「カフェで仕事中、隣の人に画面を覗かれた気がする」そんな経験はありませんか。
ショルダーハッキングとは、背後から覗き見るだけでパスワードや機密情報を盗む手口です。
専門知識も特別な機器も不要で、「目で見て覚えるだけ」で犯行が成立します。
社外で会社のPCを使う機会が増えているにもかかわらず、利用ルールが明確でない企業は少なくありません。
もし、被害に遭ってしまったら?会社全体に被害が及ぶ可能性も十分にあり得ます。
そこでこの記事では、ショルダーハッキングを自分事としてとらえてもらうために、実際の事件事例と具体的な対策を紹介します。
ショルダーハッキングとは?意味と基礎知識
ショルダーハッキングは、サイバー攻撃の中でも地味で見落とされやすい手口です。
まず定義と位置づけを整理しておきます。
ショルダーハッキングの定義
ショルダーハッキングとは、他人の背後や側面から、パスワード・暗証番号・業務上の機密情報の入力・表示画面を覗き見して情報を不正に入手する行為です。
英語では「shoulder surfing(ショルダーサーフィン)」とも呼ばれています。
専用ツールや高度な知識が不要なため、技術力のない人物でも容易に実行できる点が特徴です。
覗き見られる対象として多いのは、以下のような情報です。
- ・ネットバンキング・社内システムのログインパスワード
- ・クレジットカード番号・暗証番号
- ・業務メール・顧客情報・社外秘の資料
ショルダーハッキングは身近な油断から重大な情報漏洩に発展するリスクがあります。
公共の場やオフィス内であっても、画面や手元を周囲に見せないような徹底した対策が必要です。
ソーシャルエンジニアリングの一種である
ショルダーハッキングは、「ソーシャルエンジニアリング」の手口の一つに分類されます。
ソーシャルエンジニアリングとは、技術的な手法に頼らず人間の心理や行動の隙をついて機密情報を盗む攻撃手法の総称です。
・フィッシング(偽サイトへの誘導)
・なりすまし(電話で社員を装う)
・トラッシング(ゴミ箱から書類を回収する)
などと並ぶ代表的な手口です。
技術的な防御策だけでは防ぎきれないため、人的な対策と組み合わせる必要があります。
実際に起きたショルダーハッキングの事件事例
「覗かれるくらい大したことない」という認識は危険です。
実際に起きた事件を通じて、被害の現実を見てみましょう。
【この章で紹介する事件事例】
・アルバイト先のスーパーでカード情報を覗き見・不正利用
・職場内で上司の手帳のパスワードを盗み見た
・カフェ・電車内での業務情報の盗み見
・スマホカメラを使った「映像記録型」の手口
アルバイト先のスーパーでカード情報を覗き見・不正利用
あるスーパーマーケットで、レジ係のアルバイトをしていた人物が、会計中に買い物客のクレジットカード番号・有効期限を目視で覚え、航空券の不正購入などに繰り返し悪用していた事件が発生しています。
複数の顧客のカード情報が被害を受けており、不正購入の被害総額は1,000万円以上にのぼったとされています。
この事件から読み取れるのは、以下の2点です。
・情報セキュリティの専門知識がない人物でも、日常の業務の中でショルダーハッキングを実行できる
・被害者側に落ち度がなくても、公共の場でのカード操作は覗き見のリスクにさらされている
職場内で上司のパスワードを盗み見・不正アクセス
ある公的機関に勤務する職員が、上司の手帳に書かれたパスワードを盗み見て、職場のシステムに繰り返し不正アクセスした事案があります。
取得した人事関連情報は、スマートフォンで撮影して複数の同僚にメッセージアプリで送信されており、情報が組織内でさらに拡散していたことも判明しています。
この事案が示す教訓は2点です。
・デジタル画面だけでなく、紙に書かれたパスワードも盗み見の対象になる
・加害者が組織内部の人物であり、かつ情報が二次拡散するケースがある
カフェ・電車内での業務情報の盗み見
テレワークや外出先での業務が普及したことで、カフェや電車内でPCを開いて作業する機会が増えました。
この変化が、ショルダーハッキングのリスクを一気に高めています。
業務中の社員が気づかないうちに、メールの内容・顧客情報・システムのパスワードが流出しているケースも報告されています。
