攻撃と脅威
ショルダーサーフィン
別称: 視覚的盗み見
定義
肩越しに、または隠しカメラ越しに、画面・キーボード・PIN パッドを盗み見て、認証情報・コード・機密情報を盗む手口。
ショルダーサーフィンはローテクながら高い実害を生む情報収集手法です。機内で隣席の PC を覗く、ATM や POS の PIN 入力を録画する、共有オフィスで MFA コードを盗み見る、望遠レンズや天井カメラで遠隔から取得するなどが該当します。攻撃対象が「人と端末のインターフェース」であるため、従来の技術的統制は直接効きません。対策は、覗き見防止フィルター、入力時の角度の工夫、クリーンデスク・クリアスクリーン方針、PIN のマスク表示、コードを表示しない生体認証やプッシュ型 MFA、プライベートな場所での資格情報入力、視線を遮る配置などです。
例
- 混雑した電車の中で隣の乗客のメール画面を読み取る。
- ATM の近くに隠しカメラを設置し、PIN とカード情報を盗む。
関連用語
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
ダンプスターダイビング
組織や個人が廃棄した紙、リムーバブルメディア、機器などを漁り、機密情報を取り出す手口。
テールゲーティング
正規のユーザーに気づかれずに密着して後ろをついて行き、アクセス制御を不正に通過する物理的侵入手法。
ピギーバッキング
正規の利用者が意図的に同伴を許可することで、攻撃者がアクセス制御を通過して不正に物理的・論理的アクセスを得る行為。
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
Password
Password — definition coming soon.