もっとも身近な犯罪「ショルダーハック」の危険!事例と防止策

ショルダーハックのイメージ
ショルダーハックはもっとも身近で、実はもっとも多くの被害を生み出しているサイバー犯罪です。
ショルダーハックのやり方にはどんなものがあるか?過去の事件や事例を元に、被害を防ぐ対策や具体的な防止策をやさしく解説します。

身近な犯罪「ショルダーハック」を知ってますか?

ショルダーハック(=Shoulder Hack)とは、Shoulder(肩)越しにHack(盗用する)ことから、他人の情報を盗み見て盗取することの総称として使われています。

また同意語として「ショルダーサーフィン(=shoulder surfing)」も使われていて、盗み見る人の事を「ショルダーサーファー(=shoulder surfer)」とも呼びます。

ショルダーハック自体は、ITもネットもシステムも無関係で、昔からある、いわば「当たり前の行為」です。

しかし「IDとバスワード」さえ入手できれば、アカウントを乗っ取って大きな犯罪が実行できる現在では、特にIT関連で人のミスにつけ込んで情報搾取を示す言葉として、改めて注目されています。

実は今でも「情報漏えいの大部分はショルダーハックが原因「最大の被害額はショルダーハックが生み出している」とも言われています。

 

ショルダーハックはソーシャルエンジニアリングの一種

ショルダーハックのように、技術を使わず人の油断のすきに情報を盗むことを、ソーシャルエンジニアリングといいます。

ソーシャルエンジニアリングとは、ウィキペディアでは

「人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法を指す[1]。社会工学(Social engineering)の分野では、プライベートな集団や政府といった大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究することを言う。フィッシングやスキミングは、行為自体はコンピュータ内で閉じているが、人間心理的な隙をついている点では同様である。」
■引用:ウィキペデア「ソーシャルエンジニアリング」より

とされています。
語源は「Social=社会的」と「Engineering=工学、技術」を併せたものです。

 

こんな行為もソーシャルエンジニアリング

ソーシャルエンジニアリングとは、人の油断につけ込んで、情報を盗む手口です。つまり誰でも知っている、またついついやってしまう、当たり前な行為の延長線上です。

たとえば

  • 「家族のスマホのロック解除の番号やパターンを盗み見て、スマホを勝手に開いて見た」
  • 「誕生日や電話番号からパソワードを予想して、パソコンを開けた」
  • 「別の目的で、パスワードを聞き出して使った」
  • 「他人の自宅のWifiをつなぎ、外部からデータを盗み見た」

は、すべて立派なソーシャルエンジニアリング行為ですし、

  • 「警察や銀行」からだとよそおって、銀行の口座番号や暗証番号を聞き出す
  • 「宅配便です。伝票の住所が消えているので教えてください」と聞き出す

といった「オレオレ詐欺(=特殊詐欺)」の手法も、すべてソーシャルエンジニアリングと同類です。

これらのソーシャルエンジニアリングは単純に見えて実はコンピューター犯罪の原因の多くを占めています。

たとえば2020年8月に世界を驚かせたTwitterの有名人アカウントの乗っ取りも17才の少年らによるソーシャルエンジニアリングが原因でした。

ブログ内の関連記事(新しいウィンドウで開きます)

 2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]

socialengineering ソーシャルエンジニアリングのイメージ

 

ソーシャルエンジニアリングの中でも、もっとも効果的なショルダーハック

どんなに高度なセキュリティ対策を施しても、そこで働く人たちがだまされてしまってはどうにもなりません。

まして「のぞき見る」事で機密情報を盗むソーシャルエンジニアリングは、手口が単純で手間もかからず、犯人はまず試みる手法です。

たとえば鉄壁のセキュリティを誇るオフィスでも、要件を装って内部に入り込むことができれば、さりげなく見回すことで、犯行のヒントになる情報を得ることができてしまえば、ショルダーハックは成功です。

それだけに、防ぐのはもっとも難しいとも言えるのです。

 

ショルダーハックの事例や手口は?

