物理・アナログ系の攻撃と対策
攻撃視点の分類 → セキュリティ脅威マップ / レイヤーA「人をだます・物理に触れる」
コンピューターを攻撃する前に、紙・画面・人・その場から情報を盗む、いちばんアナログな手口です。むずかしいハッキングの知識はいりません。「捨てた書類をあさる」「肩ごしに画面をのぞく」「落ちているUSBを拾わせる」「人について建物に入る」——こうした 目の前のすきま を突きます。デジタルの守りをどれだけ固めても、机の上・ゴミ箱・カバンの中が無防備なら、そこから情報はもれてしまいます。
このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向けの実装/設定。まず🟢を全員で、🔧は技術担当が押さえる。
1. このジャンルの攻撃とは
ネットワークごしではなく、現実の場所・モノ・人 をねらって情報を盗む攻撃です。攻撃者は次のようなことを狙います。
- 見て盗む — 画面・書類・ホワイトボードを横からのぞき見る
- 拾って盗む — 捨てた紙・置き忘れたPCやスマホ・落とし物のUSBを手に入れる
- 入りこんで盗む — 人について建物に入り、無人の席や機材に近づく
- 仕掛けて盗む — キーボードの記録装置や小型カメラをこっそり設置する
合言葉は 「鍵より人とモノ」。どんなに強いパスワードでも、入力しているところを後ろから見られたら意味がありません。これも、人の油断や習慣を突く ソーシャルエンジニアリング(人をだます技術) の一種です。
2. 主な手口
| 手口 | ねらい | 典型例 |
|---|---|---|
| ゴミ箱あさり(ダンプスターダイビング) | 捨てた紙から情報を拾う | 顧客名簿・パスワードのメモ・社内資料をシュレッダーせず捨てる |
| のぞき見(ショルダーハッキング) | 画面・書類を盗み見る | カフェや電車で肩ごしにパスワードや資料を見る |
| 落とし物USB(USBドロップ) | 拾わせて挿させる | 駐車場やトイレにわざとUSBを置き、好奇心で挿させて感染 |
| 共連れ・尾行(テールゲーティング) | 他人について入館する | 入館中の人の後ろにぴったり付いて、認証なしで中に入る |
| 離席PC・クリアデスク違反 | 無人の端末・書類を使う | ロックせず席を離れた隙にPCを操作、机の書類を撮影 |
| 盗難・紛失 | 機器ごと持ち去る | 置きっぱなしのノートPC・スマホ・USBを盗む/落とす |
| 不正機器の設置 | こっそり記録する | キーロガー(入力を記録する装置)や小型カメラを仕掛ける |
🟢 なぜ「アナログ」があなどれないか
これらの手口は 特別な技術がいらない のがこわいところです。誰でも、いつでも、その場でできてしまいます。しかも ログ(記録)に残りにくい——のぞき見られても、書類を撮られても、システム側には何のあとも残りません。
→ だから対策も 「目に見える習慣」 が中心になります。席を立つときの画面ロック、書類のシュレッダー、知らない人を中に入れない。デジタルの防御とちがって、全員の小さな行動 がそのまま守りになります。
3. 実例・典型シナリオ
- カフェ/新幹線でのぞき見: ノートPCで作業中、隣の席から画面の顧客リストや、入力中のパスワードを見られる。資料を広げて打ち合わせした内容がまるごと筒抜けになることも。
- ゴミから顧客名簿: シュレッダーにかけず捨てた印刷物が、清掃のタイミングで持ち出される。請求書・名簿・パスワード付箋が、そのまま流出。
- 駐車場で拾ったUSB: 「誰のだろう?」と拾ったUSBを会社のPCに挿した瞬間、マルウェアが起動。好奇心と親切心を逆手に取られる。
- すれ違いざまの共連れ入館: 「両手がふさがっているので…」とドアを押さえてもらい、認証カードなしでオフィスに侵入。礼儀正しさが悪用される。
- 置きっぱなしのPC盗難: 会議室や受付にノートPCを置いたまま離席。戻ったら本体ごとなくなっている。中の情報がディスク暗号化されていなければ、データは抜かれ放題。
4. 対策
🟢 基礎(全員がやること)
- 席を離れたら画面ロック — ほんの数秒でも
