ログに残らない情報流出:スマートフォン撮影事故が遅れて発覚する理由
セキュリティ事故の調査は、多くの場合ログから始まります。誰がどのファイルをダウンロードしたのか、どこへ送信したのか、どのプロセスが実行されたのかを確認しながら、事故の経緯を組み立てます。しかし、スマートフォンでモニター画面を撮影した事故は出発点から異なります。確認すべきログが、そもそも残っていないことが多いのです。
検知を避けるために画面を撮影した事例
2026年2月、米国司法省は元Googleエンジニアを含むシリコンバレーのエンジニア3名を営業秘密窃取の容疑で起訴しました。起訴状によると、被告らはGoogleおよび他のテクノロジー企業から、プロセッサセキュリティ、暗号化、モバイルコンピューティング関連の機密情報を不正に持ち出した疑いがあります。
セキュリティチームが注目すべきなのは流出手法です。司法省は、被告らが検知を避けるため、文書全体を外部プラットフォームへ送信する代わりに、文書内容が表示された画面を直接撮影した事例に言及しています。Googleの内部セキュリティシステムが一部の活動を検知し、アクセス権が取り消された後も、数か月にわたって画面撮影が続いたとされる内容も起訴状に含まれています。
この事例が示すのは、単に「スマートフォンで画面を撮った」という事実ではありません。重要なのは、攻撃者がセキュリティシステムで観測できる経路と、観測できない経路を区別して行動していた点です。ファイルダウンロード、クラウドアップロード、メッセンジャー送信は検知される可能性があります。一方、画面に表示された情報をカメラで撮影すれば、従来のログモデルの外へ出てしまいます。
DLPが見落とすもの
DLP(Data Loss Prevention)は、機密データが許可されていない経路で移動する場合にそれを検知します。メール添付、クラウドアップロード、USBコピー、スクリーンショットAPI呼び出し、クリップボード操作などが主な監視対象です。スマートフォンによる画面撮影は、この前提から外れます。
従業員が顧客情報画面を開き、個人スマートフォンで撮影すると考えてみましょう。会社PCではファイルがコピーされず、ネットワークトラフィックも発生せず、USBも接続されません。OSのスクリーンショットAPIは呼び出されず、クリップボードにも何も残りません。DLPから見ると、何も異常がない状況に見えます。実際には、画面上の情報がスマートフォンを通じて外へ出ているにもかかわらずです。
EDRとSIEMも同じ限界を持ちます。EDRはエンドポイント内部の行動を監視し、SIEMは複数システムのログを集約して分析します。どちらもデジタルな痕跡を前提にしています。スマートフォン撮影は、会社PCの外で発生する物理的な行為です。個人スマートフォンが会社の管理対象でなければ、EDRはカメラアプリの使用を把握できず、SIEMには収集すべきログがありません。撮影された画像が後から個人のセルラー回線や自宅Wi-Fiで送信されれば、会社ネットワークには最後まで痕跡が残らない可能性があります。
事故はどのように発覚するのか
では、この種の事故はどのように見つかるのでしょうか。多くの場合、セキュリティチームが最初に検知するわけではありません。
最も多い経路は、社外で流出物が見つかることです。競合先の資料、オンライン投稿、ダークウェブ、捜査過程で確保されたスマートフォン画像を通じて、後から知ることになります。その時点で、情報はすでに社外へ出ています。
退職者調査で手がかりが見つかることもあります。退職予定者や元従業員の個人端末、クラウドアカウントを確認する中で、画面撮影画像が見つかるケースです。もちろん、これも事後調査です。撮影された時点ではアラートは発生していません。
同僚からの報告に依存する場合もあります。ただし、これは同僚のセキュリティ意識や報告意思に左右されるため、一貫性がありません。管理者がすべての画面を確認できないコールセンター、R&Dエリア、リモートワーク環境では特に脆弱です。
深刻なケースでは、捜査機関からの連絡で初めて認知することもあります。家宅捜索や被疑者のスマートフォンフォレンジックの結果を受け取った企業が、「いつ、どこで、どの画面が撮影されたのか」を自社ログだけで立証できない状況に置かれる可能性があります。
「遮断」の前に必要な「イベント化」
画面セキュリティの話になると、撮影試行の瞬間に画面を隠したりロックしたりする機能をまず思い浮かべがちです。それも重要ですが、セキュリティ運用の観点では、その前段階がより根本的です。疑わしい行動をイベント化することです。
既存DLPがファイル移動をイベントとして残すように、画面セキュリティは画面の前で発生する危険行動をイベントとして記録する必要があります。どのユーザーのPCで、いつ、どの種類の行動が検知されたのか。繰り返しの試行なのか、単発の誤検知なのかを判断する材料はあるのか。事後監査や内部調査で実際に使える記録が残る必要があります。そうして初めて、セキュリティチームは単なる疑いではなく根拠をもって対応できます。
ウォーターマークだけでは足りない
画面ウォーターマークは抑止力や事後追跡に役立ちます。流出画像にユーザー情報、端末情報、時刻情報が残っていれば、責任の所在を把握しやすくなるのは事実です。ただし、ウォーターマークには構造的な限界があります。
