パスワードを盗み取る｢ショルダーハック｣の脅威 カフェや電車内でも｢壁に耳あり障子に目あり｣

ちょっと離席する際に画面をロックしないままの人がいますが、これも危ない。情報を盗み見されるだけならまだよいのですが、USBを差し込むだけで簡単にウイルスやマルウェアに感染させられるからです。スマホでも同じ方法で危険なアプリをインストールできるので、パソコンやスマホを放置してはいけません。

リモートワーク普及で家庭もセキュリティの脅威に

――なぜ、ショルダーハックをはじめソーシャルエンジニアリングの問題がクローズアップされるようになったのですか。

子どもも含め、ほぼすべての人がパソコンやスマホを使うようになり、スマホ1台あればどこかに行かなくても何でも買えるようになり、いろいろな人と連絡を取れるようになりました。

この利便性を守るために使われるのがパスワードですが、この大切な情報が古典的なショルダーハック等で簡単に盗まれてしまう、というのが問題になっているわけです。

――被害が生じた事例にはどんなものがありますか。

スーパーマーケットで、アルバイトの高校生が買い物客約80人分のクレジットカード番号を盗み見て、約1000万円の不正利用をして逮捕された事件があります。また、消防署の職員が上司のパスワードをショルダーハックし、端末に不正アクセスして人事情報が漏洩した事件もありました。

また、リモートワークの普及で自宅にパソコンを持ち帰って仕事をする機会が増え、「最大の脅威」といわれているのが家族です。パスワードの設定が甘く、あるいは子どもが親のパスワードをショルダーハックしてパソコンに侵入し、ゲームで遊んでしまう。

そこで終わればよいのですが、悪気なく危険なサイトを閲覧してウイルスやマルウェアに感染する事例も発生しているのです。こうした被害はあまり表沙汰にされませんが、企業からいろいろな話を聞くことがあります。

ほかにも店舗のQRコード決済で、順番待ちの間にQRコードを表示した客のスマホがショルダーハックで撮影されて不正決済されたり、店員の隙を突いて店側のQRコードを張り替え、利用者に読み取らせて別のところと決済させたりする手口があります。

監視カメラを見ている人が悪事を働かないとも限らない

――ショルダーハックの被害を防ぐために、企業はどんな対策が必要ですか。

基本的な対策は公共の場や不特定多数の人がいる場所で重要な情報を見ないようにすることで、企業はそれを従業員に周知、徹底する必要があります。電車の中でスマホを見るのは構いませんが、重要な情報をさらして仕事をしてはいけない、ということです。