パスワードを盗み取る「ショルダーハック」の脅威
「壁に耳あり障子に目あり」と言うが、現在は誰もがカメラの付いたスマホを持ち、あらゆるところに監視カメラが取り付けられている(写真:Colin / PIXTA)
企業のリモートワーク環境が整備され、従来のオフィスに加えサテライトオフィスや自宅、カフェなど、ワークプレイスが拡大している。この働く自由度の高まりと裏腹に被害の増加が懸念されるのが、「盗み見」でパスワード等の情報を窃取するという古典的な手法だ。その対策について、神戸大学大学院の森井昌克教授に話を聞いた。
狙った企業や個人の情報を探し出す「ゴミ箱漁り」も
――サイバーセキュリティに関連して、「ソーシャルエンジニアリング」という言葉をよく耳にします。これはどのようなものですか。
東洋経済Tech×サイバーセキュリティのトップページはこちら
一般的な言い方をすれば、あまり高度な技術を使わずにパスワード等の情報を盗み取るハッキング手法です。
ハッキングというと高度なIT技術を駆使して他人のコンピューターやネットワークに侵入し、情報を盗んだり破壊活動を行ったりするイメージがありますが、ソーシャルエンジニアリングはそれとは異なり、セキュリティの専門家は「泥臭い手法」と言っています。
代表的な手法なものは、狙った企業や個人のゴミ箱を漁って情報を探し出す「ゴミ箱漁り」。これは捨てられたゴミの中に、メモに書かれたパスワードやそれに近い情報はないかと探す手口です。
あるいは郵便物を盗んだり、なりすましがニセ電話をかけて聞き出したりする方法もあります。重要な情報を入力している画面やキータッチを覗き見て情報を盗む「ショルダーハック(ショルダーハッキング)」もソーシャルエンジニアリングの1つです。
(画像は森井氏の話を基に東洋経済作成)
――ショルダーハックにはどんな手口があり、どんな場面で起こりやすいですか。
対象者の肩越しに覗き見をすることからショルダーハックという名前が付けられていますが、手口はそれだけに限りません。隣の席の人のパソコン画面やキータッチが見えればパスワードを盗めるわけで、要は盗み見して機密情報を取得する手法全般がショルダーハックとされています。
盗み見ですから昔からある手口で、いろんな場面で危険があります。例えば、電車の中でパソコンやタブレットを開いて資料を見ている人がよくいます。
森井 昌克 (もりい・まさかつ)
神戸大学大学院教授
情報セキュリティ大学院大学客員教授。近畿大学情報学研究所客員教授サイバーセキュリティ部門長。国立研究開発法人日本医療研究開発機構プログラムスーパーバイザー。情報通信工学、特にサイバーセキュリティ、インターネット、情報理論、暗号理論等の研究、教育に従事。加えて、インターネットの文化的社会的側面についての研究、社会活動にも従事
(写真は本人提供)
おそらく周囲には自分や自分の会社とは関係のない人しかいないと思い込んでいるのでしょうが、隣にライバル会社の社員がいないとは限りません。そういう人にたまたま見られてしまい、知られてはまずい情報が流出してしまうケースがあります。
盗み見の恐れがあるのは電車だけでなく、自社内で部下や同僚に見られてしまうケースもあるでしょう。また、最近はカフェやシェアオフィスなど、さまざまな人が出入りする場所で仕事をする機会が増えています。そうした場所では盗み見のほか、ウェブ会議に参加して大声で話すために周りの人に内容が筒抜け、ということもあります。
ちょっと離席する際に画面をロックしないままの人がいますが、これも危ない。情報を盗み見されるだけならまだよいのですが、USBを差し込むだけで簡単にウイルスやマルウェアに感染させられるからです。スマホでも同じ方法で危険なアプリをインストールできるので、パソコンやスマホを放置してはいけません。
リモートワーク普及で家庭もセキュリティの脅威に
――なぜ、ショルダーハックをはじめソーシャルエンジニアリングの問題がクローズアップされるようになったのですか。
子どもも含め、ほぼすべての人がパソコンやスマホを使うようになり、スマホ1台あればどこかに行かなくても何でも買えるようになり、いろいろな人と連絡を取れるようになりました。
この利便性を守るために使われるのがパスワードですが、この大切な情報が古典的なショルダーハック等で簡単に盗まれてしまう、というのが問題になっているわけです。
――被害が生じた事例にはどんなものがありますか。
スーパーマーケットで、アルバイトの高校生が買い物客約80人分のクレジットカード番号を盗み見て、約1000万円の不正利用をして逮捕された事件があります。また、消防署の職員が上司のパスワードをショルダーハックし、端末に不正アクセスして人事情報が漏洩した事件もありました。
また、リモートワークの普及で自宅にパソコンを持ち帰って仕事をする機会が増え、「最大の脅威」といわれているのが家族です。パスワードの設定が甘く、あるいは子どもが親のパスワードをショルダーハックしてパソコンに侵入し、ゲームで遊んでしまう。
そこで終わればよいのですが、悪気なく危険なサイトを閲覧してウイルスやマルウェアに感染する事例も発生しているのです。こうした被害はあまり表沙汰にされませんが、企業からいろいろな話を聞くことがあります。
ほかにも店舗のQRコード決済で、順番待ちの間にQRコードを表示した客のスマホがショルダーハックで撮影されて不正決済されたり、店員の隙を突いて店側のQRコードを張り替え、利用者に読み取らせて別のところと決済させたりする手口があります。
監視カメラを見ている人が悪事を働かないとも限らない
――ショルダーハックの被害を防ぐために、企業はどんな対策が必要ですか。
基本的な対策は公共の場や不特定多数の人がいる場所で重要な情報を見ないようにすることで、企業はそれを従業員に周知、徹底する必要があります。電車の中でスマホを見るのは構いませんが、重要な情報をさらして仕事をしてはいけない、ということです。
「壁に耳あり障子に目あり」と昔から言いますが、さらに現在は誰もがカメラの付いたスマホを持ち、あらゆるところに監視カメラが取り付けられています。
いくらパスワードを素早く打ち込んだところで録画されたらすぐバレてしまいますし、監視カメラを見ている人が悪事を働かないとも限りません。もっと個人も企業も、情報の扱いに気を付けるべきでしょう。
そもそも企業の経営幹部層はデジタルネイティブではない40代から60代の人が多く、ソーシャルエンジニアリングに限らずサイバー攻撃への危機感が薄いと感じることが多いです。
サイバー攻撃は物理的には見えませんが、いざ被害が生じると巨額の損失が発生します。ランサムウェアの被害にあったデンマークの海運会社は、300億円以上の対応コストがかかったと報じられています。
企業の経営層には、もし、自社がサイバー攻撃で被害が生じたらどれくらいの損害が発生するのか、まずはきちんと見積もっておくことをお勧めします。
(宮内 健 : ライター)