ショルダーハッキングとは？意味・起きやすい場面・防ぎ方・法との関係を見る

ショルダーハッキングは、他人の画面や手元をのぞき見て、IDやパスワード、暗証コードなどを盗み取る手口です。特別な機材がなくても成り立つため、カフェ、電車、空港、職場の共用席など、周囲に人がいる場所では身近な危険になります。

• 意味：肩越しののぞき見で、ログイン情報や書類の内容を盗み取る手口
• 起きやすい場面：カフェ、移動中の車内、受付の近く、会議室、共用席
• 主な防ぎ方：人前で大事な操作をしない、のぞき見防止フィルターを使う、離席時に画面をロックする、MFAを使う
• 法的な見方：手口そのものに単独の罪名が付くとは限らないが、その後の使い方しだいで不正アクセス禁止法などが問題になり得る

読者が先に押さえたい点は二つです。ひとつは、ショルダーハッキングが「見るだけ」で始まるため油断しやすいこと。もうひとつは、盗まれた情報がその後の不正アクセスやなりすましにつながることです。ここでは、意味、起きやすい場面、個人と会社での備え、法との関係を順に見ていきます。

ショルダーハッキングとは

ショルダーハッキングは、他人のパソコンやスマホの画面、手元、紙の資料を肩越しに見て、ID、パスワード、暗証コード、顧客データなどを盗み取る手口です。英語の shoulder surfing に当たり、日本語では「肩越しののぞき見」と説明されることもあります。

IPAは、ショルダーハッキングを肩越しに盗み見る行為として注意を促しています。NISTも、画面や入力欄から認証まわりの情報が見えてしまう危険を shoulder surfing として扱っています。つまり、これは高度な侵入ではなくても、ログインの足場を与え得る手口です。

典型例は、カフェでのぞき見される、会議室で配った紙を見られる、机の付箋を読まれる、といった場面です。少し視線を向けるだけで成り立つため、本人が気づきにくい点が厄介です。

ショルダーハッキングの定義

この手口の中心は、他人が入力している内容や表示中の内容を目で盗み見ることです。対象は、ログイン用のIDとパスワード、PIN、決済まわりの番号、社内向け画面、見積書、契約書など多岐にわたります。

キーロガーのような不正なプログラムを入れる攻撃とは違い、ショルダーハッキングは人の視線だけで始められます。そのため、技術面の守りが整っていても、人前での操作や紙の扱いが甘いと抜け穴になります。

ソーシャルエンジニアリングとの関連性

ショルダーハッキングは、ソーシャルエンジニアリングの一つとして扱われます。人の不注意、安心感、忙しさ、職場の慣れを突いて情報を取るという点で共通するからです。

狙われるのはソフトの穴ではなく、人の行動です。背後から見える位置に座る、来訪者を装ってオフィス内を歩く、会議後の資料を横目で見る、といった行動でも情報を拾えます。

このため、備えは技術だけでは不十分です。社員向け教育、席の向き、来訪者の動線、離席時のロック、紙の回収まで含めて考える必要があります。

ショルダーハッキングによるリスクと影響

見られて困るものは、ログイン情報だけではありません。個人データ、決済に使う番号、社内向け画面、紙の見積書や契約書も対象になります。盗まれた内容がそのまま悪用されなくても、後のなりすましや不正な注文の手掛かりになることがあります。

特に問題なのは、被害に気づきにくいことです。端末に不審な跡が残らないため、「なぜ漏れたのか」が分からないまま、別の事故として見えてくることもあります。

また、起きる場所を限定しにくい点も無視できません。公共の場だけでなく、オフィス、自宅、受付付近、会議室でも起こり得ます。

ショルダーハッキングの名称の由来

名称は、英語の shoulder surfing に由来します。人の肩越しに画面や手元を見る様子をそのまま表した言い方です。

この語感どおり、中心にあるのは「視線が届く範囲」を悪用することです。ITの難しい仕掛けではなく、見える位置と油断がそろったときに起きます。

ショルダーハッキングの手口

自分を守るうえで先に知っておきたいのは、「どこで見られやすいか」と「画面だけでなく紙も対象になるか」です。手口を場面別に見ると、備えの優先順がはっきりします。

よくある場面は、人が多い場所でののぞき見、来訪者や関係者を装った社内での観察、付箋やメモの読み取り、紙の資料の確認です。どれも派手ではありませんが、現実には起こりやすい類いです。

