対象試験と出題頻度
詳細をクリックして確認
ITパスポート試験
情報セキュリティマネジメント試験
基本情報技術者試験
応用情報技術者試験
★★★☆☆
ランクB(標準)
用語の定義
ショルダーハッキング(盗み見)とは、一言で言うと「肩越しや背後から画面やキーボード入力を覗き見て、パスワードなどの情報を盗む手法」のことです。
イメージとしては、「ATMで暗証番号を入力しているときに、後ろから覗き込まれる状況」と同じです。
「shoulder(肩)」という名前の通り、肩越しに覗き見ることからこの名前が付いています。高度な技術は一切不要で、ただ見るだけで重要な情報が盗まれてしまう、非常にシンプルながら効果的な攻撃手法です。
解説
ショルダーハッキングは、ソーシャルエンジニアリング(人間の心理や行動を利用した攻撃)の代表的な手口の一つです。技術的なセキュリティ対策をどれだけ施しても、「見られてしまう」という物理的な問題には対処できません。以下のような場面で発生しやすいです。
- オフィス内: 背後に人が通る配置のデスクで、画面に機密情報を表示したまま作業する
- カフェ・コワーキングスペース: 公共の場でノートPCを開いて仕事をする際に周囲から見られる
- 電車・飛行機内: 隣席の人から画面を覗き見される
- ATM・券売機: 暗証番号やパスワードを入力する際に背後から見られる
ショルダーハッキングで盗まれた情報は、不正アクセスや詐欺など、さらなる犯罪に悪用されます。特にパスワードやPINコード、クレジットカード番号などが狙われやすく、一度盗まれると被害が拡大する恐れがあります。「見られているかもしれない」という意識を常に持つことが重要です。
具体的な活用例・対策
ショルダーハッキングを防ぐために、以下のような対策が有効です。
- プライバシーフィルター(覗き見防止フィルム): ノートPCやスマートフォンの画面に貼り、正面以外からは画面が見えなくする
- 座席の配置変更: 背後に人が通らない壁際に席を配置する、画面が窓や通路に向かないようにする
- クリアスクリーン: 離席時は必ず画面をロックし、機密情報を表示したまま放置しない
- パスワード入力時の注意: 入力時は周囲を確認し、手や体で隠しながら入力する
- 公共の場での作業を控える: 機密性の高い情報を扱う作業は、周囲の目がある場所では行わない
- 生体認証の活用: 指紋や顔認証など、覗き見されても盗まれない認証方式を採用する
試験ではこう出る!
ITパスポート・情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験で出題されます。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- ソーシャルエンジニアリング
- トラッシング(ゴミ箱あさり)
- なりすまし・プリテキスティング
- クリアデスク・クリアスクリーン
- プライバシーフィルター(覗き見防止フィルム)
- 物理的セキュリティ対策
試験問題で「背後から画面を覗き見てパスワードを盗む」「肩越しにキーボード入力を見て情報を入手する」といった記述があれば、それは「ショルダーハッキング」に関する記述です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. ショルダーハッキングに関する説明として、最も適切なものはどれでしょうか?
- A. 廃棄されたゴミ箱や書類から、パスワードや機密情報を入手する手法
- B. システム管理者や取引先になりすまして電話し、パスワードを聞き出す手法
- C. 肩越しや背後から画面やキーボード入力を覗き見て、情報を盗む手法
正解と解説を見る
正解:C
解説:
ショルダーハッキングとは、「shoulder(肩)」の名前の通り、肩越しや背後から画面やキーボード入力を覗き見て、パスワードや機密情報を盗む手法です。ソーシャルエンジニアリングの代表的な手口の一つです。
Aは「トラッシング(ゴミ箱あさり)」、Bは「なりすまし(プリテキスティング)」の説明です。いずれもソーシャルエンジニアリングの手口ですが、それぞれ攻撃の方法が異なるため、違いを正確に理解しておきましょう。
