キーロガーとは?

キーロガーは、入力データを傍受するツールです。キーロガーの特徴は何か、入力データを盗み見られないためにどうしたらいいか、確認しましょう。

最近の高度なマルウェアツールは複数の異なるコンポーネントで構成され、それぞれが異なる機能を持っています。これらプログラムは、個別のツールというよりも、いわばスイスのアーミーナイフのようなもので、攻撃者は侵入先のシステムで多種多様な攻撃を実行できます。そんな攻撃ツールキットにほぼ必ずといってよいほど入っているのが、キーロガーです。キーロガーは、マシン上のキー入力すべてを記録する非常に特殊なツールで、大量の重要な情報を密かに盗み出すことができます。

キーロガーの定義
キーロガーは、被害マシンのキーボードの入力情報を傍受、記録するソフトウェアまたはハードウェアのことです。通常はキーボードとオペレーティングシステムの間に居座り、ユーザーに知られることなく通信すべてを傍受します。記録したデータは、被害マシン内にローカル保存されるか、外部通信機能を持った大規模な攻撃ツールキットの一部であれば、攻撃者が管理するリモート PC へと送信されます。キーロガーという単語は不正ツールと関連付けて語られることが多いのですが、法執行機関が正規の監視ツールとして利用する場合もあります。

キーロガーの種類
キーロガーにはさまざまな種類があり、主にソフトウェアベースとハードウェアベースに分けることができます。最も広く利用されているのはソフトウェアベースで、その多くはトロイの木馬やルートキットなど、大規模なマルウェアの一部として組み込まれます。標的マシンへ物理的にアクセスすることなくツールを忍び込ませやすいことから、ハードウェアベースよりも扱いやすいのが特徴です。ソフトウェアベースでよく見られるのが、標的マシンのオペレーティングシステム上でAPIになりすまし、キー入力すべてを記録するタイプです。また、カーネルレベルのキーロガーや、Man-In-The-Browser(MITB)型のキーロガー、その他さらに複雑なタイプも存在します。

一方のハードウェアベースは、標的マシンに実装するのがより難しいことから、あまり多く出回っていません。ハードウェアベースのキーロガーの場合、製造工程または導入後のいずれかのタイミングで標的マシンへ物理的にアクセスし、実装します。BIOSレベルのキーロガーなど、一部のタイプは悪意ある内部関係者の手によって製造工程でインストールされることがあります。その他のタイプは、USBフラッシュドライバーを介してインストールされるか、またはキーボード用の偽コネクターとしてキーボードのケーブルとPCの間に設置されます。たしかにインストールは大変なのですが、OSに依存しないので、攻撃者にとっては柔軟性の高いツールです。

キーロガーとは、被害マシンのキーボードの入力情報を傍受し、記録するソフトウェアまたはハードウェアのことです。

感染方法
ソフトウェアベースのキーロガーのほとんどは、大規模なマルウェアの一部として配信されます。標的マシンは、PC内の既存のぜい弱性を悪用する不正なWebサイトにアクセスした結果、ドライブバイダウンロードで感染することがあります。これ以外にも、キーロガーは正規のアプリケーションの一部として、不正侵入されたアプリ提供先からダウンロード、またはマルウェアが挿入されたアプリケーションをダウンロードしてインストールされることがあります。ハードウェアベースのキーロガーは通常、標的のマシンへ物理的に近づける攻撃者によってインストールされます。

検知と削除
不正なキーロガーは、その他の不正プログラムでよく見られるふるまいをしないため、検知が難しくなります。一部のマルウェアのように、標的のマシン上で価値あるデータを探してC&Cサーバーに送信することもなく、マシン上のデータを破壊することもありません。キーロガーは、目立たずに検知されないよう設計されています。アンチマルウェア製品は既知のキーロガーを検知し削除できますが、カスタマイズされたキーロガー、または特定の攻撃に合わせて作られたキーロガーの場合、侵入先のマシン上での動作によっては、すぐに不正ソフトウェアと認識することができません。マシン上にキーロガーがあると疑われる場合、回避する方法はいくつかあります。具体的には、CDまたはUSBドライブからPCをブートさせるか、または画面上の仮想キーボード(たとえば、カスペルスキー インターネット セキュリティの機能である「セキュリティキーボード」)を利用します。仮想キーボードは、キーボードの入力情報をマルウェアが取得できないようにします。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?