人が多い場所での盗み見

カフェ、電車、空港ロビー、イベント会場の待機席などは典型です。周囲の視線が自然に交わるため、画面を見られても気づきにくく、見ている側も目立ちにくいからです。

人前で作業するなら、外から見られても支障が少ない内容に限るのが基本です。IDやパスワードの入力、顧客データの閲覧、社内向け管理画面の操作は避けたほうが安全です。

やむを得ず使う場合は、壁際に座る、背後に人が立ちにくい席を選ぶ、画面の角度を下げる、といった工夫が要ります。

従業員になりすまして企業に侵入

社外の人が社員や委託先の担当者を装い、社内に入り込んだうえで画面や資料を見ようとする例もあります。受付が混みやすい時間帯や、入館の確認が形だけになっている場では起きやすくなります。

狙われるのは、執務席の画面だけではありません。会議室で映した画面、共有プリンターの出力物、受付近くの持ち出し書類も見られます。

そのため会社側は、誰がどこまで入れるか、来訪者がどこを通るか、外から見える場所に何が置かれているかを日頃から見直す必要があります。

パソコンに貼られた付箋を盗み見る

画面のふちや机の上にIDやパスワードを書いた付箋を貼る行為は、見てくださいと言っているのに近い状態です。入力の瞬間を見られなくても、付箋があればそれだけで済んでしまいます。

ノート、卓上メモ、ホワイトボードの走り書きも同じです。近くを通るだけで読める位置に置いてあるなら、いつ見られてもおかしくありません。

覚えにくいなら、信頼できるパスワード管理ツールを使うほうが安全です。紙で残すにしても、端末の近くに置かない運用が要ります。

デジタルデバイス以外でのショルダーハッキングの事例

対象はデジタル機器に限りません。会議で配った資料、印刷した見積書、契約書、名簿なども見られます。

紙は画面より安全だと思われがちですが、持ち歩きやすく、撮影もしやすいという別の弱さがあります。離席中に机へ置いたままにする、移動中に広げる、といった行動は避けたいところです。

不要になった紙はすぐ片づける、持ち出す枚数を絞る、廃棄時は裁断する、といった基本の動きが役立ちます。

ショルダーハッキングに対する防ぎ方

この手口は完全にゼロにしにくい一方、日々の行動を変えるだけでかなり減らせます。人前で何をしないかを決め、見えにくくし、盗まれてもすぐには使えない状態を作ることが柱です。

人が多い場所での情報の扱い

まず有効なのは、人前で扱う内容を絞ることです。公共の場では、社外に見えて困る作業をしないだけでも危険はかなり下がります。

下読み、公開済みの資料を見る作業、一般向けサイトの閲覧にとどめ、ログイン、顧客データの確認、社内向け画面の操作は私的な空間で行うのが無難です。

のぞき見防止フィルターの活用

次に有効なのが、画面を横から見えにくくするフィルターです。正面からは見えても、斜めからの視認を落とせる製品が多く出ています。

外出先で端末を使う人、フリーアドレス席が多い職場、受付に近い席で作業する人には特に向いています。ただし、正面からは見えるので、これだけで十分と考えないほうが安全です。

端末の画面ロックを徹底する

席を離れるときは、その場でロックする。これを徹底するだけでも被害は減らせます。離席中の数分で画面を見られたり、操作されたりする例は珍しくありません。

パソコンでは即時ロックのショートカットを使い、スマホでは自動ロックまでの時間を短めにします。会社で使う端末なら、しばらく操作がないと自動でロックする設定も有効です。

MFAの活用

もう一つ大事なのがMFAです。パスワードだけで入れない状態を作れば、のぞき見で文字列を取られても、その後の悪用を止めやすくなります。

MFAは、知っているもの、持っているもの、本人の体の特徴など、別種類の要素を組み合わせて本人かどうかを確かめる仕組みです。実際の運用では、認証アプリ、物理トークン、顔認証や指紋などが使われます。

特に外部から入る業務サービスや、社内の大事な画面では、MFAを前提にするほうが安全です。

結局は、一つだけで守ろうとしないことが大切です。人前での操作を減らす、見えにくくする、ロックする、MFAを使う。これらを重ねると守りが強くなります。

ショルダーハッキングと会社の情報セキュリティポリシー

ショルダーハッキングは、難しい技術より人の動きや職場の隙を突く手口です。だから会社では、IT部門だけの課題にせず、全社員の行動ルールとして扱う必要があります。

ショルダーハッキングへの意識と教育

どれだけシステム側の守りを固めても、背後から見られることへの注意が薄ければ情報は漏れます。まずは、肩越しののぞき見が現実の危険だと知ってもらうことが出発点です。

研修では、どんな場所で起きやすいか、見られると何が起こるか、席を離れるときに何をするかを具体的に示すほうが伝わります。抽象的な注意だけでは行動は変わりにくいからです。

