パソコンやスマートフォンの使用時に、悪意のある者が背後からのぞき込んで情報を盗み出そうとする攻撃が、ショルダーハッキングです。この記事では、ショルダーハッキングのよくある場面と、その対策方法について詳しくご紹介します。
LRMではセキュリティ教育の効果的・効率的な手順をまとめた資料を無料で配布しています。ご活用ください。
ショルダーハックとは
ショルダーハックとは、人がパスワードなどの秘密情報を取り扱う様子を背後や隣などから盗み見て、その情報を得ることです。誰かがパソコンやスマートフォンを使用している際中に、悪意のある第三者が、肩(ショルダー)越しに覗きこむ様子からショルダーハックと名づけられました。英語圏では、ショルダーサーフィンと言われることもあります。
攻撃者は、キーボードやディスプレイの様子をのぞき見ることでショルダーハックを実行します。場合によっては、望遠レンズなどを使って、遠方から情報を盗まれることもあります。
ショルダーハックは、ソーシャルエンジニアリングと呼ばれる、コンピューターではなく人間の隙を突いて情報を不正に入手する手法の1つとされています。それでソーシャルエンジニアリングとは、どのような攻撃なのでしょうか。次から具体的にご紹介します。
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、パスワードなどの秘密情報を、情報通信技術を使わずに入手する方法です。人間の心理的な隙や行動のミスにつけ込むものが多く、攻撃者は人の油断につけこんで情報を入手しようとします。大規模なサイバー攻撃でなくても、ソーシャルエンジニアリング的な行為は、誰でも知っていて、ついやってしまいがちです。
具体的な手口として、本来の目的以外でパスワードを聞き出して使う、パスワードを誕生日などから予想してログインする、公共機関を装って口座番号や暗証番号を聞き出す、などがあります。
ソーシャルエンジニアリングの手法は、徐々に巧妙かつ複雑に進化を続けており、現在ではコンピューター犯罪の原因の多くを占めるほどになっています。
ショルダーハックに注意すべき場面
最近ではスマートフォンに取り付けられているカメラの性能が飛躍的に向上しており、広い範囲を撮影すると見せかけて、あとから加工して画像の細部を取り出すことも可能です。このようなことから、今では、誰でも容易にショルダーハックが可能となっています。
ショルダーハックに注意すべき場面として、以下の5つの事例をご紹介します。
紙媒体に書かれた機密情報取り扱い
ありがちですが、パソコンに付箋でID・パスワードを貼っているケースです。さらに重要情報をメモした紙をそのままごみ箱に捨てているケースもあるでしょう。このような場合、近くにいる人や部外者に、情報が漏洩するリスクがありますし、このような第三者に情報を外部へと持ち出されてしまうことも考えられます。
公共の場での機密情報取り扱い
カフェやコワーキングスペースなどの公共の場では、スマートフォンのカメラなどで写真が撮影されていても、違和感を覚える人は少ないでしょう。そのため、そのような公共の場で、社内の機密情報を取り扱っていると、悪意のある人が、その機密情報が表示されているパソコンの画面などを撮影して、情報が盗み出されてしまう可能性があります。
スマートデバイスでの機密情報取り扱い
パスワードを番号や、指の動きのパターンで解除している人はショルダーハックの被害に合いやすいでしょう。特に朝の通勤電車など混雑した場所は、ショルダーハッキングの被害に遭いやすい状況です。パスワードや指の動きも簡単に盗み見され、記憶されてしまいます。会社の機密情報をスマートデバイスで閲覧する時も同様です。
第三者が出入りする場所での機密情報取り扱い
悪意を持った出入り業者、配達員、清掃員等の第三者が出入りする場所で取り扱われている機密情報は簡単に窃取されてしまいます。たとえ会社のオフィスであっても、第三者の入場が許可されているようなエリアでは、誰が悪意を持っているかどうか見極めることは困難です。
社員へのなりすまし
ソーシャルエンジニアリングと同様の手法ですが、社員になりすまして電話して、パスワードや機密情報の保管場所を聞き出す手法も知られています。例えば、取引先を装った問い合わせの電話をかけて、機密情報を持っている部署・個人も特定することも可能となるでしょう。
ここで紹介したビジネスシーンだけでなく、コンビニでクレジットカードの番号を盗むなどのケースもあります。例えばコンビニでの商品の支払い時にクレジットカードを使用した場合、店員がそのクレジットカード番号を記憶して、悪意を持って使用するケースなどです。
ショルダーハックへの対策
ショルダーハックはコンピューターを駆使した高度な攻撃というわけではないため、日頃からスマートフォンやパソコンを適切に使用していれば、防ぐことは可能です。具体的には以下のような対策方法が効果的です。
生体認証や多要素認証の導入
スマートフォンやパソコンには、生体認証や多要素認証によるログインが必要なものがあります。
例えば、生体認証としては指紋や顔などの情報であり、多要素認証としてはセキュリティートークンなどです。このような情報はショルダーハッキングでは盗み取ることはできません。
人目につくところには機密情報を記載した紙などをおかない
多くの人が仕事しているオフィスやカフェ、コワーキングスペースなど、人目につくところには機密情報を記載した紙などを置かないようにしましょう。どうしても必要な場合は、鍵のかかる引き出しなどに保存しておき、必要なときだけ取り出して閲覧するなどの習慣が大切です。
機密情報の取り扱い時には不審人物の有無を確認
スマートフォンやパソコンで機密情報を取り扱う時は、周囲に不審な人物がいないかよく確認しましょう。特に背後に知らない人がいる状況では、機密情報の取り扱いは控えた方が良いでしょう。
パソコン画面に覗き見防止フィルターを使用
パソコン画面に覗き見防止フィルター(プライバシーフィルター)を設置するのも良いでしょう。フィルターを設置することで、背後からの盗み撮りなどの対策になります。
紙類は使用後に必ずシュレッダーにかける
重要な情報が記載されている紙類の使用後は必ずシュレッダーにかけましょう。丸めてゴミ箱に捨てるだけだと、悪意のある者から情報を盗み取られてしまうおそれがあります。
公共の場所では壁際の席を選ぶ
カフェなどの公共の場所を利用する時は、壁際の席を利用するようにしましょう。壁際の席であれば、背後に人がいる状況を防げるからです。
離席する際はパソコンやスマホの画面を必ずロック
離席する際はパソコンやスマートフォンの画面を必ずロックして、不在時の不正アクセスから防御しましょう。これにより不在時の勝手な操作や、データを盗み取られることもなくなります。
社内に部外者を安易に入れない
社内には安易に部外者を入れないことも重要です。
どうしても部外者を入れる必要があるエリアでは、スマートフォンやパソコンで機密情報を取り扱わないようなルールを設けると良いでしょう。
こうした対策をまずは適切に従業員に伝える必要があります。情報セキュリティ教育をしっかり行いましょう。
まとめ
ショルダーハッキングは、サイバー攻撃の中でもソーシャルエンジニアリングの一つです。ショルダーハッキングを防ぐには、見せてはいけない情報を見せない工夫と、そのための適切な対策が重要です。技術的に難しい対策は少ないため、まずは確実にできる対策から取り入れることをおすすめします。