊急性の掛け合わせです。詐欺被害に関する研究でも、時間的なプレッシャーを与える手口が、被害者が不正な要求に応じてしまう可能性を大幅に高めることが分かっています。
例えば、以下のような一言です。
- 事態が深刻化する前に、今すぐ行動を
- 国際的な脅威につき、ただちに対応が必要です
- お客様のアカウントが制裁の対象となる恐れがあります。今すぐご確認ください
これらのメッセージは、理性的な判断をかいくぐるように計算し尽くされています。私たちが第三者として眺めれば、標的本人には見えていない危険にもすぐ気づけます。それは、その緊急性が自分に向けられていないからです。
緊急性が加わると、脳は反射的な判断へと切り替わります。これは、ダニエル・カーネマン氏の研究で知られるシステム1思考と呼ばれるものです。この判断は速い反面、誤りやすく、外から操られやすいという弱点を抱えています。
警戒すべき具体的な事例
地政学的な緊張が高まる時期には、組織も個人も、次のような手口を想定しておくべきです。
1. 速報を悪用したフィッシングキャンペーン
以下になりすましたメールやショートメッセージです。
- 報道機関
- 情報機関のブリーフィング
- 流出したとされる報告書
これらには、多くの場合、悪意のあるリンクや添付ファイルが含まれています。
2. 金銭・寄付を狙った詐欺
人々の思いやりや混乱に付け込む手口です。
- 実在しない慈善団体
- 緊急支援を求める呼びかけ
- 暗号資産での寄付を促すキャンペーン
感情に訴えかけることで、通常であれば働くはずの警戒心を上回らせます。
3. 地政学的な要素を加えたビジネスメール詐欺(BEC)
BEC攻撃がすでに大きな成果を上げていることは、周知の事実です。FBIをはじめとする法執行機関が公表している被害額を見れば、それは明らかです。
そこに世界的な危機という要素が加わると、こうなります。
- 地域情勢が不安定なため、送金先を変更する必要があります
- 制裁措置に伴い、取引先を変更します
危機という切り口を織り交ぜるだけで、こうしたシナリオは一気に信ぴょう性を増します。
4. 偽情報・世論操作
すべての攻撃が金銭を目的としているわけではありません。
なかには、次のようなことを狙うものもあります。
- 世論の認識を誘導する
- パニックを引き起こす
- 組織や社会に対する不信感を植え付ける
こうしたキャンペーンは、ソーシャルエンジニアリングと誤情報を組み合わせ、個人と組織の双方を標的にします。
この点について、私はソーシャルメディアに愛憎入り混じった感情を抱いています。家族や友人とつながっていられるのは好きですが、こうしたプラットフォームに蔓延する誤情報や偽情報、そしてそれが生み出す憎悪や誹謗中傷には、うんざりさせられます。
優秀な人材であっても騙される理由
サイバーセキュリティの世界には、一つの危険な思い込みがあります。それは、攻撃に引っかかるのは訓練を受けていないユーザーだけだ、あるいは引っかかる人は注意力が足りないのだ、という考えです。
しかし、実態はその正反対です。どれほど注意深い人物であっても、最適なタイミングで、自分の関心に合致したメッセージを受け取れば、騙されてしまう可能性があります。
研究でも以下の事実が示されています。
- ソーシャルエンジニアリングは、無意識の反射的な反応を引き出すことで成功する
- 経験豊富な専門家であっても、極度のストレス下では脆弱になる
- 情報漏洩の大半には(最大でおよそ60〜68%)、ヒューマンエラーが関わっている
つまりこれは、能力の有無ではなく、私たちが人間であるがゆえの問題なのです。だからこそ、引っかかってしまった人を一方的に責めるのは避けたいところです。
組織が今すぐ取り組むべき対策
地政学的な緊張が高まっているのであれば、組織のセキュリティ体制もそれに応じて調整すべきです。
ここで重要になるのが、多層防御という考え方です。新しい概念ではありませんが、実際の現場では意外と見過ごされがちです。
重点的に取り組みたいのは、次の4点です。
1. リアルタイムで意識を高める
年次の定期研修を待つべきではありません。もし年1回の研修しか行っていないのであれば、その頻度を見直す絶好の機会です。ここでは、要点を絞ったメッセージと、関連しそうな脅威への具体的な備え方を伝える短時間の学習が効果を発揮します。
啓発の内容は、今まさに起きている出来事と直接結びつけましょう。イランの紛争に関連した詐欺への注意を促したり、頼んでもいないのに届く速報リンクを安易に信じないよう呼びかけましょう。
2. 確認する文化を根付かせる
特に、次のような場面では徹底が必要です。
- 金銭のやり取り
- 取引先の変更
- 機密情報に関する依頼
攻撃者は緊急性を頼りにしています。裏を返せば、確認するというひと手間が、その勢いを断ち切ります。ただし、確認は必ず別の経路(アウトオブバンド)で行ってください。たとえば、メッセージに記載された電話番号にかけて確認するようなことは避けましょう。代わりに、あらかじめ分かっている正規の番号や、SlackやTeamsのチャットなどを使って確認してください。
3. 話題性のあるキャンペーンを監視する
セキュリティの担当部署は、次のことに取り組むべきです。
- 地政学的なキーワードを使ったフィッシングの急増に注意を払う
- 流行中の手口に合わせてフィルターを調整する
4. 技術的な兆候だけでなく、感情の気づきを鍛える
従来のトレーニングでは不審なリンクの見分け方に重点が置かれていました。これからの研修では、それに加えて、急かされたり不安をあおられたりしたときこそ用心しましょう、と伝える必要があります。
強い感情的反応を引き起こす連絡を受けたときこそ、深く息を吸い、客観的にメッセージを検証する習慣を身につけさせます。なぜなら、その感情の揺さぶりこそが攻撃そのものだからです。
最後に:攻撃の矛先は広がり続けている
もはや紛争は、物理的な国境の内側にとどまってはくれません。
それは、次のような場所へと流れ込んできます。
- ニュースフィード
- メールの受信トレイ
- メッセージアプリ
- ソーシャルメディア
そして最終的には、私たちが日々行う意思決定そのものへと入り込んできます。現代のサイバー犯罪者は、人を動かせるのであれば、システムをハッキングする必要はないという事実を熟知しています。
世界的あるいは政治的な緊張が高まるとき、あるいは大規模な災害が発生したとき、組織は自分たちの従業員こそが第一の標的になるという現実を認識しなければなりません。ストレスがかかり、人々が最もプレッシャーを感じている瞬間こそ、攻撃者が仕掛けてくるタイミングだからです。
従業員に、友人に、そして家族に、こうした脅威をはね返す力を届けていきましょう。
原典:Erich Kron著 2026年5月27日発信 https://blog.knowbe4.com/how-geopolitical-conflict-fuels-social-engineering-attacks