誰でも、

  • 前に立つ人のスマホの画面が見えてしまった。
  • カフェでパソコン操作に熱中している人の画面が見えた。

といった経験はお持ちでしょう。

これは仕方が無いことですが、そこで得た情報を悪用すると、ショルダーハックとして立派な犯罪になってしまいます。

では、実際にショルダーハックが犯罪として捕まった事例はどんなものがあるでしょうか?

高校生がスーパーのレジでショルダーハック

2020年6月、横浜市の高校生がショルダーハック容疑で捕まりました。

なんとアルバイト先のスーパーのレジで客のクレジットカードを盗み見て、80人ものカード情報を不正利用し、航空券やホテル代などの旅行に使ってしまったのです。

 

消防署員が上司のパスワードをショルダーハック

2017年11月には大分市で、若手の消防士6人が上司のパソコンを盗み見て懲戒処分を受けています。
上司の手帳のパスワードを盗み見て、発表前の人事情報をLINEで仲間に回覧していたそうです。

 

「ひと目で覚えられるはずがない」と思うのは間違い

1度見ただけで覚えてしまう「カメラアイ」を持つ人もいる

「ひと目見ただけでパスワードでもクレジットカードでも確実に覚えることができる」

とは普通の人には信じられませんが、世の中にはカメラアイ(瞬間記憶)といわれる能力を持つ人もいます。

このような力を持った人にかかっては、ショルダーハックは実に簡単なことなのでしょう。

 

作家や芸術家に多い「映像記憶」の能力を持つ人

また映像記憶という「目に映ったものを映像として記憶する」能力をを持った人も確実に存在します。

有名人では谷崎潤一郎や三島由紀夫、版画家の山下清などが「映像記憶を持っていた」と言われています。

また有名なオーケストラ指揮者のロリン・マゼールのような有能な指揮者の中にも、大判で分厚い楽譜を、あたかもカメラで撮影したようにすべて覚えてしまう特殊能力を持つ人がいます。
マゼールは練習の時に楽譜の音符だけでなく、ページまで覚えていて、どんな長い曲も記憶で指揮して、的確に演奏のミスを指摘したそうです。

なお、これらの能力は生まれついてのものだけではなく、訓練することである程度身につけることもできると言われます。

事実、諜報活動に従事する人(スパイ)や探偵業の人は、カメラアイは必須の訓練と聴きますし、市販の解説書も出でいます。
まったく油断はできません。

 

今ではスマホカメラのおかげで誰でもショルダーハックができる!

上記のような特殊能力が無くても、スマホを使えば簡単に盗み撮りができます。

近年スマホのカメラ性能は飛躍的に向上したため、「さりげなく全体を撮影して、後から画像を拡大加工して、細部の情報を取り出す」ことも容易にできます。

日本で販売されているスマホはシャッター音が出ますが、アプリなどを使って消すこともできますし、海外では無音のスマホも売られています。

誰も常にスマホを使っているご時世ですから、撮影されていたとしても見分けることはできません。

スマホを使って。知らないうちに撮影され「ショルダーハック」で機密情報をとられてしまうことも大いにあり得るのです。

またひとつだけでは意味を成さない情報や写真を組み合わせるモザイクアプローチで、重要な個人情報を抜き取る手段もあり、それを趣味や仕事で請け負う「特定屋」という輩もします。

ブログ内の関連記事(新しいウィンドウで開きます)

ネットストーカーの被害が増えていますが、背後にはネット上の情報を集めてパズルのように組み合わせるモザイクアプローチによって個人情報を割り出す「特定屋(特定班/特定厨)」の存在があります。SNSに一枚の写真を投稿するだけでどれだけの危険が[…]

ネットストーカーがモザイクアプローチで個人情報を集めるイメージ

コロナ騒動でテレワークが推奨されて、会社以外で仕事をする機会も多いと思いますが、外で作業の際はあらためて十分にお気をつけください。

 

 

ショルダーハックを防ぐ対策は?

