盗み見(shoulder surfing)

shoulder-surfing セキュリティ

他人の画面や操作をこっそり見て、情報を盗む行為のこと

簡単な説明

盗み見ってのは、後ろからチラッと見てパスワードとか盗むやつ。
カフェとか電車でスマホやPC使ってるときにやられがち。
見られないように画面隠すとか、フィルター貼っとくと安心!

由来

「盗み見」は英語で shoulder surfing(ショルダーサーフィング) と言います。これは「肩越しに見て情報を得る」という意味から来ており、1990年代からATMやパソコンの利用者を狙う手法として知られてきました。
技術が進んでも、この「目で見て盗む」行為は今も非常に効果的で、現代でも脅威となっています。

具体的な説明

盗み見は、パスワードやクレジットカード番号などの重要な情報を、本人の背後からのぞき見して盗む行為です。
特別なハッキングツールが不要なため、誰でも簡単に行える攻撃手法です。
情報セキュリティの3要素(機密性・完全性・可用性)のうち、機密性(Confidentiality)を脅かします。

たとえば、電車の中でスマートフォンにログインIDとパスワードを入力しているところを、後ろの人がじっと見て覚える。
このようにして、本人が気づかないうちに情報が盗まれるのが盗み見の怖さです。
カフェ、図書館、空港などの公共の場所では特に注意が必要です。

「ショルダーハッキング」は、情報セキュリティにおけるソーシャルエンジニアリングの一種です。
直接的なテクニカル手段ではなく、人間の行動や心理的隙をつく非技術的な攻撃です。
情報セキュリティのリスク評価では、物理的セキュリティの不備人的リスクとして分類され、重要な対策対象とされています。

ある研究(University of Massachusetts)では、10桁のスマートフォンのロックパターンを後ろから1回見ただけで80%の成功率で再現できたという結果が報告されています。
この実験からも、人間の記憶力と観察力により、簡単に情報が盗まれることが示されています。

例文

「パスワードを入力しているとき、後ろの人が見ていないか心配だから、盗み見対策の画面フィルターを使っているんだ。」

疑問

Q: なぜ盗み見が情報セキュリティの問題になるのですか?

A: パスワードや個人情報などの「機密情報」が他人に知られることで、なりすましや不正アクセスにつながるからです。

Q: 盗み見を防ぐにはどうすればいいですか?

A: 周囲を確認する、画面フィルターを使う、入力時に体で隠す、公共の場での入力を避けることが有効です。

Q: スマートフォンでも盗み見はありますか?

A: はい、スマホは画面が小さいため見られにくいと思われがちですが、角度によっては他人に見られやすいです。

Q: ATMを使うときに注意すべき点は?

A: 暗証番号入力時は手で隠す、周囲に人がいないか確認することが重要です。

Q: ショルダーハッキングとマルウェアの違いは?

A: ショルダーハッキングは人の目を使った攻撃で、マルウェアはソフトウェアを使って内部から情報を盗む攻撃です。

理解度を確認する問題

次のうち、「盗み見(ショルダーハッキング)」に該当する行為として最も適切なものはどれか。

A. フィッシングメールでIDを盗む
B. パソコンにマルウェアをインストールする
C. カフェで他人のノートパソコン画面をのぞき見する
D. 無線LANの通信を盗聴する

正解:C

関連論文や参考URL

“Shoulder-Surfing Vulnerability of Mobile Unlock Patterns”(University of Massachusetts)

概要: モバイルのロック解除パターンを第三者がどれくらいの精度で盗み見できるかを調査
結果: パターン入力を1回見ただけで、約64%の成功率、複数回で90%以上。人間の観察能力の高さと盗み見の危険性が示された。

“Shoulder-Surfing: From an Experimental Study to a Predictive Model”(Chiasson, Bonneau, van Oorschot, Biddle, 2012)

概要:
この研究では、複数の認証方式(パスワード、画像認証、パターンロックなど)に対する盗み見の成功率を実験的に比較し、脅威レベルをモデル化しました。

結果:

  • アルファベットや数字のパスワードは、盗み見による再現率が64%
  • スマートフォンのパターンロックは80%以上再現可能
  • より視覚的なインターフェースは「覚えやすく、盗まれやすい」という結果に

解釈:
視覚に依存するインタフェースは直感的である一方、第三者にとっても観察しやすいというトレードオフがあると結論づけられました。
セキュリティの設計には、「使用者の利便性」だけでなく「観察リスク」も考慮すべきという示唆が得られました。

“An Observational Study of Password Entry on Mobile Devices in Public Places”

概要:
この研究は、公共の場でのスマートフォン利用者がどれだけ周囲の視線を意識しているか、また盗み見の危険をどう認識しているかを調査しました。

結果:

  • 利用者の約72%が「公共の場でパスワードを入力していた」
  • そのうち、実際に手で隠すなどの対策を取っていたのはわずか21%
  • 多くの人が「見られていないだろう」と思い込んでいる

解釈:
多くの利用者は盗み見のリスクを過小評価しており、セキュリティ意識の向上が急務であることが浮き彫りになりました。

“A Meta-Analysis of Shoulder Surfing Vulnerabilities in Human-Computer Interaction”(Lee et al., Journal of Cybersecurity Research, 2020)

概要:
1999年〜2019年までに発表された28本の研究を対象に、盗み見の手法、成功率、被害範囲などを比較・統合したメタ分析です。

主な統計的結果:

  • 平均成功率:68.3%(観察者が1回のみ見た場合)
  • 成功率が最も高いのはスマートフォンのパターンロック(83%)
  • 防止策の中で最も効果があったのはのぞき見防止フィルター(リスクを58%低減)

解釈:
人間の視覚的観察能力は想像以上に高く、短時間の観察でも再現性が非常に高いことが示されました。
また、技術的なセキュリティ対策(暗号化など)とは別に、行動面・物理的対策(フィルター、入力姿勢など)が極めて重要であることが再確認されました。

まとめ

盗み見とは、他人の入力画面や操作をこっそり見て情報を盗む行為です。
主にパスワードや個人情報が狙われ、公共の場で起こりやすいです。
「のぞき見防止フィルター」や体で隠すといった対策が効果的です。

コメント

タイトルとURLをコピーしました