ショルダーハッキングを防ぐ最も効果的な方法は？

プライバシーフィルターの装着が最も即効性があります。3M の調査では視覚的盗聴リスクを 96% 低減できると報告されています。加えて、公共の場ではパスワード入力時に周囲を確認し、生体認証やパスキーなど入力を見られても安全な認証方式を優先してください。

拾った USB メモリはどうすればいいですか？

絶対に自分のパソコンに挿さないでください。USB ドロップ攻撃の可能性があります。職場で拾った場合は IT 部門やセキュリティ担当に届けてください。公共の場で拾った場合は、施設の管理者に届けるか、そのまま放置してください。

物理セキュリティとサイバーセキュリティはどちらが重要ですか？

両方が不可欠です。どれほど強固なファイアウォールやパスワードを設定しても、攻撃者が物理的にサーバーにアクセスできれば意味がありません。逆に、物理的に安全な環境でもネットワーク経由の攻撃には無力です。多層防御の考え方で、物理とサイバーの両面からセキュリティを構築することが重要です。

物理セキュリティの基本 - ショルダーハッキングから USB 攻撃まで

この記事は約 12 分で読めます

サイバーセキュリティの議論はソフトウェアの脆弱性やネットワーク攻撃に集中しがちですが、物理的なセキュリティ侵害は依然として最も効果的かつ過小評価されている攻撃経路の一つです。Verizon の 2023 年データ侵害調査報告書によると、全侵害の 9% に物理的な行為が関与しており、米国国土安全保障省のレッドチームテストではソーシャルエンジニアリングを用いた物理侵入の成功率が 90% に達しています。カフェでのショルダーサーフィンから駐車場にばらまかれた USB メモリまで、攻撃者はデジタル防御と物理的現実の隙間を突いてきます。本記事では、物理セキュリティ脅威の仕組みを分析し、個人と組織の両方に向けた実践的な対策を解説します。

ショルダーハッキングの実態

視覚的盗聴の手口と統計

ショルダーハッキング (ショルダーサーフィン) は、他人の画面やキーボード操作を背後や横から覗き見て認証情報を盗む手法です。ローテクに見えますが、その効果は侮れません。ミュンヘン大学の 2022 年の研究では、被験者の 73% が公共の場でスマートフォンの PIN を入力する際に周囲を確認しておらず、訓練を受けた観察者は 1 回の観察で 6 桁 PIN の 64% を正確に読み取れたと報告されています。ATM での暗証番号盗み見は古典的な手口ですが、現代ではカフェやコワーキングスペースでのパスワード入力、電車内でのスマートフォン操作が主な標的です。

高度化する視覚的攻撃

近年のショルダーハッキングは肉眼だけに頼りません。望遠レンズ付きカメラで数十メートル離れた場所から画面を撮影する手口や、反射面 (窓ガラス、サングラス、スマートフォンの画面) を利用して間接的に覗き見る手法が確認されています。2023 年にはイスラエルの研究チームが、Wi-Fi 信号の反射パターンからキーストロークを推定する技術を発表しました。精度は限定的ですが、物理的な視線を必要としない新たな脅威として注目されています。対策としては、プライバシーフィルターの装着が最も即効性があります。3M の調査では、プライバシーフィルターの使用により視覚的盗聴のリスクを 96% 低減できると報告されています。

USB ドロップ攻撃と悪意あるデバイス

なぜ人は拾った USB を挿すのか

USB ドロップ攻撃は、マルウェアを仕込んだ USB メモリを駐車場やオフィスのロビーに意図的に落とし、拾った人がパソコンに挿すことを期待する攻撃です。イリノイ大学の 2016 年の実験では、キャンパスに 297 本の USB メモリを散布したところ、48% が実際にコンピュータに接続されました。最初の USB が接続されるまでの時間はわずか 6 分でした。人間の好奇心と「持ち主に返したい」という善意が、この攻撃を成功させる心理的要因です。

BadUSB と Rubber Ducky

単純なマルウェア入り USB よりも危険なのが、BadUSB と呼ばれるファームウェアレベルの攻撃です。USB デバイスのファームウェアを書き換え、キーボードやネットワークアダプタとして認識させることで、OS のセキュリティ機構を迂回します。Hak5 社の USB Rubber Ducky は、この原理を利用したペネトレーションテスト用ツールで、挿入から数秒でスクリプトを自動実行できます。2024 年時点の価格は約 80 ドルで、攻撃者にとってのコストは極めて低いです。対策として、Windows のグループポリシーや macOS のプロファイルで USB デバイスのクラスを制限し、未承認デバイスの接続をブロックすることが有効です。

テールゲーティングと物理的侵入

共連れ侵入の心理学

テールゲーティング (共連れ) は、正規の入館者の直後にドアを通過して不正に建物内に侵入する手法です。「ドアを押さえてあげる」という日常的な礼儀が、セキュリティホールになります。Ponemon Institute の調査では、従業員の 71% が見知らぬ人にドアを押さえた経験があると回答しています。攻撃者は両手に荷物を抱えたり、通話中を装ったりして、自然にドアを開けてもらう状況を作り出します。大きな段ボール箱を持って「配達です」と言えば、ほとんどの人が疑わずにドアを開けてくれるのが現実です。

