セキュリティ警告を数多く見過ぎると人間の脳は部分的に停止するということがMRIで判明

SSLサーバ証明書の設定方法などに問題があるページや認証されていないソフトウェアを開くと、セキュリティ警告がポップアップします。インターネットに親しんできたユーザーなら何度も見ている警告ウィンドウですが、このセキュリティ警告を何度も見ることで、人間の注意力が極端に低下していることがGoogleと複数の大学との共同研究論文で明らかになっています。

Microsoft Word - Anderson et al. CHI 2015 v7.8.docx - Anderson_et_al._CHI_2015.pdf
(PDFファイル)http://neurosecurity.byu.edu/media/Anderson_et_al._CHI_2015.pdf

Improving SSL Warnings: Comprehension and Adherence - sslinterstitial-chi.pdf
(PDFファイル)https://adrifelt.github.io/sslinterstitial-chi.pdf

MRIs show our brains shutting down when we see security prompts | Ars Technica
http://arstechnica.com/security/2015/03/mris-show-our-brains-shutting-down-when-we-see-security-prompts/

セキュリティ警告はセキュリティ上に問題のあるページへのユーザーのアクセス防止のために設けられています。そんなセキュリティ警告が実際に「どれほどの抑止力を持っているのか？」ということを、ピッツバーグ大学・ブリガムヤング大学・GoogleがMRIを使って検証しました。

計算機学会のカンファレンスCHI 2015で発表が予定されている研究論文によると、研究チームは25人の学生にMRI(核磁気共鳴画像法)の中で560枚のソフトウェアのウィンドウやセキュリティ警告を見てもらい、脳の注意力に関連する部分の反応を分析しました。その結果、同じ警告が再び現れただけで注意力が急落し、警告の反復が13回に及ぶと注意力の大幅な急降下があったとのこと。

これは「警告」の刺激に対して脳が部分的に「完全休止」していたことを示しており、何度も同じセキュリティ警告を見ることで、ある刺激がくり返し提示されることによって、その刺激に対する反応が徐徐に見られなくなっていく現象を指す「馴化(じゅんか)」が起こっていると考えられます。

既存のセキュリティ警告では効果が薄いことが判明したため、同研究チームは新たに「Polymorphic Warnings(多形性の警告)」という警告の色・文言・形などを毎回変化させるセキュリティ警告を提案しています。研究チームは参加者たちにノートPCを使って実際にソフトウェアの設定やインストールを行ってもらい、途中で表示される「多形性の警告」の反応をマウスカーソルの移動速度をミリ秒単位で計測して検証しました。このテストの結果、「多形性の警告」によってユーザーに馴化が起こりにくいことが判明しています。

なお、Googleはこれらの研究に携わるにあたって、Chromeのセキュリティ警告を効果の高かったものに変更するなど、セキュリティUIの改善に役立てています。