平成31年度 春期 ITパスポート試験 問89 解説 ショルダーハックの防止策

ソーシャルエンジニアリングにおけるショルダーハックとは、背後から端末の画面をのぞき見て、パスワードや機密情報を盗み出す手口を指します。この手口を防ぐためには、物理的に視線を遮ることが最も直接的で効果的な対策となります。したがって、画面の視野角を制限するのぞき見防止フィルムを貼ることが正解となります。

ショルダーハックの対策を考える際は、攻撃者がどのような手段で情報を盗もうとしているかをイメージするのがコツです。ショルダーハックは、特別な技術的な脆弱性を突くのではなく、人の不注意や物理的な隙を突くアナログな手法です。そのため、ファイアウォールなどのソフトウェア的な対策ではなく、覗き見を物理的にブロックする対策が有効となります。

選択肢の他の項目を確認すると、これらは別のリスクに対する対策であることがわかります。

OSを常に最新の状態にすることは、OSの脆弱性を突くウイルスやマルウェアの攻撃を防ぐために重要ですが、背後からの覗き見を防ぐ直接的な手段ではありません。

位置情報機能をオフにすることは、アプリによる過度な追跡を防ぎプライバシーを守るための対策です。紛失した際に位置が特定されないための対策にもなりますが、これも覗き見とは関係がありません。

ストラップを付けることは、落下による故障や盗難のリスクを減らす物理的な対策です。紛失を防ぐという点ではセキュリティ向上に役立ちますが、これもショルダーハックの防止策としては適していません。

情報セキュリティの試験対策では、攻撃の手口と、それに対する適切な防御手段をセットで覚えることが重要です。ソーシャルエンジニアリングには、ショルダーハック以外にも、ゴミ箱をあさって情報を盗むトラッシングや、信頼できる人物になりすましてパスワードを聞き出す電話攻撃などが存在します。これらはいずれも技術的な防御だけでなく、人間の行動や物理的な環境を意識した対策が必要になるという点で共通しています。

• JPRS 用語辞典：ショルダーハッキング（ショルダーサーフィン）