スマホカメラを使った「映像記録型」の手口
近年増えているのが、スマートフォンのカメラで画面を撮影・録画する手口です。
自然な動作を装って近くに置いたスマホで録画するため、被害者が気づきにくいのが特徴です。
一度記録されれば後からゆっくり解析できるため、複雑なパスワードでも解読されるリスクがあります。
統計が示すショルダーハッキングの実態
「自分には関係ない」と感じていても、ショルダーハッキングは捜査・検挙に至る実害として毎年発生しています。
国家公安委員会・総務省・経済産業省が共同で公表している「不正アクセス行為の発生状況」(令和7年3月公表)によると、令和6年に検挙した不正アクセス事件のうち、「利用権者からの聞き出し・のぞき見」を手口とするものが51件(全体の約10%) にのぼっています。
| 手口 | 件数 | 割合 |
|---|---|---|
| パスワードの設定・管理の甘さにつけ込んで入手 | 174件 | 34.1% |
| 元従業員や知人等による犯行 | 107件 | 20.9% |
| 他人から入手 | 67件 | 13.1% |
| 利用権者からの聞き出し・のぞき見 | 51件 | 10.0% |
| フィッシングサイトにより入手 | 41件 | 8.0% |
| その他 | 71件 | 13.9% |
出典:国家公安委員会・総務省・経済産業省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
また、同統計では令和6年に検挙した不正アクセス事件の被疑者の約68%が10〜20代であることも示されており、専門知識のない若年層でも実行可能な手口であることがわかります。
ショルダーハッキングの被害を防ぐために
覗き見によるパスワード流出は、個人の注意だけでは限界があります。
パスワードが盗まれた場合でも被害を最小限に抑えるには、侵入後の不審な通信を監視・遮断するUTMも有効です。
UTMは複数のセキュリティ機能を1台に集約できるため、コストを抑えながら本格的な対策が始められます。
製品の詳細や導入のご相談は、お気軽にお問い合わせください。
ショルダーハッキングが起きやすい場所と狙われやすい情報
「自分は外で機密情報を扱っていない」という認識も、確認が必要です。
業務上のパスワード入力や資料確認が発生する場面は、思いのほか多くあります。
危険な場所5つ
ショルダーハッキングが起きやすい場所を整理すると、以下の5つが代表的です。
| 場所・シチュエーション | 発生しやすい状況(なぜ危険か) |
| カフェ・コワーキングスペース | 背後に他の利用者がいる状況が常態化しており、壁のない席では画面が完全に見える。 |
| 電車・新幹線の車内 | 距離が近く、隣席や立ち乗りの乗客から、スマホ・PCの画面が自然と視野に入る。 |
| 空港・ホテルのラウンジ | 長時間の作業が多くなるため注意が緩みやすく、機密情報を扱う時間も長くなる。 |
| 会議室・オープンオフィス | 外部のベンダーや来客など、社外の人物が出入りする場所では、画面が意図せず第三者の目に触れる。 |
| ATM・コンビニ端末 | 後方に並ぶ人物から視線を向けられやすく、物理的な距離も近くなりやすい。 |
外出先での業務が当たり前になった現在、これらの場所を「安全な場所」と捉えている社員がいるとすれば、早急に認識を改める必要があります。
狙われやすい情報の種類
| 情報の種類 | 想定される被害 |
|---|---|
| パスワード・暗証番号 | 社内システム・ネットバンキングへの不正アクセスに直結 |
| 社内メール・顧客情報 | 画面を覗かれるだけで機密情報が漏洩 |
| 業務資料・設計図 | 移動中にPCで資料を開いたまま盗み見られるリスク |
| クレジットカード情報 | EC・決済サービスのログイン画面からの窃取 |
とりわけパスワードは、一度盗まれると変更するまで継続的に悪用されるリスクがあります。
被害が発覚しにくいため、長期にわたって不正アクセスが続くケースもあります。
社員の「不注意」が会社全体のリスクになる理由
