身近な脅威、スマホの覗き見「ショルダーハッキング」に注意！

ASCII.jp / 2023年6月2日 9時0分

“アナログ”なサイバー攻撃

　「ハッキング」「サイバー攻撃」と聞くと、PCによる遠隔操作や、悪意のあるソフトウェアによる攻撃などを想像する人が多いだろう。しかし、“アナログ”な方法のサイバー攻撃もある。たとえば、休憩中の会話を盗み聞きしたり、画面の入力動作をこっそり見ることでパスワードを解読したりするといったものだ。

　「ショルダーハッキング」は代表的な例といえる。肩（ショルダー）越しにディスプレーやスマホの画面、あるいはパスコードなどを入力している動きを覗き見して、重要な情報を盗むことからその名前が付いた。

　英語では「shoulder surfing（ショルダーサーフィン）」と言われることが多い。もちろん、「ショルダー」とは言っても、肩越しに覗くことが条件というわけではない。横から覗き見る、窓や鏡に反射したものを見る場合も、ショルダーハッキングになる。

　一般的に知られるサイバー攻撃と比べれば、かなり“アナログ”な手口だと思うかもしれない。しかし、PCやスマホを介していないがゆえに、ソフトウェアなどで対策できないという点もある。セキュリティソリューションを導入していても、重要な情報を持っている人が油断するだけで、機密情報などを盗み取られてしまう可能性があるといえる。

　たとえば、会社のPCに付箋でパスワードや個人情報などを貼り付けている人がいるが、ショルダーハッキングのリスクを考えれば、危険な行為だ。重要情報が記された紙をシュレッダーにかけず、ごみ箱に捨てることも、同じように「勝手に見られてしまう」危険性がある。外部から入室した第三者に情報を持ち出されるリスクも考えられる。

　カフェなど、公共の場でのPC操作にも注意が必要だ。近くでスマホを持っている人が、操作しているように見えて、実はこちらを撮影しているという可能性もある。

　また、外出中にスマホを失くした、あるいは盗まれてしまったとする。「スマホを探す」系のサービスを使ったり、遠隔操作でデータを消去しようとしたりしても、正常に作動しないことがある。

　もちろん、機器の不具合や、設定ミスなどの可能性もあるだろう。しかし、「スマホのパスワードを把握されたうえで盗まれている」ケースも考えられる。悪意ある人にパスワード入力を覗き見られてから、端末を盗まれると、そういう被害にも遭いかねないのだ。

対策も個人のリテラシーによるところが大きい

　ネットワークにアクセスしなくても実行できる、ショルダーハッキングのような攻撃は他にも考えられる。たとえば、出入り業者、運送会社、清掃員などをよそおった第三者がオフィス内などに潜入し、組織の情報を盗み取ることも可能だ。

　社員になりすまして電話でパスワードを聞き出す、重要情報の保管場所を聞き出すケースもある。さらに、取引先などをよそおった問い合わせの電話で、社員の所属部署を聞き出すなどして、機密情報を持っている部署や個人を特定することも不可能ではない。

　これは、ショルダーハッキングとは異なる行為と思うかもしれない。しかし、情報を聞き出したあとに何らかの方法で社内に侵入し、個人の机に残した付箋やメモを覗き見することで、情報を盗み出す……というケースも考えられる。

　ショルダーハッキングの対策としては、まず、生体認証や多要素認証の導入が考えられる。また、人目につくところにIDやパスワードなどを記載した紙などを置かないというのも基本になる。紙類は必ずシュレッダーにかけるなどのルールも必要だろう。

　パスコードや暗証番号を入力するときに、覗き見されないようにする（近くに不審な人がいないか警戒する）ことも大切だ。PCやスマホのディスプレーにプライバシーフィルターを貼ることも有効になる。

　ショルダーハッキングは、ネットワークを介したり、ソフトウェアを利用したりするものではない。その代わり、対策も個人のリテラシーによるところが大きくなってくる。情報の取扱いに注意するような意識付けやルール作りが大事だ。

　今回は、McAfee Blogから「ハッカーによるスマホのハッキングの手口と被害の回避方法」を紹介しよう。（せきゅラボ）

※以下はMcAfee Blogからの転載となります。

ハッカーによるスマホのハッキングの手口と被害の回避方法：McAfee Blog

自分のスマホがハッキングされると考えたら、誰でも恐怖を感じることでしょう。しかし、実際には、ハッカーはどんなスマホでもハッキングすることができるのです。

ハッカーが本気になれば、最も洗練されたスマホのソフトウェアでさえもハッキングできるようになっています。しかし、どのようにハッカーは私たちのスマホをハッキングするのでしょうか？また、ハッキングを回避する方法はあるのでしょうか？

ハッキングツール／スパイウェア

Androidをはじめとするモバイル端末用のハッキングツールが存在することをご存知でしょうか？また、オンライン上の無料で使えるハッキングソフトですら無数に存在しています。ハッキングツールは、ハッカーがスマホから情報を抜き取るために使用する手口です。

たとえば、電話用スパイアプリなどは、対象となる携帯電話にインストールする必要があります。すべてのハッカーが、ハッキングツールをインストールするために携帯電話を物理的に扱う必要があるわけではありませんが、場合によってはそうしなければならないこともあります。また、本格的なハッカーだと、既存のハッキングツールを改造して、さらに強力なものを作っています。