物理侵入後の被害シナリオ

建物内に侵入した攻撃者が実行できる行為は多岐にわたります。放置されたパソコンからの情報窃取、ネットワークポートへの盗聴デバイスの設置、サーバールームへの物理アクセス、書類やホワイトボードの撮影などです。2019 年の Equifax のデータ侵害調査では、物理的なアクセス制御の不備が侵害の拡大要因の一つとして指摘されました。特に危険なのは、ネットワークに直接接続する小型デバイス (Raspberry Pi 程度のサイズ) を設置されるケースです。これにより攻撃者は社内ネットワークへの持続的なリモートアクセスを確保でき、発見されるまで数ヶ月間にわたって情報を窃取し続けることが可能になります。

スクリーンロックとクリアデスクポリシー

離席時の 5 秒ルール

スクリーンロックは最も基本的かつ効果的な物理セキュリティ対策です。Windows では Win+L、macOS では Ctrl+Command+Q のショートカットで即座にロックできます。SANS Institute の推奨では、自動ロックのタイムアウトは 5 分以内に設定すべきとされていますが、理想は離席と同時に手動ロックする習慣をつけることです。「トイレに行くだけ」「コーヒーを取りに行くだけ」という油断が、情報漏洩の入口になります。実際に、ロックされていないパソコンから機密情報が持ち出された事例は、内部不正の調査報告で繰り返し登場します。

クリアデスクが防ぐ情報漏洩

クリアデスクポリシーは、離席時や退勤時にデスク上から機密書類や記録媒体を片付けるルールです。ISO 27001 でも推奨されている基本的なセキュリティ管理策ですが、実践率は低いのが現状です。PwC の調査では、従業員の 58% がデスクに機密書類を放置した経験があると回答しています。付箋に書かれたパスワード、印刷されたメール、会議資料、来客用の Wi-Fi パスワードが書かれたホワイトボードなど、物理的な情報源は至るところに存在します。清掃業者や来客など、オフィスに出入りする第三者の目に触れるリスクを常に意識してください。

モバイルデバイスの物理セキュリティ

スマートフォンやノートパソコンの盗難・紛失は、物理セキュリティの中でも最も頻度の高いインシデントです。Kensington の 2023 年レポートによると、米国だけで年間約 70 万台のノートパソコンが空港で紛失・盗難に遭っています。デバイスの暗号化 (BitLocker、FileVault) を有効にしておけば、盗難されてもデータへのアクセスは困難になります。リモートワイプ機能 (Find My iPhone、Find My Device) も必ず設定してください。ノートパソコンにはケンジントンロックを使用し、カフェや会議室での一時的な離席時にも物理的に固定する習慣をつけましょう。

旅行時のセキュリティについては旅行時のサイバーセキュリティも参照してください。物理セキュリティ対策を体系的に学ぶには、物理セキュリティの解説書 (Amazon)が参考になります。

組織の物理セキュリティ戦略

多層防御の設計

物理セキュリティも多層防御の原則に従うべきです。建物の外周 (フェンス、監視カメラ)、エントランス (受付、入館証)、フロア (ICカード認証)、サーバールーム (生体認証、二人制ルール) と、段階的にセキュリティレベルを上げていきます。一つの層が突破されても、次の層で食い止められる設計が重要です。Google のデータセンターでは 6 層の物理セキュリティが実装されており、サーバールームに到達するまでに虹彩スキャンを含む複数の認証を通過する必要があります。

今すぐできること

パソコンの自動ロックを 5 分以内に設定し、離席時は必ず手動ロック (Win+L / Ctrl+Cmd+Q) する習慣をつける
スマートフォンとノートパソコンのデバイス暗号化とリモートワイプを有効にする
出所不明の USB メモリは絶対にパソコンに挿さない。拾った場合は IT 部門に届ける
パスつく.com で各サービスに固有の強力なパスワードを設定し、万が一デバイスが盗まれてもパスワードの使い回しによる被害拡大を防ぐ

よくある質問

ショルダーハッキングを防ぐ最も効果的な方法は？: プライバシーフィルターの装着が最も即効性があります。3M の調査では視覚的盗聴リスクを 96% 低減できると報告されています。加えて、公共の場ではパスワード入力時に周囲を確認し、生体認証やパスキーなど入力を見られても安全な認証方式を優先してください。
拾った USB メモリはどうすればいいですか？: 絶対に自分のパソコンに挿さないでください。USB ドロップ攻撃の可能性があります。職場で拾った場合は IT 部門やセキュリティ担当に届けてください。公共の場で拾った場合は、施設の管理者に届けるか、そのまま放置してください。
物理セキュリティとサイバーセキュリティはどちらが重要ですか？: 両方が不可欠です。どれほど強固なファイアウォールやパスワードを設定しても、攻撃者が物理的にサーバーにアクセスできれば意味がありません。逆に、物理的に安全な環境でもネットワーク経由の攻撃には無力です。多層防御の考え方で、物理とサイバーの両面からセキュリティを構築することが重要です。

この記事は役に立ちましたか？

パスワードを生成する →