――被害が生じた事例にはどんなものがありますか。
スーパーマーケットで、アルバイトの高校生が買い物客約80人分のクレジットカード番号を盗み見て、約1000万円の不正利用をして逮捕された事件があります。また、消防署の職員が上司のパスワードをショルダーハックし、端末に不正アクセスして人事情報が漏洩した事件もありました。
また、リモートワークの普及で自宅にパソコンを持ち帰って仕事をする機会が増え、「最大の脅威」といわれているのが家族です。パスワードの設定が甘く、あるいは子どもが親のパスワードをショルダーハックしてパソコンに侵入し、ゲームで遊んでしまう。
そこで終わればよいのですが、悪気なく危険なサイトを閲覧してウイルスやマルウェアに感染する事例も発生しているのです。こうした被害はあまり表沙汰にされませんが、企業からいろいろな話を聞くことがあります。
ほかにも店舗のQRコード決済で、順番待ちの間にQRコードを表示した客のスマホがショルダーハックで撮影されて不正決済されたり、店員の隙を突いて店側のQRコードを張り替え、利用者に読み取らせて別のところと決済させたりする手口があります。
監視カメラを見ている人が悪事を働かないとも限らない
――ショルダーハックの被害を防ぐために、企業はどんな対策が必要ですか。
基本的な対策は公共の場や不特定多数の人がいる場所で重要な情報を見ないようにすることで、企業はそれを従業員に周知、徹底する必要があります。電車の中でスマホを見るのは構いませんが、重要な情報をさらして仕事をしてはいけない、ということです。
「壁に耳あり障子に目あり」と昔から言いますが、さらに現在は誰もがカメラの付いたスマホを持ち、あらゆるところに監視カメラが取り付けられています。
いくらパスワードを素早く打ち込んだところで録画されたらすぐバレてしまいますし、監視カメラを見ている人が悪事を働かないとも限りません。もっと個人も企業も、情報の扱いに気を付けるべきでしょう。
そもそも企業の経営幹部層はデジタルネイティブではない40代から60代の人が多く、ソーシャルエンジニアリングに限らずサイバー攻撃への危機感が薄いと感じることが多いです。
サイバー攻撃は物理的には見えませんが、いざ被害が生じると巨額の損失が発生します。ランサムウェアの被害にあったデンマークの海運会社は、300億円以上の対応コストがかかったと報じられています。
企業の経営層には、もし、自社がサイバー攻撃で被害が生じたらどれくらいの損害が発生するのか、まずはきちんと見積もっておくことをお勧めします。
東洋経済Tech×サイバーセキュリティのトップページはこちら
