Home » » ショルダーサーフィンとは何ですか?

ショルダーサーフィンとは何ですか?

コンピュータ セキュリティには、多くのリスクと、それらのリスクが取り得るさまざまな形態が存在します。ショルダーサーフィンはソーシャルエンジニアリングの一形態です。これは、攻撃者が被害者のデバイスを調べることによって情報を入手する攻撃のクラスを指します。これには歴史的に肩越しに物理的に監視することが含まれていましたが、隠しカメラなどを使用した手法も含まれます。

ショルダーサーフィンの典型的な例は、攻撃者がペイメント カードの PIN を入力しているときに被害者の肩越しに視線を向ける場合です。このタイプの攻撃を認識すると、積極的に手を覆い、もう一方の手で PIN を入力するなどの行動の変化が生じています。一部の決済端末には、PIN パッドを覆うプライバシー カバーが組み込まれています。一部の ATM では、肩越しに確認するようユーザーに注意を促しています。肩越しに確認できる小さな鏡が付いている場合もあります。

注: ATM ミラーは小さく、多少曇っていることがよくあります。これは意図的なものです。肩越しに確認できる程度で十分です。また、上手に配置された攻撃者に PIN を閲覧できるようにするには不十分です。

これらの対策は、現実世界におけるより高度な技術につながりました。多くの犯罪企業は、隠しカメラを利用して PIN パッドを監視しています。より離れた場所にいて、双眼鏡や望遠鏡を使って安全な距離から PIN パッドを見る人もいます。サーマルカメラは、ボタンに触れたときにボタンに残る残留熱を利用して PIN を識別するためにも使用されています。場合によっては、スキマー デバイスがデバイスの前面に配置され、実際のボタンが覆われています。この最後のケースでは依然として PIN とカードの詳細が盗まれていますが、実際の観察は必要なかったため、厳密にはショルダー サーフィンとしてカウントされません。

その他の状況

もちろん、ショルダーサーフィンは他のシナリオでもリスクとなる可能性があります。短いシークレットを持つシステム、特に番号付き PIN パッドでは、このリスクにさらされます。攻撃者は、セキュリティ ドアに入力されたコードを監視したり、金庫を開ける際のタンブラーの位置を監視したり、パスワードの入力を監視したりする可能性があります。

注:単一の PIN をキーパッドで長期間使用すると、使用しただけでボタンが磨耗したり汚れたりすることがあります。これは、より極端な変形ではあるものの、熱画像の概念に似ています。通常、セキュリティ ドアには、承認された全員が知っている 1 つの PIN があり、頻繁には変更されないため、セキュリティ ドアにのみ適用されます。

攻撃者がパスワードの入力を監視するというシナリオは、コンピュータ セキュリティにおいて特に興味深いものです。積極的にパスワードを他人に教えることはできないかもしれませんが、パスワードを入手する方法は他にもあります。フィッシングは比較的よく知られているリスクですが、過小評価されがちです。ショルダーサーフィンもまた別のリスクです。このリスクは、周囲の人々をコントロールできない公共の場で特に当てはまります。家庭や職場環境では、見当違いかもしれないが、信頼性に対する期待が大きくなる。

たとえば、カフェにいるときに攻撃者が肩越しにパスコードを見て携帯電話にサインインする可能性があります。ラップトップを使用している場合も、攻撃者は同じことを行う可能性があります。パスワードを素早く入力すると、キーが目立つようになり、見分けやすくなるので簡単です。

その他のコンテンツ

多くの場合、ショルダーサーファーの最大のターゲットは、価値の高い小さなものです。PIN とパスワードは短く、比較的簡単に識別して覚えられ、資金、アカウント、デバイスなどにさらにアクセスできるため、これには理想的です。他の場合には、攻撃は純粋に日和見的なものである場合もあれば、スパイ活動などの特定の標的の結果である場合もあります。

日和見攻撃は、攻撃者にとって有益ではないものの、機密性の高いものを観察する傾向があります。たとえば、公共交通機関で働くビジネスマンもいます。彼らは、財務予測やその他のあらゆる種類の機密情報、内部情報、非公開情報を含む機密文書を扱う場合があります。近くに座っている人が画面を見て情報を収集できる可能性があります。

