地味だが、防ぎにくいサイバー犯罪
フィクションの世界では、「サイバー犯罪」というのは劇的な演出で描かれがちだ。コンピューターウイルスでパニックに陥る都市、ハッキングによってすべての機能を失う大企業など……。そういった“派手”な印象を持っているかもしれない。
しかし、サイバー犯罪にはアナログな手法のものもある。たとえば、「ショルダーハッキング」は代表的な例といえる。要するに、肩越しの「覗き見」で、機密情報やパスワード(を入力している動き)などを入手することを指す。
英語では、「shoulder surfing(ショルダーサーフィン)」と言われる。肩越しに覗くことが条件というわけではなく、横から覗き見る、窓や鏡に反射したものを見る場合もショルダーハッキングに該当する。
ショルダーハッキングの厄介なところは、PCやスマホを介していないため、ソフトウェアなどでは対策できない点だ。「セキュリティソリューションを導入」「入念なバックアップ」といった心がけを普段からしていても、重要な情報を持っている人が油断するだけで、機密情報などを盗み取られてしまう可能性がある。
ネットワークにアクセスしなくても実行できる犯罪、ショルダーハッキングの類似行為は他にもある。
たとえば、会社のPCに付箋でパスワードや個人情報などを貼り付けている人がいるが、これも盗み見されればハッキングのリスクに即決する。重要情報が記された紙をシュレッダーにかけない、外部から入室した第三者に情報を持ち出されるというのも、似たようなリスクだろう。
最近では、公共交通機関、イベント会場、あるいは病院など、人が密集している環境でスマートフォンを操作することも多い。
カフェなど、公共の場でのPC操作にも注意が必要だ。近くでスマホを持っている人が、こちらを撮影しているという可能性もある。
個人情報の漏洩と聞くと、不正なハッキングや、マルウェア(悪意のあるソフトウェア)によるものなどをイメージするかもしれない。しかし、個人情報漏洩の脅威として「肩越しの覗き見」であるショルダーハッキングも、身近なサイバー犯罪の1つといえるのだ。
リテラシーを高めることが大切
「肩越しの覗き見」、ショルダーハッキングがもたらすリスクに対しては、どのような対策が可能だろうか。
より深刻なケースとしては、社員になりすまして電話でパスワードや重要情報の保管場所を聞き出すという手具もある。取引先などをよそおって電話で問い合わせ、社員の所属部署を聞き出すなどして、機密情報を持っている部署や個人を特定するという例もある。
情報を聞き出したあとに何らかの方法で社内に侵入し、個人の机に残した付箋やメモを覗き見することで情報を盗み出すことや、個人を特定してカフェなどで作業しているときにショルダーハッキングを試みるなどのリスクも考えられるだろう。
ショルダーハッキングの対策としては、まず、生体認証や多要素認証の導入が考えられる。つまり、IDやパスワードを知るだけではログインできないようにしておくわけだ。
ただ、ショルダーハッキングは、ネットワークを介したり、ソフトウェアを利用したりするようなサイバー犯罪ではない。よって、対策も個人のリテラシーによるところが大きくなってくる。
基本的なセキュリティ対策をした上で、パスコードや暗証番号を入力するときに、覗き見されないようにすることが大切だ。PCやスマホのディスプレーにプライバシーフィルターを貼ることも有効になる。
また、人目につくところにIDやパスワードなどを記載した紙やメモなどを置かないというのも基本になる。紙類はそのまま捨てず、シュレッダーにかけるなどのルールも必要だろう。
今回は、McAfee Blogから「私達の日常生活に潜むショルダーサーフィンとは?」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
私達の日常生活に潜むショルダーサーフィンとは?:McAfee Blog
