電車でメールをのぞき見された…身近に潜む｢ショルダーハッキング｣甘く見ると痛い目に遭う訳

個人でもソーシャルエンジニアリングの罠に陥ることがある。企業を偽って「アカウントが乗っ取られている」などのメールを送信してくる「フィッシングメール」が代表的だ。

指定されたWebページにアクセスし、情報を入力すると、パスワードやクレジットカード情報を盗み取られてしまう。よくある手法なのだが、たまたま荷物が来るのを待っていたときに宅配便を装ったメールが来たり、クレジットカードの切り替え時期に「決済ができない」というメールが来たりすると、うっかりフィッシングサイトにアクセスしてしまう。

警戒心がソーシャルエンジニアリングへの対策

繰り返しになるが、ソーシャルエンジニアリングは人の心理をうまく利用してセキュリティを突破し、情報を盗み取る。「急いで対応しなければ」という緊急性を感じる場合や、自分より権威のある人からの指示、困っている人に対する親切心などが利用される。

こうしたソーシャルエンジニアリングに対して、どのような対策を取るべきだろうか。まず、ショルダーハッキングについては、背後に人がいるときはスマホやPCを使わないことが最大の防御だが、難しい場合もある。

そこで、社用デバイスにはのぞき見防止フィルターやプロテクターの装着を義務付けてもいいだろう。また、スマホやPCを外で利用する際には、画面の明るさを暗くして周囲から見えづらくするといった対策もできる。カフェでは背後に壁がある席を確保し、コワーキングスペースでは音が漏れない個室を探すことも大切だ。

ビジネスメール詐欺に関しては、指示が本物かどうかを確認することが最も重要だ。いつも利用している連絡手段を使ったり、周囲の人にメールしたりして確認すると、なりすましによる連絡かどうかわかる。送金など重要な手続きには複数の人間で処理を行うワークフローにするのもいいだろう。

なりすましでパスワードを聞きだすプリテキスティングについても、周囲への確認が有効だ。最近はAIで音声を偽装することもできるため、通話の場合でも見破ることが難しいかもしれない。ITサポートを名乗る場合は、こちらから社内で共有している連絡先に折り返すと安心だ。また、IDやパスワードを口頭で共有することはないよう、社内や関連企業に徹底しておく。

ゴミを漁られるトラッシングは、たとえ正式な書類でなくてもシュレッダーを必ず利用するルールを定める。記録媒体の処分も専門業者に任せるルートを周知する。

背後についてこられるテールゲーティングの場合、一人ずつ認証しなければならないと厳格に定めることで防ぐしかない。親切心でとっさに動いてしまう可能性もあるので、セキュリティゲートやセキュリティドアを刷新するなどの対策も検討するといい。

フィッシング詐欺については、メールからのリンクではなく、公式サイトや公式アプリから確認することでトラブルを防ぐことができる。プライベートにおいても、細心の注意を払いたいところだ。

デジタルデバイスのセキュリティ技術が向上する一方で、つい認証が面倒になってルールを破ってしまうこともある。

しかし、こうした「気の緩み」が最も危険だ。自分の情報が狙われることはないだろうと油断せず、「どこかで見られているかもしれない」と常に警戒する気持ちを忘れないようにしたい。また、「自分も騙されるかもしれない」といった警戒心も忘れないようにしてほしい。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、鈴木 朋子さんの最新記事をメールでお知らせします。