ショルダーハッキングは、社員1人の問題ではなく、会社全体で考えるべき問題です。
【この章で紹介する内容】
・ショルダーハッキングを知らない社員は狙われる
・セキュリティ教育が行き渡っていない中小企業は多い
・社内共有・啓発で被害を防げる可能性が高くなる
ショルダーハッキングを知らない社員は狙われる
「ショルダーハッキング」という言葉自体を知らない社員もいるでしょう。
危険を認識していなければ、カフェでパスワードを入力する際に身を守る行動もとれません。
1人の社員のパスワードが盗まれた場合、そこから起きる被害はその社員個人では収まらないため、対策は必須です。
具体的には、次のような被害の発生が考えられます。
- ・社内システムへの不正アクセスで、顧客情報や機密ファイルが流出する
- ・メールアカウントが乗っ取られ、取引先へのなりすましメールが送られる
- ・社内ネットワークへの侵入口として利用され、ランサムウェアに感染する
いずれも、パスワードを盗まれた社員に悪意がなかったとしても、企業全体に深刻な損害を与えてしまいます。
セキュリティ教育が行き渡っていない中小企業は多い
多くの中小企業で、ウイルス対策ソフトや基本的なITツールの導入は進んでいます。
一方で、社員へのセキュリティ教育まで行き届いている企業は多くないでしょう。
・業務が忙しく、セキュリティ教育に時間を取れない
・IT人材を雇う余裕がない
・研修を行うための予算がない
など、社員にセキュリティ教育を行う余裕がないためです。
また、「そもそも大企業と違い、悪用されるような情報がない」と考えている企業も多いでしょう。
しかし、規模の小さい企業ほど対策が薄く、攻撃者から見れば「狙いやすい標的」です。
セキュリティ対策は「ツールを入れる」だけでは完結しません。
人的な対策も見直しましょう。
社内共有・啓発で被害を防げる可能性が高くなる
今回のような事件事例を社内で共有するだけでも、社員の意識は大きく変わります。
たとえば、以下のような方法を社内で取り入れてみてください。
- ・朝礼・定例ミーティングでのセキュリティ事例の紹介
- ・社内チャットやメールでの注意喚起
- ・「外出先でのPC・スマホ操作ルール」の明文化
これらはコストをほぼかけずに今日から始められる対策です。
中小企業のサイバーセキュリティ対策については、以下のページで詳しく解説しています。
▶中小企業サイバーセキュリティ対策の始め方|最初にやるべき手順と具体策を解説
ショルダーハッキングの防止策8選
ショルダーハッキング事件に遭わないために、具体的な防止策を行いましょう。
ここでは、以下8つの防止策を紹介します。
【この章で紹介する内容】
・覗き見防止フィルターをPCに装着する
・背後が閉じた席・壁際の座席を選ぶ
・画面の輝度を下げ、傾きを調整する
・パスワード入力時は手や体で視線を遮る
・多要素認証(MFA)を全サービスに設定する
・定期的なセキュリティ教育を実施する
・UTM・ウイルス対策ソフトで組織全体を守る
・防犯カメラで物理的な対策を行う
①覗き見防止フィルターをPCに装着する
手軽かつ効果的な対策がPCにのぞき見防止フィルターを付けることです。
製品によって異なりますが、正面以外の角度からの視認性を大幅に低下させる効果が期待できます。
外出や出張の多い社員には、会社として一括配布することを検討してください。
②背後が閉じた席・壁際の座席を選ぶ
カフェや会議室では、背後が壁になる席を優先するよう社員に徹底しましょう。
他者の視線が画面に向かない環境を意識的に選ぶだけでも、ショルダーハッキングに遭う可能性を下げられます。
習慣として定着させるために、社内ルールとして展開してください。
③画面の輝度を下げ、傾きを調整する
画面の明るさを下げると、斜め方向からの視認性が大幅に低下します。
また、画面を自分側に傾けることで他者の視野に入りにくくなります。
機密情報を扱う際は、画面の向きと明るさを意識的に調整してください。
④パスワード入力時は手や体で視線を遮る
ATMで暗証番号を入力する際に手で覆うのと同じ発想です。
キーボード入力時に手や体で視線を遮ることで、覗き見のリスクを下げられます。
認証情報の入力時には、この「物理的な遮蔽」を習慣化しましょう。
