fbpx

そこにある「ショルダーハック」の危険。事例と防止策

ショルダーハックのイメージ
ショルダーハックはもっとも身近で多くの被害を生み出しているサイバー犯罪です。
ショルダーハックのやり方にはどんなものがあるか?過去の事件や事例を元に、被害を防ぐ対策や具体的な防止策をやさしく解説します。
/ins>

身近な犯罪「ショルダーハック」を知ってますか?

ショルダーハック(=Shoulder Hack)とは、Shoulder(肩)越しにHack(盗用する)ことから、他人の情報を盗み見て盗取することの総称として使われています。

また同意語としてショルダーサーフィン(=shoulder surfing)も使われます。

ITもネットもシステムも無関係で、昔からある当たり前の行為ですが、「IDとバスワード」さえ入手できれば、アカウントを乗っ取って大きな犯罪が実行できる現在では、特にIT関連で人のミスにつけ込んで情報搾取を示す言葉として、改めて注目されています。

実は今でも「情報漏えいの大部分はショルダーハックが原因」とも言われています。

ショルダーハックはソーシャルエンジニアリングの一種

ショルダーハックのように、技術を使わず人の油断のすきに情報を盗むことを、ソーシャルエンジニアリングといいます。

ソーシャルエンジニアリングとは、ウィキペディアでは

「人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法を指す[1]。社会工学(Social engineering)の分野では、プライベートな集団や政府といった大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究することを言う。フィッシングやスキミングは、行為自体はコンピュータ内で閉じているが、人間心理的な隙をついている点では同様である。」
■引用:ウィキペデア「ソーシャルエンジニアリング」より

とされています。
語源は「Social=社会的」と「Engineering=工学、技術」を併せたものです。

こんな行為もソーシャルエンジニアリング

ソーシャルエンジニアリングとは、人の油断につけ込んで、情報を盗む手口です。つまり誰でも知っている、またついついやってしまう、当たり前な行為の延長線上です。

たとえば

  • 「家族のスマホのロック解除の番号やパターンを盗み見て、スマホを勝手に開いて見た」
  • 「誕生日や電話番号からパソワードを予想して、パソコンを開けた」
  • 「別の目的で、パスワードを聞き出して使った」
  • 「他人の自宅のWifiをつなぎ、外部からデータを盗み見た」

は、すべて立派なソーシャルエンジニアリング行為ですし、

  • 「警察や銀行」からだとよそおって、銀行の口座番号や暗証番号を聞き出す
  • 「宅配便です。伝票の住所が消えているので教えて下さい」と聞き出す

といった「オレオレ詐欺(=特殊詐欺)」の手法も、すべてソーシャルエンジニアリングと同類です。

これらのソーシャルエンジニアリングは単純に見えて実はコンピューター犯罪の原因の多くを占めています。

たとえば2020年8月に世界を驚かせたTwitterの有名人アカウントの乗っ取りも17才の少年らによるソーシャルエンジニアリングが原因でした。

ブログ内の関連記事(新しいウィンドウで開きます)

 2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]

socialengineering ソーシャルエンジニアリングのイメージ

ソーシャルエンジニアリングの中でも、もっとも効果的なショルダーハック

どんなに高度なセキュリティ対策を施しても、そこで働く人たちがだまされてしまってはどうにもなりません。

まして「のぞき見る」事で機密情報を盗むソーシャルエンジニアリングは、手口が単純で手間もかからず、犯人はまず試みる手法です。
たとえば鉄壁のセキュリティを誇るオフィスでも、要件を装って内部に入り込むことができれば、さりげなく見回すことで、犯行のヒントになる情報を得ることができてしまえば、ショルダーハックは成功です。

それだけに、防ぐのはもっとも難しいとも言えるのです。