マルウェアに分類されるキーロガーは、パソコンやスマホのキーボードの操作を不正に記録し、その情報を盗みとるというスパイウェアです。この種のツールは、携帯電話に物理的にアクセスすることで利用できます。

トロイの木馬も、クレジットカードの口座情報や個人情報などの重要なデータを抜き取ることができるマルウェアの一種です。トロイの木馬マルウェアをターゲットにインストールさせるために、ハッカーはフィッシングのようなテクニックを使います。

フィッシング

フィッシングとは、ハッカーや悪意のある第三者が信頼できる個人になりすまして、機密データを入手するために用いる手法です。ハッカーはこの手法を用いて、実在する金融機関やショップなどになりすまし、コードや画像、メッセージをメールやテキストメッセージで送信します。

メールやテキストメッセージ内にあるリンクをクリックすると、偽のWebサイトに飛ばされます。偽のWebサイトでIDやパスワード、クレジットカードの情報などを入力した場合、入力した機密情報は盗まれてしまいます。

SIMカードのハッキング

2019年8月、Twitter社のCEOが、フィッシング手法を用いたSIMカードスワッピングにより、SIMカードをハッキングされるという事件が発生しました。SIMカードスワッピングは、ハッカーがあなたになりすまして電話プロバイダーに連絡し、交換用のSIMカードを要求するという手口です。

プロバイダーが新しいSIMをハッカーに送ると、古いSIMカードは無効になり、あなたの電話番号が盗まれてしまいます。これは、ハッカーがあなたの電話やメッセージなどを乗っ取ったことを意味します。このようなハッキング方法は、ハッカーがプロバイダーを騙すことができれば、比較的簡単に行うことが可能です。

AdaptiveMobile Securityは、ハッカーがSIMカードを使って携帯電話に侵入する新しい方法を発見しました。このハッキング方法はフィッシングよりも複雑で、SIMカードをターゲットにして、ターゲットデバイスに信号を送信します。メッセージが開かれ、クリックされると、ハッカーはハッキングされた端末をスパイし、端末の位置情報まで知ることができます。

Bluetoothのハッキング

プロのハッカーは、特殊なソフトウェア製品を使用して、Bluetooth接続が動作している脆弱なモバイル機器を検索することができます。この種のハッキングは、ハッカーがあなたの携帯電話の範囲内にいるときに実施するため、通常は人口の多い場所で行われます。ハッカーがあなたのBluetoothに接続している場合、ハッカーは電話帳や画像、予定表など利用可能なすべての情報にアクセスできる可能性があります。

スマホのハッキングに遭わないための方法

ハッカーがスマホに侵入し、個人情報や機密情報を盗む方法はさまざまです。ここからは、スマホハッキングの被害に遭わないためのヒントをいくつかご紹介します。

1. 携帯電話を持ち歩く

ハッカーがスマホの情報を盗む最も簡単な方法は、携帯電話にアクセスすることです。したがって、常にスマホをそばに置くことが重要です。

見知らぬ人にスマホをハッキングされた可能性がある場合は、設定を確認し、おかしなアプリがないか探してみてください。

2. デバイスの暗号化

携帯電話を暗号化することで、ハッキングされることを防ぎ、通話、メッセージ、重要な情報を保護することができます。デバイスを暗号化するには、以下の方法を試してください。

　・iPhoneユーザー：「Touch IDとパスコード」に入り、一番下までスクロールして「データ保護」を有効にします。　・Androidユーザー：携帯電話の種類に応じて自動的に暗号化されます。

3. SIMカードのロック

SIMカードにパスコードを設定することで、ハッキングから守ることができます。このコードを設定するには、以下の方法を試してください。

　・iPhoneの場合：「設定」→「モバイル通信」→「SIM PIN」の順にタップします。既存のPINを入力すると、ロックが有効になります。　・Androidの場合：「設定」→「ロック画面とセキュリティ」→「その他のセキュリティ設定」と進みます。ここで、｢SIMカードロック設定｣を選択し、SIMカードロックを「オン」にします。

4. Wi-FiとBluetoothをオフにする

ハッカーがWi-FiやBluetoothを使ってあなたの携帯電話に接続するのはかなり簡単です。また、ハッカーがあなたを攻撃するときには警告文が表示されることはないので、どうしても必要なとき以外はWi-FiやBluetoothをオフにしましょう。

公共の場でハッキングされる恐れがある場合は、携帯電話の電源を切ることで、ハッカーのハッキングを阻止することができます。これは効果的な予防方法です。

5. セキュリティプロテクションの利用

スパイウェアからの保護は、無料で簡単に行うことができます。 iPhoneやAndroidに搭載されている「モバイルセキュリティ」アプリは、ハッカーから携帯電話を守るのに役立ちます。サイバー脅威からあなたを守ってくれる包括的なセキュリティーソフト「マカフィートータルプロテクション（McAfee Total Protection）」や、注意すべき悪質なウェブサイトの特定をするソフト「マカフィーウェブアドバイザー（McAfee WebAdvisor）」をお使いのデバイスに導入していると安心でしょう。

まとめ

ハッキングの仕組みや手口を理解することは、日常生活の中でセキュリティを確保するのに役立ちます。ハッキングの被害にあった時の対処法を知っていることで、いざというときに太刀打ちできるようになります。

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーなどを編集して紹介する記事です。