イランを巡る情勢をはじめとする地政学的緊張が高まる際、多くの組織は物理的なセキュリティ、サプライチェーンへの影響、あるいは政治的な動向に目を向けます。しかし、それらとほぼ同時に、もう一つの戦いが幕を開けます。それが人間の心理を巡る攻防です。
サイバー犯罪者や国家主導の攻撃者は、単にニュースを眺めているわけではありません。彼らはニュースを武器化することに長けています。人々のストレス、不確実性、恐怖心がピークに達したとき、ソーシャルエンジニアリング攻撃の成功率は劇的に跳ね上がります。
政治の世界には「良い危機を無駄にするな」という格言があります。犯罪者がこの教えを忘れる心配は、まずありません。彼らはこの格言を誰よりもよく理解していますし、むしろ危機に乗じることこそが彼らの生業だとさえ言えます。
まずは、すでに知られている事実から整理します。サイバー犯罪者は、隙のあるところを狙います。金銭目的、データの窃取、業務の妨害、さらには思想的な影響力の行使まで、さまざまな動機が攻撃を突き動かしています。
そして、世界規模の紛争や混乱は、これらの動機のすべてを満たします。重大な紛争、政治的対立、大規模な災害が発生した際、社会には次のような現象が起こります。
この組み合わせこそ、ソーシャルエンジニアリングが最も活発化する環境です。攻撃者にとって、世間を騒がせるニュースがあるかぎり、高度なゼロデイ脆弱性など必要ありません。
改めて確認しておきたいのは、ソーシャルエンジニアリングは技術的な攻撃ではなく、心理的な攻撃であるという点です。人の心理に対する攻撃は、体内にコルチゾールというストレスホルモンを分泌させ、脳に物理的な影響を及ぼします。コルチゾールは、意思決定、計画立案、衝動の抑制、社会的行動を司る前頭前野の働きを低下させます。その一方で、恐怖や警戒心を高める扁桃体を刺激するため、人はより感情的になり、衝動的な行動を取りやすくなります。
衝動を抑えられず、感情に流されやすい。これは望ましい組み合わせといえるでしょうか。攻撃者にとっては、これ以上ない好条件です。
研究によると、このような攻撃は人間の認知的な隙を巧みに突いてきます。特に人々が以下のような状況にあるとき、その効果は絶大です。
言うまでもなく、世界的な紛争、政治、災害は、これら3つすべてを増幅させます。
心理学の研究でも、ストレスが意思決定能力を直接的に低下させることが実証されています。簡単に言えば、人はストレスを感じると、十分な検証をしないまま判断を下してしまう傾向があります。メッセージ内のURLを確認せずにリンクをクリックしてしまうのは、まさにこのメカニズムによるものです。
イランをめぐる紛争が報じられると、攻撃者はすぐさま、その話題に合わせて手口を切り替えました。無差別にばらまくフィッシングメールやショートメッセージではなく、人の心を巧みに引っかける、練り込まれた仕掛けです。過去に起きた大規模な抗議活動や航空機事故、そしてコロナ禍でも全く同じ手口が使われました。同じ手法が繰り返されるのは、それが確実に成果を上げるからです。
よく見られるテーマには、次のようなものがあります。
これらがよく効くのは、人間の予測しやすい行動に付け込んでいるからです。
人間の脳は、本能的にこうした場面で同じような反応を返すようにできています。ソーシャルエンジニアリング攻撃は、こうした感情的な反応や認知バイアスを操作するために、特別に設計されています。
サイバーセキュリティにおいて最も危険な組み合わせの一つが、ストレスと緊急性の掛け合わせです。詐欺被害に関する研究でも、時間的なプレッシャーを与える手口が、被害者が不正な要求に応じてしまう可能性を大幅に高めることが分かっています。
例えば、以下のような一言です。
これらのメッセージは、理性的な判断をかいくぐるように計算し尽くされています。私たちが第三者として眺めれば、標的本人には見えていない危険にもすぐ気づけます。それは、その緊急性が自分に向けられていないからです。
緊急性が加わると、脳は反射的な判断へと切り替わります。これは、ダニエル・カーネマン氏の研究で知られるシステム1思考と呼ばれるものです。この判断は速い反面、誤りやすく、外から操られやすいという弱点を抱えています。
地政学的な緊張が高まる時期には、組織も個人も、次のような手口を想定しておくべきです。
以下になりすましたメールやショートメッセージです。
