@techreport{oai:ipsj.ixsq.nii.ac.jp:00203388,
 author = {シュウ, インゴウ and 森, 啓華 and 櫻井, 悠次 and 坪根, 恵 and 飯島, 涼 and 阿曽村, 一郎 and 坂本, 一仁 and 島岡, 政基 and 森, 達哉},
 issue = {42},
 month = {Feb},
 note = {巧妙なフィッシングサイトに対する有望な対策として，ブラウザ上でセキュリティ指標（例えば鍵マークや証明書情報など）を表示することにより，ユーザのリスク認知を高める試みがなされている．また，ユーザに対して適切な教育を施すことにより，リスク認識力が高まることが期待される．しかしながら，これらのアプローチがユーザのフィッシングサイト認知に与える影響は，必ずしも自明ではない．本研究はユーザによるフィッシングサイト認知において事前知識やセキュリティ指標に関する教育が与える影響を一貫的に理解することを目的とし，以下の Research Questions (RQ) を掲げる．RQ1:「フィッシングサイトに対する事前知識やセキュリティ教育により，ユーザの行動はどのように変化するか？」RQ2:「ユーザは何を根拠としてフィッシングサイトを認知するのか？」本研究では，正規のサイトおよびフィッシングサイトを模した架空のフィッシングサイトを 7 つ用意し，ユーザ実験を行う．25名 の実験協力者にそれらのサイトへのログインを促し，その際のユーザの視線をアイトラッキングを用いて計測する．また，上記実験とセットで行うユーザへの教育と半構造インタビューを通じ，ユーザがとった行動とフィッシングサイトの認知状況を詳細に調査する．実験の結果，ブラウザ上で「セキュリティ指標」として表示されている「ドメイン名」，「鍵マーク」及び「証明書」の認知度は低いこと，セキュリティ教育を施すことにより，ユーザの行動（視線）はフィッシングサイトの認知に対して有効な方向に変化するものの，必ずしもすべてのフィッシングサイトの検知にはつながらないことを明らかにした．, As the countermeasures against phishing sites, browser vendors have developed several security indicators such as address bar display and secure lock icon. In addition, it is expected that the users' ability to understand security risks of phishing attack may rise by giving the appropriate education to the user. However, the impact of these approaches has not been well understood in a consistent manner. In this study, we attempt to consistently understand the effect of user's prior knowledge and security education on the users' awareness of phishing site. This work poses the following Research Questions (RQs). RQ1: How does user behavior change due to prior knowledge and education for phishing sites? and RQ2: How do users recognize phishing sites? In this study, we prepare legitimate/fake websites for carrying out user experiments. We recruit 25 participants to study how they behave when they log in to these sites. During the experiments, we monitor their gaze using an eye tracking device. The behavior of the user and the recognition levels of the phishings site are studied through the interactive education programs and semi-structured interviews. As a result, we found that may of participants were not familiar with the security indicators shown on a browser. We also found that by providing prior risk recognition and security education, the behavior of the user changed in an effective direction for detecting the phishing sites, but the change did not lead to the increase in the attack detection rate.},
 title = {エンドユーザはフィッシングサイトを見破ることができるか？視線追跡装置と半構造化インタビューを用いたユーザ行動分析},
 year = {2020}
}