今度、公共の場であなたがスマートフォンやタブレットに夢中になっている際に、誰かが肩越しに覗き込んでいるかどうか、周囲を観察してみてはいかがでしょうか?電車やバスなどの公共交通機関やカフェ、空港、公園のベンチなどでついつい画面に集中していると、周りのことが見えなくなりがちですが、そんな時に見知らぬ人があなたのスマホの画面を見ている可能性があります。通りかかった際にたまたま画面が見えたり、ただの好奇心で覗いているだけかもしれないですが、なかにはSNSやインターネットバンクにログインするためのIDやパスワードなどの個人情報を入手して、あなたになりすましてアカウントを乗っ取り、悪巧みを働こうとしている人も存在します。
このような行動を「ショルダーサーフィン」と呼びます。日本ではショルダーハック、またはショルダーハッキングという名で知られています。これはデジタル的な手段に頼らずにのぞき見るなどのアナログな方法で個人情報流出やパスワードなど様々な情報を不正に盗むソーシャルエンジニアリングの手口の1つでもあります。また、文字通りに必ずしも誰かが肩越しに見ていることのみを指しているわけではなく、双眼鏡や小型の望遠鏡を使って遠くから見る場合やエレベーターで人の会話を盗み聞きする場合も含まれます。このように最近のサイバー犯罪は、何もデジタル最新技術を用いたものだけにとどまりません。
そのため、インターネットバンクにログインするなど何か大事な入力をする際は、常に壁に背中をぴったりつけるなど、周囲や背後に人がいないか気を配り、画面を隠すようにしましょう。また、オフィスが全面ガラス張りで各スタッフのコンピューターの画面が外から見えるような職場でもショルダーサーフィンは起こる可能性はあります。外から画面を覗き込んで会社の情報を盗み出し、社内の情報漏洩やアカウント乗っ取りなどをする場合もあるので気をつけなければなりません。
私達の生活の中に潜むショルダーサーフィン
そして、犯罪者が狙っているのは画面の内容だけではありません。経験豊富な犯罪者は、ユーザーがスマホをタッチする指の動きを見るだけでパスワードやログイン情報を知ることができるのです。
ショルダーサーフィンは、公共交通機関や飛行機、コンサートホール、あるいは病院など、一般的に人が密集している環境では、完全に気づかれずに実行できてしまいます。特に隣の人がイヤホンやヘッドホンをつけていて周囲に気づかないような場合は、スマホで何を打っているのかを横や後ろからどんなに簡単に見ることができるか容易に想像がつくでしょう。
このような理由から私達の普段の生活の中では、簡単に個人情報を盗むことができてしまいます。イギリスの通勤者を対象にした調査では、およそ72%が不正な目的ではないものの、退屈しのぎのためにショルダーサーフィンの経験があることがわかりました。こういった事例を見ると、いかにショルダーサーフィンすることが簡単であるということがわかります。
ショルダーサーフィンから身を守る方法
以下では、デバイスで個人情報を入力したり、インターネット閲覧している際にショルダーサーフィンから身を守るための簡単な方法をいくつか紹介します。
・デバイスで大事な情報を入力する前に壁に背を向けるなど、画面を隠せるような場所を探す
・人間はもちろんのこと、ビデオカメラなどにも覗き見られないように常に周囲に気を配る
・他の人に画面を見られないためにスマホやタブレットなど、お使いのデバイスに液晶保護フィルムを貼る
・オンライン上で個人情報やビジネス、金銭面に関連することを入力する場合は、視覚的なプライバシーの安全が保障されている自宅などに限定する
まとめ
今回、紹介した様々なショルダーサーフィンは、ほんの一例にすぎません。アカウント漏洩や個人情報漏洩は日常的に起きており、私達が次の被害者になる可能性も十分にありえます。通勤電車やカフェでSNSを見ている人も、仕事の遅れを取り戻そうと飛行機の中で作業しているビジネスマンも皆、自分のデバイスの画面を凝視している人がいないかどうか周囲に目を光らせ、自身も我を忘れて画面に集中し過ぎないよう気をつけましょう。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