⑤多要素認証(MFA)を全サービスに設定する
万が一パスワードを盗まれても、MFA(多要素認証)を設定していれば不正ログインのリスクを大幅に下げられます。
MFAとは、パスワード入力後にスマートフォンへの通知やSMSコードなど、別の認証手段を追加する仕組みです。
Microsoft 365・Google Workspaceなどの業務で使うクラウドサービスにはMFA機能が用意されており、管理者が設定・適用できます。
「パスワードが盗まれること」を前提に、不正ログインが困難な状態を作ることが重要です。
⑥定期的なセキュリティ教育を実施する
今回のような事件事例を社内で共有することを、定期的な習慣にしてください。
公的機関の研修資料を参考にしたり、外部の研修サービスを利用するのもよいでしょう。
実際にあったショルダーハッキング事件を社内に共有するだけでも効果があります。
できる範囲で、社内のセキュリティ意識を高めていきましょう。
⑦UTM・ウイルス対策ソフトで組織全体を守る
個人の注意だけでは、うっかりミスをゼロにするのは困難です。
組織として整えるべき技術的な対策として、UTMとウイルス対策ソフトの導入を検討してみてください。
UTM
インターネットと社内ネットワークの接続点(入り口)に設置するセキュリティ機器です。
ファイアウォール・不正侵入の検知・Webフィルタリング・スパムフィルタリングなど複数のセキュリティ機能を1台に統合しており、社内ネットワーク全体を監視・防御します。
UTMはネットワーク全体を監視し、不審な通信パターンやマルウェアの侵入を検知・遮断します。
ただし、盗まれた正規の認証情報による不正ログイン自体の検知には限界があるため、MFAとの併用が重要です。
また、マルウェアによる不審な外部通信など、既知のパターンに合致する通信をネットワーク全体で監視するため、被害の連鎖を抑制しやすくなります。
ウイルス対策ソフト
PCやスマートフォンなどの端末にインストールして、端末への不正プログラムの侵入・実行を防ぎます。
UTMがネットワークの入り口を守るのに対し、ウイルス対策ソフトは端末そのものを守る役割を担います。
⑧防犯カメラで物理的な対策を行う
防犯カメラの設置は、ショルダーハッキングに対して物理的な抑止力になります。
ショルダーハッキングが起こりやすいのは、社外のカフェや公共交通機関ですが、社内でも発生する可能性はあります。
たとえば、以下のような状況です。
・来客者や業者が執務エリアに入り、社員の画面を視界に収める
・隣席の社員が意図せず(あるいは意図的に)ログイン画面を覗き見る
・会議室でのプレゼン中に、関係者以外が映写内容を記録する
防犯カメラを執務エリアの入退室箇所などに設置することで、「覗き見ようとしても記録されている」という心理的プレッシャーを与える効果が期待できます。
万が一事件が発生した場合も、映像が証拠として残るため、原因の特定や法的対応がしやすくなるのもメリットです。
ただし、防犯カメラはあくまで「記録・抑止」であり、リアルタイムでの検知・遮断を行うものではありません。
まずは、ショルダーハッキングに対して、社員の意識を高めましょう。
そのうえで、セキュリティ機器の導入を検討してみてください。
弊社は、防犯カメラの専門業者であり、UTMやウイルス対策ソフトも併せて提案できるのが強みです。
社内のセキュリティ対策を見直したいとお考えの場合は、ぜひお気軽にお問い合わせください。
ネットワークも、物理も。セキュリティは「内と外」からまとめて守る
サイバーセキュリティ対策が不安なら、
ぜひ弊社トリニティーにお任せください。
防犯カメラもUTMの導入にも対応できます。
ショルダーハッキングの罰則・法律上の扱い
被害を受けた際の法的な対応を知っておくことも、経営者・管理者として重要な知識です。
覗き見行為を直接罰する法律は現状存在しない
覗き見行為そのものを直接禁止・処罰する国の法律は、現時点では存在しません。
ただし、場所や行為態様によっては各都道府県の迷惑防止条例が適用される場合があります。
盗み見た情報を悪用した行為については、以下の法律が適用される可能性があります。