会社ぐるみで定着させるには

ルールは、知っているだけでは不十分です。席の向き、来訪者の通路、受付まわりの画面、会議後に紙を回収する作業、共有プリンターの受け取りまで、日々の運用として定着させる必要があります。

その際は、何をしてはいけないかだけでなく、代わりにどうするかも決めておくと定着しやすくなります。たとえば、人前ではログインしない、紙は会議後すぐ回収する、離席時は必ずロックする、といった形です。

事故が疑われるときの手順

のぞき見が疑われる場面があったら、後回しにしないことが大切です。動き出しが遅いと、ログの確認や被害の切り分けが難しくなります。

会社としては、どの場面を事故の疑いとして扱うか、誰へどう伝えるか、連絡後に何を確認するかを決めておく必要があります。最低でも、パスワード変更、関係する画面を使えないようにすること、ログ確認の依頼先は明確にしておきたいところです。

ソーシャルエンジニアリング対策と一体で進める

ショルダーハッキングだけを切り離して見るより、ソーシャルエンジニアリング対策の一部としてまとめて扱うほうが運用しやすいです。

フィッシング、電話での聞き出し、来訪者を装う行為、肩越しののぞき見は、いずれも人の油断を突く点で共通します。社員向け教育や相談先を一本化すると、現場でも動きやすくなります。

ショルダーハッキングと法との関係

ショルダーハッキングは、それ自体を一つの罪名で常に処理できるとは限りません。ただし、見て得た情報をどう使ったかによっては、別の法や社内ルールの問題になります。

不正な利用につながったときの見方

たとえば、のぞき見で得たIDやパスワードを使ってサービスへ入れば、不正アクセス禁止法が問題になることがあります。警察庁も、見聞きしたIDやパスワードの悪用による被害について注意を呼びかけています。

また、事業者が個人データを不正な手段で集める場面では、個人情報保護法の「不適正な取得」が問題になることがあります。どの法が関わるかは、得た情報の種類、集めた主体、その後の使い方で変わります。

会社が問われやすい点

会社側では、被害が出たあとに「ふせぐ手当てをしていたか」が見られます。席の配置、来訪者の管理、離席時のロック、紙の回収、社員への周知が不十分だと、説明する責任を果たしにくくなります。

そのため、法務だけの問題として扱うのではなく、日々の運用と結び付けて備える必要があります。

現場で押さえたい注意点

「見ただけなら問題ない」と考えるのは危険です。見る行為だけで直ちに一つの法へ当てはまるとは限らなくても、その後にログイン、注文、送金、共有が続けば、別の問題へ発展します。

迷ったときに備え、会社では連絡先、動き出しの順番、証跡の残し方を決めておくほうが安全です。

今後の対策はどう進むか

今後の焦点は、派手な新技術より、いま使える守りを端末や運用へどう組み込むかにあります。公的な資料や標準では、画面の表示を見えにくくすること、離席時にロックすること、パスワードだけに頼らないことが繰り返し示されています。

端末側の工夫

画面を横から見えにくくする機能や、入力中の文字を隠す表示は、今後も広く使われる対策です。NISTは、肩越しののぞき見を減らすため、表示する情報を既定で隠すことを求めています。

本人を確かめる手当て

パスワードだけで入れる状態を減らし、MFAを広げる動きは今後も続くと見てよいでしょう。のぞき見で一つの要素を取られても、それだけで入れない構成にする考え方です。

運用面の見直し

会社では、テレワークや共用席の広がりに合わせて、席の向き、画面の見え方、来訪者の動線、紙の扱いを見直す動きが続くはずです。ショルダーハッキング対策は、端末の機能だけで完結しません。

まとめ

ショルダーハッキングは、他人の画面や手元、紙の資料をのぞき見て情報を取る手口です。特別な機材がなくても始められるため、身近でも軽く見ないほうがよい危険です。

備えの柱は明快です。人前で大事な操作をしない、画面を見えにくくする、離席時にロックする、MFAを使う、紙を放置しない。この基本を徹底するだけでも危険は大きく下げられます。

会社では、社員向け教育、情報セキュリティポリシー、来訪者の管理、事故時の連絡の手順を一体で整えることが欠かせません。技術だけに頼らず、見られる前提で行動を整えることが現実的な対策です。