パスワードを盗み取る｢ショルダーハック｣の脅威 カフェや電車内でも｢壁に耳あり障子に目あり｣

「壁に耳あり障子に目あり」と言うが、現在は誰もがカメラの付いたスマホを持ち、あらゆるところに監視カメラが取り付けられている（写真：Colin / PIXTA）

企業のリモートワーク環境が整備され、従来のオフィスに加えサテライトオフィスや自宅、カフェなど、ワークプレイスが拡大している。この働く自由度の高まりと裏腹に被害の増加が懸念されるのが、「盗み見」でパスワード等の情報を窃取するという古典的な手法だ。その対策について、神戸大学大学院の森井昌克教授に話を聞いた。

狙った企業や個人の情報を探し出す｢ゴミ箱漁り｣も

――サイバーセキュリティに関連して、「ソーシャルエンジニアリング」という言葉をよく耳にします。これはどのようなものですか。

【図表】今でも「古典的な手法」で企業や個人の情報が抜き取られている

一般的な言い方をすれば、あまり高度な技術を使わずにパスワード等の情報を盗み取るハッキング手法です。

ハッキングというと高度なIT技術を駆使して他人のコンピューターやネットワークに侵入し、情報を盗んだり破壊活動を行ったりするイメージがありますが、ソーシャルエンジニアリングはそれとは異なり、セキュリティの専門家は「泥臭い手法」と言っています。

代表的な手法なものは、狙った企業や個人のゴミ箱を漁って情報を探し出す「ゴミ箱漁り」。これは捨てられたゴミの中に、メモに書かれたパスワードやそれに近い情報はないかと探す手口です。

あるいは郵便物を盗んだり、なりすましがニセ電話をかけて聞き出したりする方法もあります。重要な情報を入力している画面やキータッチを覗き見て情報を盗む「ショルダーハック（ショルダーハッキング）」もソーシャルエンジニアリングの1つです。

――ショルダーハックにはどんな手口があり、どんな場面で起こりやすいですか。

対象者の肩越しに覗き見をすることからショルダーハックという名前が付けられていますが、手口はそれだけに限りません。隣の席の人のパソコン画面やキータッチが見えればパスワードを盗めるわけで、要は盗み見して機密情報を取得する手法全般がショルダーハックとされています。

盗み見ですから昔からある手口で、いろんな場面で危険があります。例えば、電車の中でパソコンやタブレットを開いて資料を見ている人がよくいます。

おそらく周囲には自分や自分の会社とは関係のない人しかいないと思い込んでいるのでしょうが、隣にライバル会社の社員がいないとは限りません。そういう人にたまたま見られてしまい、知られてはまずい情報が流出してしまうケースがあります。

盗み見の恐れがあるのは電車だけでなく、自社内で部下や同僚に見られてしまうケースもあるでしょう。また、最近はカフェやシェアオフィスなど、さまざまな人が出入りする場所で仕事をする機会が増えています。そうした場所では盗み見のほか、ウェブ会議に参加して大声で話すために周りの人に内容が筒抜け、ということもあります。