Windows + L(Mac はControl + Command + Q)。スマホも自動ロックを短めに。 - 書類はシュレッダー — 名前・住所・社内情報が載った紙は、捨てる前に必ず裁断する。
- のぞき見防止フィルターを使う — カフェ・電車・空港など、人の多い場所で作業するときは画面に貼る/立てる。
- 拾ったUSBは挿さない — 出どころ不明のUSB・ケーブルは絶対に自分のPCへ挿さず、管理者に届ける。
- 社員証の貸し借り・共連れを断る — 知らない人を「ついで」に中へ入れない。「カードをお願いします」と声をかける勇気を持つ。
- PC・スマホ・書類を置きっぱなしにしない — 離席時はしまう/持ち歩く。机の上を片づける(クリアデスク)。
- 機密の話を公共の場でしない — 電車・エレベーター・カフェでの仕事の会話は、誰かが聞いている前提で控える。
🔧 応用(エンジニア・運用)
- 入退室管理を整える — ICカードや生体認証で記録を残し、共連れ検知(アンチパスバック) やセキュリティゲートで「1人ずつ」の入室を徹底する。
- デバイス制御を有効化 — USBポートを制御し、未許可のUSBメモリ・外部ストレージを 使えない/読み取り専用 にする(資産管理ツール・EDRで一括設定)。
- ディスク暗号化を全端末で — BitLocker(Windows)/ FileVault(Mac) を必須化。盗まれてもデータを読めなくする。
- 施錠廃棄・溶解処理 — 機密書類は施錠回収ボックスに入れ、溶解処理やシュレッダー業者 に委託。廃棄証明を残す。
- 資産管理台帳を整備 — 誰がどのPC・スマホ・USBを持っているかを台帳化。紛失時にすぐ特定できるようにする。
- 監視カメラとクリアデスク監査 — 重要区画にカメラを設置し、抜き打ちで「机に機密が放置されていないか」を点検する。
- 紛失時のリモートワイプ/MDM — モバイル端末管理(MDM)で、紛失・盗難時に 遠隔ロック・遠隔消去 できる体制を用意しておく。
5. 解説動画(実在確認済み)
このジャンルに特化したIPA公式動画は、下の「映像コンテンツ一覧」から探せます。物理セキュリティ・内部不正・標的型攻撃など、関連するテーマの教材が公開されています(社内研修向けに動画ファイルの配布もあり)。
- IPA「映像で知る情報セキュリティ」 — https://www.ipa.go.jp/security/videos/index.html
- IPA「情報セキュリティ10大脅威」 — https://www.ipa.go.jp/security/10threats/
6. チェックリスト
🟢 全員
- 席を離れるときは画面ロック(
Windows + L)が習慣になっている - 機密が載った書類はシュレッダーで裁断してから捨てている
- 人の多い場所ではのぞき見防止フィルターを使っている
- 拾ったUSBは挿さず、知らない人の共連れ入館は断れる
- PC・スマホ・書類を置きっぱなしにせず、公共の場で機密の話をしない
🔧 エンジニア・運用
- 入退室を記録し、共連れ検知・1人ずつの入室を徹底している
- USBポート制御で未許可デバイスを使えなくしている
- 全端末でディスク暗号化(BitLocker/FileVault)を必須化している
- 機密書類の施錠廃棄・溶解処理と資産管理台帳を運用している
- MDMで紛失・盗難時のリモートロック/ワイプができる
7. 関連ジャンル・出典
関連ジャンル
- セキュリティ脅威マップ(分類ハブ)
- なりすまし・フィッシング系の攻撃と対策 — 人をだます心理操作のデジタル面
- 内部不正系 — 正規権限を持つ人の持ち出し・悪用
- マルウェア系 — 落とし物USBからの感染など
出典(一次情報)
- IPA「映像で知る情報セキュリティ」 — https://www.ipa.go.jp/security/videos/index.html
- IPA「情報セキュリティ10大脅威」 — https://www.ipa.go.jp/security/10threats/
- JPCERT/CC(標的型攻撃・物理的な情報持ち出しへの注意喚起)
- NIST(Cybersecurity Framework/物理アクセス制御のガイドライン)