| 行為 | 適用される可能性のある法律 | 罰則の目安 |
|---|---|---|
| 盗み見たパスワードでシステムへ不正ログイン | 不正アクセス禁止法 | 3年以下の拘禁刑または100万円以下の罰金 |
| 盗み見た情報で営業秘密を持ち出し・漏洩 | 不正競争防止法 | 10年以下の拘禁刑または2,000万円以下の罰金 |
| 他人のクレジットカードを無断使用 | 刑法(詐欺罪) | 10年以下の拘禁刑 |
「覗くだけでは犯罪にならない」という認識が、被害者側の対応を遅らせる原因にもなります。
盗まれた情報が悪用された時点では、すでに別の犯罪が成立しているケースがほとんどです。
※本記事に記載している法律・罰則の内容は、一般的な情報提供を目的としたものです。
個別の事案への適用可否や具体的な対応については、弁護士などの専門家にご相談ください。
被害が発覚した場合の対処手順
被害を受けた、または疑われる場合は、以下の順で対応してください。
① 証拠を保全する
ログイン履歴・アクセスログ・監視カメラ映像など、証拠となり得るデータを削除・上書きしないよう保全します。
② パスワードを即時変更する
被害を受けたサービス・システムのパスワードをすぐに変更し、不正アクセスの継続を防ぎます。
③ 警察のサイバー犯罪相談窓口に相談する
都道府県警察のサイバー犯罪相談窓口または最寄りの警察署に被害を相談し、被害届の提出を検討します。
ショルダーハッキングに関するよくある質問
最後にショルダーハッキングについてよくある質問を紹介します。
Q. ショルダーハックの事例はどんなものがありますか?
スーパーのレジ業務中にアルバイトが買い物客のクレジットカード情報を覗き見て不正利用した事件、公的機関の職員が上司の手帳のパスワードを盗み見てシステムへ不正アクセスした事案、カフェや電車内で業務用PCの画面を覗かれた被害などがあります。
Q. ショルダーハッキングとは何ですか?
他人の背後や側面からパスワードや機密情報の入力・表示画面を覗き見て情報を盗む手口です。専門的な技術や機器が不要で誰でも実行できる点が特徴です。
Q. ショルダーハッキングに罰則はありますか?
覗き見る行為そのものを直接処罰する法律は現時点では存在しません。ただし、盗み見た情報を使って不正ログインした場合は不正アクセス禁止法(3年以下の懲役など)、営業秘密を持ち出した場合は不正競争防止法(10年以下の懲役など)が適用される可能性があります。
Q. ソーシャルエンジニアリング攻撃の例にはどんなものがありますか?
ショルダーハッキング(覗き見)のほか、フィッシング(偽サイトや偽メールで情報を詐取する)、なりすまし(電話で社員を装いパスワードを聞き出す)、トラッシング(ゴミ箱から機密書類を回収する)などが代表的な手口です。
いずれも人間の心理や行動の隙を突く点が共通しています。技術的な対策だけでなく、人的な対策との組み合わせが重要です。
まとめ
ショルダーハッキングとは、パスワードや機密情報を「覗き見るだけ」で盗める、シンプルで身近な脅威です。
- 【このページのまとめ】
- ・スーパーのレジ・公的機関・カフェ・電車など、身近な場所で実際に被害が起きている
- ・特別な技術がなくても実行できるため、社員の身近な人物が加害者になり得る
- ・1人の社員のパスワードが盗まれると、社内システム全体への不正アクセスに発展するリスクがある
- ・社員がショルダーハッキングを「知らない」こと自体が、企業にとって深刻なセキュリティリスク
- ・対策は覗き見防止フィルター・MFA・セキュリティ教育など個人・組織の両面から実施する
今、自社でショルダーハッキングについて社員に周知できていない場合、セキュリティ対策が十分とはいえません。
まず社内で、ハッキング事件について共有し、危機意識を高めましょう。
そのうえで、個人の対策だけでは防ぎきれないリスクに備えるために、ネットワーク全体を守るUTMや、端末を守るウイルス対策ソフトの導入も検討してみてください。
弊社は中小企業のセキュリティ対策に必要なUTM・ウイルス対策ソフトを取り扱っています。
「どんな製品があるかわからない」という段階でも、お気軽にご相談ください。
