社員のための抜け目ないショルダーハック対策と注意したい5つの事例

サイバー攻撃というとパソコンの遠隔操作や脆弱性を突いた攻撃などを想像する方が多いかもしれませんが、盗み見などのアナログな方法で組織の機密情報が持ち出されるリスクもあります。攻撃手法がアナログなだけに対策もアナログですが、対策が人に依存するだけに強固な守りの構築に苦労する部分でもあります。どういう場合にどのような注意をすればいいのか、具体例を交えながら見ていきましょう。

1.ショルダーハックとは

一言でいうと、のぞき見・盗み見のことです。
具体的には、肩(ショルダー、shoulder) 越しに対象者がタイピングしているところやディスプレイをのぞき見て、重要な情報を盗み取ることで、ソーシャルエンジニアリングの一つです。英語では “shoulder surfing”(ショルダーサーフィン)と言われることが多いようです。
必ずしも「肩越し」でなくてもよく、隣の人のディスプレイに反射して映る動きを読み取り、重要な情報を得るといったこともショルダーハックと呼ばれます。
サイバー攻撃や情報漏洩というとデジタルの最新技術を用いた不正アクセス・遠隔操作などをイメージされる方も多いかもしれません。しかし、エレベーターで会話を盗み聞きしたり、パソコン画面の入力動作を見てパスワードを解読したりと、人そのものが介在して重要な情報を入手するアナログな手段もあります。

2.注意したいシチュエーション

2-1 紙媒体に書かれた重要情報の取り扱い

会社の自席のパソコンに付箋でID・パスワードを貼っていたり、重要情報をメモした紙をそのままごみ箱に捨てたりしているケースがあるかもしれません。近くを通った人にパスワードが知れてしまうリスクや外部から入室した第三者に情報を持ち出されるリスクがあります。

2-2 カフェや公共の場でのパソコンの操作

最近はスマートフォンでカメラをかざしている人がいても周囲は違和感を持ちませんので、会社の機密情報を写したパソコンの画面を知らない間に撮影されてしまう可能性もあります。

2-3 人ごみでのスマートデバイスのロック解除

指紋認証等の生体認証が普及し始めているとはいえ、番号やパターンで解除している人も多いのではないでしょうか。満員電車やエレベーターの中はショルダーハッキングをする格好の場になります。特にパターン表示などは指の動きを見ただけでかなりの精度で推測が可能です。

2-4 社内に出入りする第三者

ショルダーハッキングは必ずしもネットワークにアクセスしなくても実施できるため、悪意を持った出入り業者、宅配便や手紙の配達員、清掃員等彼らを装った第三者がオフィス内に潜入し、組織の情報を盗み取ることも可能です。

2-5 社員へのなりすまし

社員になりすまして電話でパスワードを聞き出す、重要情報の保管場所を聞き出すケースもあります。取引先を装った問い合わせの電話で、特定社員の所属部署を聞き出したり、会社の組織構造の情報を取得したりすることによって、機密情報を持っている部署・個人を特定することも可能です。

この程度なら大丈夫だろう・リスクは低いだろうと思うかもしれません。
しかし、このようなケースを想像してみてください。悪意のある攻撃者が取引先を装い、あなたの会社の複数の社員に接触して社内の組織情報を収集します。そして、重要な財務情報を持つ人物があなたであると特定し、標的をあなたに定めます。攻撃者はあなたの行きつけのカフェで業務PCで作業中のあなたが席を外した隙に、パソコンをのぞき込み、重要情報が入った社内フォルダの階層(フォルダパス)をスマートフォンのカメラで撮影します。後日、出入り業者になりすました攻撃者はあなたの職場に入り込み、あなたのパソコンに貼られた付箋のID・パスワードからパソコンのロックを解除、機密情報が入ったフォルダにアクセスし、外部へ持ち出す・・・。
標的にされると、このような被害を受ける可能性もあり、本人の知らないところで犯罪の加害者になってしまうケースもあります。決して他人事ではありません。一つ一つは小さな油断でも、掛け算していくと大きなリスクへと発展します。

3.ショルダーハックへの対策

生体認証や多要素認証の導入といった対策も考えられますが、今すぐできる基本的なこととして、人目につくところにはID/パスワードを記載した紙などをおかないようにする、パスコードや暗証番号を入力するときには近くに不審な人がいないかどうかを確認するようにしましょう。
また、パソコンの画面にはプライバシーフィルターを貼る、紙類は必ずシュレッダーにかけるというルール作りも大切です。
攻撃手法が人を介したアナログな方法ですので、対策も人への依存度が強くなります。まず、こういった攻撃がデジタルが普及した今でも行われていることを情報資産を扱う社員が認識し、情報の取扱いに注意するような意識付けをしていきましょう。

著者:マカフィー株式会社 マーケティング本部