この場合、攻撃者は実際の攻撃者でさえない可能性があります。彼らは好奇心はあるかもしれませんが、学んだことを使って何かをするつもりはありません。ただし、常にそうなるとは限らず、それを判断する方法もないため、公共の場所で機密情報を扱う場合は注意が必要です。この概念は、機密性の高い個人コンテンツ、特に写真やビデオにも当てはまります。繰り返しになりますが、他の誰かがあなたの画面を見ている可能性があります。たとえそれ以上共有しなかったとしても、それは依然として望ましくない侵入である可能性があります。

スパイ活動やソーシャル エンジニアリングの文脈では、攻撃者は画面上の機密情報を閲覧するために、意図的に被害者や場所をターゲットにする場合があります。これは、パスワードのように攻撃者に直接アクセスを提供するとは限りません。前の例と同様に、他の機密情報も攻撃者にとって貴重な情報となる可能性があります。

結論

ショルダーサーフィンはソーシャルエンジニアリング攻撃の一種です。これには、攻撃者が被害者の行動や画面を見て情報を収集することが含まれます。ショルダー サーフィンでは主に、パスワードまたは PIN を識別する試みが対象となります。また、企業や政府の機密や漏洩情報などの個人情報を画面上で見ようとする試みも対象となります。ショルダーサーフィンは本質的に、盗聴したり、聞こえるはずのない会話を聞いたりするのと視覚的に同等です。


Leave a Comment

Powerbeats Proがケースで充電できない場合の対処法

Powerbeats Proがケースで充電できない場合の対処法

Powerbeats Proが充電できない場合、別の電源を使用し、イヤフォンを清掃してください。充電中はケースを開いたままにしてください。

3Dプリントの基本:必見のメンテナンスチェックリスト

3Dプリントの基本:必見のメンテナンスチェックリスト

設備を良好な状態に保つことは必須です。ここでは、3Dプリンターを最良の状態に保つための役立つヒントをご紹介します。

キヤノン Pixma MG5220: インクなしでスキャンする方法

キヤノン Pixma MG5220: インクなしでスキャンする方法

インクが切れた場合にキヤノン Pixma MG5220でスキャンを有効にする方法。

ノートパソコンが過熱する5つの理由

ノートパソコンが過熱する5つの理由

ノートパソコンが過熱する可能性のある理由と、この問題を回避してデバイスを冷却するためのヒントやコツを見つけましょう。

GeForce Now エラーコード 0xC272008F 修正方法

GeForce Now エラーコード 0xC272008F 修正方法

ゲームを楽しむ準備が整い、『Star Wars Outlaws』をGeForce Nowでプレイしようとすると、エラーコード0xC272008Fが発生。Ubisoftゲームを再び遊ぶための唯一の解決策を見つけましょう。

3Dプリンティングの基本:3Dプリンターのメンテナンステクニック

3Dプリンティングの基本:3Dプリンターのメンテナンステクニック

3Dプリンターを維持することは、最高の結果を得るために非常に重要です。念頭に置くべき重要なヒントをご紹介します。

プリンターのIPアドレスを見つける方法

プリンターのIPアドレスを見つける方法

プリンターの使用しているIPアドレスがわからなくて困っていますか?その情報を見つける方法をお教えします。

Samsungの電話でAirPodsを使用する方法

Samsungの電話でAirPodsを使用する方法

Samsungの電話用にAirPodsを購入するかどうか迷っているなら、このガイドが役立ちます。もっとも明白な質問は、両者が互換性があるかどうかです。

修正:ChromebookがBluetoothデバイスに接続しない

修正:ChromebookがBluetoothデバイスに接続しない

BluetoothデバイスをChromebookとペアリングできない場合は、Bluetoothオプションを無効にして、ラップトップを再起動します。

ダブルVPNとは何ですか?シングルVPNよりどれだけ優れていますか?

ダブルVPNとは何ですか?シングルVPNよりどれだけ優れていますか?

ダブルVPNは、ネットワークの使用状況を監視している人からユーザーを保護するための優れた解決策です。