見られないための防止策

スマホやパソコン操作の場所に注意。

  1. カフェなど作業する位置選びに注意する。
    背後が席や通路ではない、壁際の席を選びましょう。あちこちに設置されている防犯カメラにも注意が必要です。
  2. 画面ロック解除のコードを入れる際は、十分に周囲を注意する。
    特に危ないのが画面ロックのパスワードを入れる時です。ロック解除番号を知られてスマホを盗まれると打つ手がなくなってしまいます。
  3. 離席する際はパソコンやスマホの画面を必ずロックする習慣をつける。
    作業中のデータを見られたり、勝手に操作されることを防ぐため、習慣にしましょう。
    毎回パスワードを入力するのは面倒ですが、指紋認証やPIN番号を使えば手間はかかりません。
  4. オフィスや家庭内に部外者を安易に入れない。
    リスクを避けるため、関係者以外は作業スペースに入れないことは何より大切です。
    また家庭にはうっかり大切な情報が放置されているものです。不用意に外部の人を招き入れるのは止めましょう。

重要情報は簡単に盗み見されない工夫をする。

  1. スマホのパターン認証は使用しない。
    簡単に覚えられてしまうパターン認証は信頼性が低くロックの手法としては不完全です。
    最低でも6桁の数字か、「指紋/顔」といった信頼できる生体認証を使いましょう。生体認証未対応の古いスマホはもう交換のタイミングです。
  2. パスワードのような重要情報を見えるところに放置しない。
    これは常識以前の絶対に守るべきこと。
    他にも「暗証番号を壁に貼る」「メモに書いて放置する」といった悪癖は家庭内でもやめましょう。
  3. パソコンのデスクトップ画面に重要情報を置かない。
    パソコンのデスクトップに多数の情報を貼り付けている人がいますが、ワンクリックで盗み見られてしまいますし、動作も重くなり、良いことは何もありません。
  4. 「覗き見防止フィルター(プライバシーフィルター)/フィルム」を活用する。
    パソコン用、スマホ用多数の製品で発売されています。これらの製品を付けると盗み撮りにも有効な対策となります。

もし見られても不正ログインを防ぐ二段階認証を設定しておく

二段階認証とは、

  1. 第1段階:正しい「IDとパスワード」が使用されているか?
  2. 第2段階:いつも使っているスマホやパソコンなど本人の持っている機器からログインされているか?

という2つの段階を確認して初めて「本人確認ができたこととしてログインを許す」方式です。

ショルダーハックでパスワードを盗まれても、犯人がいつもと違うスマホやパソコンからログインしようとすると、本人のスマホに「ログインして良いですか?」と確認が来ます。
※通常は本人のスマホ宛のSMSに「確認番号」が送られ、確認番号を入力することで本人確認をします。

今や多くの主要サービスは二段階認証が使えます。

二段階認証をしておけば、犯人は、あなたのパスワードを持っていても、あなたの承認がなければログインできません。

これさえやっておけば不正ログインを確実に防ぐことができる究極の方法です。

すでに以下のように有名サービスのほとんどが二段階認証を用意しています。

後はあなたが設定さえしてしまえば、ショルダーハックされても不正ログインを防げぐことができるのです。

Google、Yahoo!、Twitter、Amazon、Apple、Microsoft、Facebook、Instagram、Pinterest、Dropbox、Evernote、LinkedIn、ドコモ(dアカウント)、AU、ヤマト運輸、リクルートID、ニンテンドーアカウント、PlayStation Network、Chatworks、日本経済新聞社、その他大手銀行や証券会社、PayPal他ほとんどの決済サービス、、、など
ブログ内の関連記事(新しいウィンドウで開きます)

アカウントに二段階認証(二要素認証)をしておけば、万一パスワードが他人に使われても不正ログインされる心配ありません。「アカウントの乗っ取り」も起きませんし「セブンペイ事件」も「ドコモdアカウントの不正ログイン」も二段階認証があれば防げました[…]

 

まとめ:
ショルダーハックを防ぐことは、デジタル機器を使う基本動作の確認そのもの

いろいろお話ししましたが、ショルダーハックを防ぐとは「セキュリティの基本に忠実」に。つまり

  • 見せてはいけないものは隠す
  • 対抗策を講じておく

という当たり前の事をしておくだけで良いのです。

逆にショルダーハックを許してしまうのは、セキュリティの基本動作もできていないことですから、十分にご注意してください。