ショルダーハッキングとは何だろう?

今回は「ショルダーハッキング」を取り上げます。これは人間のセキュリティに関する不注意をついた物理的なハッキング行為であり、「肩越しに盗み見る」といった意味の言葉です。

要するに、他人のパソコンやスマートフォンをのぞき見して、有用な情報を得ようとする行為です。非常に原始的な攻撃ですが、あなどることはできません。現在では、スマートフォンに搭載されているカメラも高精度になっていますので、これまでの人間の眼によるぞき見に加えて、カメラによるのぞき見にも注意を払わなければならないなど、環境が変化しているためです。

人間の判断速度では追いきれなかった動きが、カメラによる録画であれば後から容易に解析されてしまうことができます。そのため、人の眼と機械の眼、双方に気を配る必要があります。

盗み見ることができる情報はさまざまです。例えばパソコンやスマートフォンのパスワードや、PIN情報など認証に用いる重要情報はそのターゲットになりやすいです。これらの情報が盗まれれば、当然ながら不正アクセスにより、重大な被害をもたらすことが想定されます。ショルダーハッキングは簡単に実現できてしまいますが、それとは対照的に被害が大きくなる傾向にあります。この点を認識しておくことは重要だといえるでしょう。

また、認証情報でなくても、個人情報や会社の機密情報などを画面表示している場合には、それを見られてしまうだけでも情報漏洩が起こっています。そのため、常にショルダーハッキングの可能性を意識することが求めれらます。

また、近年ではリモートで仕事などを行うことが一般化しています。そのため、コワーキングスペースや場合によっては喫茶店などの公共の場でパソコンを用いた作業を行うことが多くなっているでしょう。本来、他人が多くいる場所では警戒心を高めるのがセキュリティ的には当然の行為と言えますが、残念ながらそれとは逆の心理効果が働いてしまい、人がたくさんいるから自分は見られていないだろう、との錯覚が陥ることがしばしばあります。これにより、油断してしまうことがあるのです。

当然ながらコワーキングスペースや喫茶店にいるのは他人です。その中に悪意を持った者がいない保証はなく、常に警戒を怠るべきではありません。

また、オフィスにいても安心することはできません。内部不正の可能性があるからです。もしかしたら、隣の席の同僚が、あなたの持つ高度な権限を狙っており、キーボード操作をのぞき見してくることすら考えられます。また、オフィスに外部の人間、例えば通常の来客であったり、清掃員であったりしますが、そういった訪問者の中に悪意を持った者がいないとも限りませんし、何かの拍子でショルダーハッキングができてしまった場合に、出来心で犯行に及んでしまうケースもあります。

ショルダーハッキングは原始的な攻撃ですが、それゆえに簡単に実行することができてしまいます。そのため常に注意することが必要になっているのです。

ショルダーハッキングへの対策は?

さて、このように簡単に実現できて、深刻な影響を及ぼすショルダーハッキングですが、効果的な対策はあるのでしょうか?

まずは意識の改革が必要です。そのためには組織におけるセキュリティ教育が重要な要素になるでしょう。ショルダーハッキングの脅威が常にあり得るという事を認識させ、攻撃を受けるとどういった被害が出るのかを浸透させることです。

残念ながら、一度教育を受けても人はその記憶を徐々に薄れてしまうものです。そのため、定期的な研修などを行う必要があるでしょう。安心や慢心がショルダーハッキングのようなソーシャルエンジニアリング攻撃の大敵になります。ここを引き締めていく必要が生じます。

また、認証情報を入力する際に位置取りや角度に注意を払うことも有効です。例えば銀行のATMにおいて暗証番号を入力する際は、周りに人がいないか?この角度では入力キーを見られないかといった配慮をすると被害を受ける可能性を軽減させることができます。同じような考えかたで、喫茶店に座ってパソコン作業を行い際は、後ろが壁の席を選ぶといったことも地味ではありますが、効果的な手法になるでしょう。

次に技術的な対策です。最も手軽に導入ができるのは、のぞき見防止フィルターを設置する事でしょう。これはパソコンのディスプレイや、スマートフォンの画面に貼り付けて使うもので、視野角を狭める効果があります。横から覗き見た場合には特に効果を発揮しますが、真後ろからのショルダーハッキングの場合には効果は限定的となるケースが多いです。また、画面の輝度が下がるように見えるため、それを嫌い外してしまったりする人も多いので、万全の対策とはいえません。しかし、単純ながら物理的に効果がある方法ですので、理解を深め、利用を促進することはひとつの予防策になるといえます。

次に、多要素認証の導入が挙げられます。これは、ショルダーハッキングにより仮にパスワードのような認証情報が盗まれてしまったとしても、2つ目、3つ目の要素による認証があることで、不正アクセスを防止することができます。直接的にショルダーハッキングを防止するわけではありませんが、効果は大きいといえます。

まとめ

ソーシャルエンジニアリングの一手法であるショルダーハッキングは、特に準備もなく、誰でも簡単に行うことができる攻撃ですが、その簡便さと比べて、発生する被害は甚大です。

対策には人の意識に働きかけるものと、技術的なものがありますが、どちらも万能ではありません。これらをバランスよく取り入れて、各個人の意識を高めていくことが重要だといえるでしょう。

一般