追跡が可能なのは、企業が流出画像を入手できた場合に限られます。画像が社外に出ても企業がそれを確保できなければ、ウォーターマークは調査に使えません。また、ウォーターマークは撮影された瞬間の情報露出そのものを防ぐことはできません。顧客個人情報やソースコードがすでに撮影された後では、事後追跡は被害拡大を抑える補助的手段にすぎません。意図を持った内部者は、画面の一部だけを撮影したり、ウォーターマーク領域を避けたりして回避する可能性もあります。
リアルタイム検知なしに事後追跡だけで対応するには限界があります。
監査体制で見落としやすいこと
技術を導入するだけでは不十分です。セキュリティチーム、プライバシー担当者、現業部門の管理者が同じ基準で運用できるポリシーが必要です。
イベント画像のセキュリティは見落としやすい部分です。疑わしいイベントが発生した際、画面画像やウェブカメラ画像がイベントと一緒に保存される場合があります。これらの資料は調査に役立ちますが、管理者ダッシュボードにそのまま表示すると、別の情報露出経路になり得ます。画像の閲覧は、理由、承認、閲覧者、閲覧時刻を残す形で制限し、閲覧行為そのものも監査イベントとして記録するべきです。
ポリシーの細分化も実務上重要です。すべての疑わしい行動を同じ強度で扱うと、運用疲れがすぐに発生します。R&D、財務、人事、カスタマーサポート部門には一般事務部門より高い基準を適用し、退職予定者や外部委託人員のようにリスクが高まる期間には、アラート基準を一時的に強化する運用が現実的です。
従業員への説明は信頼に直結します。カメラベースのセキュリティ技術が何を検知し、どのデータをどこに保存し、誰がアクセスできるのかを明確に説明する必要があります。常時監視ではなく、特定の危険行動を検知するための仕組みであるという原則を文書化しなければ、従業員の反発につながる可能性があります。
調査手順も事前に決めておく必要があります。イベントが発生したとき、誰が確認し、どの基準で誤検知を判断し、いつセキュリティ責任者や現業管理者へ報告するのかが明確でなければ、技術ログがあっても実際の対応につながりません。
既存のセキュリティ体制と接続すべき理由
画面セキュリティは、独立したツールとして扱うよりも、既存のセキュリティ体制と接続した方が効果を発揮します。
DLPはファイルとデータの移動を見ます。EDRはエンドポイント内部の行動を見ます。IAMはアカウントと権限を管理します。SIEMは統合ログ上の異常を確認します。画面セキュリティは、これらのツールが見られない物理的な撮影試行の空白を埋めます。
たとえば、退職予定者が機密資料に繰り返しアクセスしている同じタイミングでスマートフォン撮影イベントが発生した場合、それぞれのシグナルは単独では弱く見えても、組み合わせると高いリスクを示します。夜間勤務中に顧客情報画面で撮影イベントが繰り返し発生したコールセンター担当者も同様です。アカウント、権限、データアクセス、画面撮影イベントを接続して見ることで、内部脅威対応の精度は高まります。
スマートフォンによる画面撮影は、新しい攻撃手法ではありません。昔から存在する物理的な行動です。変わったのは環境です。機密情報はクラウドアプリ、SaaSツール、リモートワーク環境、コールセンター、R&Dシステムの画面上に、以前より頻繁に表示されるようになりました。そのため、同じ行動の危険度が高まっています。
既存のセキュリティツールはデジタルな痕跡を見るのが得意です。画面の前で行われる撮影行為は、その痕跡をほとんど残しません。多くの画面撮影による流出が、セキュリティチームの検知ではなく、外部からの報告、捜査、退職者調査、流出物の発見によって後から明らかになるのはそのためです。
このログのない領域をセキュリティ運用の中へ取り込むこと。それが画面セキュリティに求められる役割です。
実際の業務環境でMonitorDogがスマートフォン撮影の試みをどのように検知し、セキュリティイベントとして記録するのかを確認したい場合は、無料デモをお申し込みください。
参考資料
- U.S. Department of Justice, "Silicon Valley Engineers Charged With Stealing Trade Secrets From Leading Tech Companies And Transferring Confidential Data To Unauthorized Locations, Including Iran" (2026.02.19): https://www.justice.gov/usao-ndca/pr/silicon-valley-engineers-charged-stealing-trade-secrets-leading-tech-companies-and
- SC Media, "Your DLP can't stop a smartphone: The data-leak crisis no one talks about" (2026.03.23): https://www.scworld.com/resource/your-dlp-cant-stop-a-smartphone-the-data-leak-crisis-no-one-talks-about
