インターネットの普及により、私たちの生活は便利になった反面、サイバー犯罪に巻き込まれるリスクも高くなっています。今回は、近年問題となっている、特別な技術を使わずに人間の心理的な隙やミスにつけこんで不正に情報を取得する「ソーシャルエンジニアリング」の一種、「ショルダーハック」にスポットを当てて、解説していきたいと思います。
ショルダーハック(ショルダーハッキングと呼ばれることもあります)とは、他人が入力している情報を肩越しに覗き、画面に表示された情報を盗み見ることを指します。スマートフォンやノートパソコン、タブレットなどを外で使うのが当たり前になっている昨今、特に気を付けてほしいサイバー攻撃といえます。
この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。
ショルダーハックはどんな場所で起こる?
ショルダーハックは、特別な技術や専門知識がなくても簡単にできてしまう攻撃です。そのため、意外なほど身近な場所で起こってしまうのです。以下のような場所では、特に注意が必要です。
■電車内
電車内でノートパソコンやスマートフォンで業務に関する資料を確認する場合、隣または後ろの席を利用している人から、または立っている人から、画面が丸見えになっている
■カフェやコワーキングスペース
座席の仕切りがない場合や、同じ方向を向くような座席配置になっている場合、隣または後ろの席を利用している人から、画面が見えやすい環境となる
■会議室やセミナー会場
出入口が開いたままになっている場合や窓付きドアになっている場合、プロジェクターやスクリーンに映している内容を第三者が簡単に見られる環境となる。また受講者の席でノートパソコンを開くと、後ろの席を利用している人から画面が丸見えになる
このように、ショルダーハックは本人が気づかないうちに情報が盗まれている、という点が最大の怖さです。
上記のような環境で、社内システムやクラウドサービスのURL、ログインID/パスワードなどを入力したり、顧客リストや一般公開前の資料を閲覧したりするのは、控えたほうがいいでしょう。一見重要ではなさそうな情報だと思っても、断片をつなぎ合わせることによって機密情報が特定されてしまう可能性もゼロではありません。競合他社にとって貴重な情報源になるような資料は、慎重に取り扱うよう従業員に周知徹底しておく必要があります。
恐ろしいショルダーハックの手口とは?
では、実際にどんなシーンで被害に遭ってしまうのか、ショルダーハックの手口についても解説したいと思います。
シーン1:新幹線内
出張中の従業員が新幹線でノートPCを使って移動時間に作業をしていたところ、トイレで席を立った隙に、隣の席の人が画面を撮影していたことが後に判明。画面には取引先の契約書案が表示されており、SNS上で一部が流出する事態に。
シーン2:カフェ
カフェでクラウド会計システムにログインしていた従業員が、背後の席にいた人物にパスワードを盗み見られ、不正アクセスを受けてしまった。ログを調べた結果、海外からの不審なログインを確認した。
シーン3:駅のホーム
営業先に向かっていた従業員が、駅のホームで電車を待っている間に営業の提案方法について社内のチャットツールで同僚と確認をしていた際、後ろに並んでいた人物が会話の内容をスマートフォンで撮影していた。その人物は同様の案件に参入している競合他社の従業員で、内部情報が漏洩してしまう結果となった。
これらは、いずれも「悪意のある覗き見」から始まっています。
世の中には、一目見ただけでパスワードや名前といった文字列を確実に覚えられてしまう、カメラアイ(瞬間記憶)とよばれる能力を持つ人もいます。このような人からすると、ショルダーハックは実に簡単なことです。もちろん、そんな特殊能力がなくても、スマートフォンのカメラを使えば盗み撮りは容易にできます。
近年、スマートフォンのカメラ機能は飛躍的に向上しており、全体を撮影してから画像を拡大し、細部の情報を取り出すことも可能です。シャッター音もアプリを使って消すことができるため、いつどこから撮影されていても気づけない人がほとんどでしょう。
つまり、どこにいてもショルダーハックの危険は潜んでいるということです。
今日からできる5つの対策
それでは、最後にショルダーハックの被害に遭わないよう、今日からできる5つの対策をご紹介します。特別なことはありませんので、まだ実行していないものがあれば、すぐにでも始めてください。
①カフェやコワーキングなど、外で作業をする場合は座席の位置を意識する
外で作業をする場合、できるだけ壁側の席を選択する。防犯カメラの設置場所にも注意が必要。
②座席を離れる際は、必ず画面をロック
作業中のデータが閲覧されることや、勝手に操作されることを防げるため、離席時の画面ロックは必須(Windowsキー+Lが便利です)
③スマートフォンのパターン認証は使わない
ある程度距離がある場所からでも、指の動きだけで簡単に見破られてしまうパターン認証は、ロックの手法としては不完全。指紋や顔を使った生体認証を使うのがおすすめ
④覗き見防止フィルターを使用する
横方向から画面が見にくくなるよう、ノートPCやスマートフォンに取り付ける「覗き見防止フフィルター(プライバシーフィルター)」を使う
⑤スクリーンの明るさを調整する
明るい場所では画面がよく見えるため、スクリーンの輝度を下げることで覗き見防止効果になる
ショルダーハックは、単なる「覗き見行為」ではなく、企業や組織の信頼を失墜させ、取引先や顧客に多大な迷惑をかけることに繋がる情報漏洩の始まりといえます。
「ちょっとくらい大丈夫だろう」という油断が、取り返しのつかない損害を引き起こす可能性があることを忘れてはいけません。従業員の意識と行動が、会社全体の情報を守ることにも繋がるのです。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