これらには、多くの場合、悪意のあるリンクや添付ファイルが含まれています。
人々の思いやりや混乱に付け込む手口です。
感情に訴えかけることで、通常であれば働くはずの警戒心を上回らせます。
BEC攻撃がすでに大きな成果を上げていることは、周知の事実です。FBIをはじめとする法執行機関が公表している被害額を見れば、それは明らかです。
そこに世界的な危機という要素が加わると、こうなります。
危機という切り口を織り交ぜるだけで、こうしたシナリオは一気に信ぴょう性を増します。
すべての攻撃が金銭を目的としているわけではありません。
なかには、次のようなことを狙うものもあります。
こうしたキャンペーンは、ソーシャルエンジニアリングと誤情報を組み合わせ、個人と組織の双方を標的にします。
この点について、私はソーシャルメディアに愛憎入り混じった感情を抱いています。家族や友人とつながっていられるのは好きですが、こうしたプラットフォームに蔓延する誤情報や偽情報、そしてそれが生み出す憎悪や誹謗中傷には、うんざりさせられます。
サイバーセキュリティの世界には、一つの危険な思い込みがあります。それは、攻撃に引っかかるのは訓練を受けていないユーザーだけだ、あるいは引っかかる人は注意力が足りないのだ、という考えです。
しかし、実態はその正反対です。どれほど注意深い人物であっても、最適なタイミングで、自分の関心に合致したメッセージを受け取れば、騙されてしまう可能性があります。
研究でも以下の事実が示されています。
つまりこれは、能力の有無ではなく、私たちが人間であるがゆえの問題なのです。だからこそ、引っかかってしまった人を一方的に責めるのは避けたいところです。
地政学的な緊張が高まっているのであれば、組織のセキュリティ体制もそれに応じて調整すべきです。
ここで重要になるのが、多層防御という考え方です。新しい概念ではありませんが、実際の現場では意外と見過ごされがちです。
重点的に取り組みたいのは、次の4点です。
年次の定期研修を待つべきではありません。もし年1回の研修しか行っていないのであれば、その頻度を見直す絶好の機会です。ここでは、要点を絞ったメッセージと、関連しそうな脅威への具体的な備え方を伝える短時間の学習が効果を発揮します。
啓発の内容は、今まさに起きている出来事と直接結びつけましょう。イランの紛争に関連した詐欺への注意を促したり、頼んでもいないのに届く速報リンクを安易に信じないよう呼びかけましょう。
特に、次のような場面では徹底が必要です。
攻撃者は緊急性を頼りにしています。裏を返せば、確認するというひと手間が、その勢いを断ち切ります。ただし、確認は必ず別の経路(アウトオブバンド)で行ってください。たとえば、メッセージに記載された電話番号にかけて確認するようなことは避けましょう。代わりに、あらかじめ分かっている正規の番号や、SlackやTeamsのチャットなどを使って確認してください。
セキュリティの担当部署は、次のことに取り組むべきです。
従来のトレーニングでは不審なリンクの見分け方に重点が置かれていました。これからの研修では、それに加えて、急かされたり不安をあおられたりしたときこそ用心しましょう、と伝える必要があります。
強い感情的反応を引き起こす連絡を受けたときこそ、深く息を吸い、客観的にメッセージを検証する習慣を身につけさせます。なぜなら、その感情の揺さぶりこそが攻撃そのものだからです。
もはや紛争は、物理的な国境の内側にとどまってはくれません。
それは、次のような場所へと流れ込んできます。
そして最終的には、私たちが日々行う意思決定そのものへと入り込んできます。現代のサイバー犯罪者は、人を動かせるのであれば、システムをハッキングする必要はないという事実を熟知しています。
世界的あるいは政治的な緊張が高まるとき、あるいは大規模な災害が発生したとき、組織は自分たちの従業員こそが第一の標的になるという現実を認識しなければなりません。ストレスがかかり、人々が最もプレッシャーを感じている瞬間こそ、攻撃者が仕掛けてくるタイミングだからです。
従業員に、友人に、そして家族に、こうした脅威をはね返す力を届けていきましょう。
原典:Erich Kron著 2026年5月27日発信 https://blog.knowbe4.com/how-geopolitical-conflict-fuels-social-engineering-attacks