黒い正方形の謎

2018年7月20日

以下の黒い四角形が何だか、お分かりだろうか。画家マレーヴィチの作品、『黒の正方形』のパロディではない。

この黒い四角形は、Kaspersky Labの製品(たとえばカスペルスキー セキュリティ)で保護されているコンピューターで不審なアプリケーションが撮影したスクリーンショットの様子を示したものだ。なぜこのようになるのか?

当社の製品は、マルウェアによるスクリーンショット撮影を阻止する。なぜかと言えば、サイバースペースで活動する犯罪者が(その他不届き者も含め)、他人のユーザーアカウントにアクセスしたがっているからだ。彼らの動機はさまざまで(お金、諜報活動、功名心、配偶者/競合企業/敵国の監視…)、使用する手段は違っていても、目指すところはいつも同じだ。つまり、ユーザーアカウントにアクセスすることが目的だ。

それにしても、なぜマルウェアはスクリーンショットを撮りたがるのだろうか。Webサイトやソフトウェアでは、パスワードとして入力された文字はそのまま表示されるのではなく、「●」に置き換えられるはずだ。どういうことなのか?

実は、裏をかく方法がいくつもある。

まず、入力したパスワードをそのまま表示させるオプション(「パスワードを表示する」オプションなど)が用意されていることが多々ある。第2に、パスワードの最後の数文字を常に表示させているサービスも多い。第3に、パスワードを入力してから次の入力フィールドに移動しないと、パスワードが「●」表示に切り替わらない場合もある。

第4に、「●」に置き換えて隠すことをせず、パスワードのフォントサイズをごく小さくしているだけの場合もある。誰かが近くに来ても読めないようにする意図だが、マルウェアに対しては抑制力にならない。第5に、パスワードを「●」表示にして隠す機能を無効にするための手法(英語記事)やツールがいくつも出回っている(pwdcrackなど)。要するに、パスワードが画面に表示されてしまう可能性はいくらでもあり、マルウェアはその弱点を簡単に突いてくる。

ちなみに、マルウェアがスクリーンショットを使ってパスワードを読み取る脅威に比べれば、後ろからのぞき見されることや、セキュリティカメラで盗み見られる可能性はごくわずかだ。

おそらく最も有名なバンキング型トロイの木馬Zeusは、スクリーンショット撮影機能を持っている。あまたあるZeusの亜種(英語記事)も同様だ。たとえば、亜種の1つであるKINS(英語記事)は、キーボードのキーが押されたときだけではなく、マウスがクリックされたときにもスクリーンショットを撮影する。つまり、銀行のWebサイトでパスワードやワンタイムコードを入力するときに仮想キーボードを使った場合でも、何を入力したかマルウェアに分かってしまうことになる。

パスワードだけではない。オンラインショッピングのときに入力するクレジットカード情報はどうだろうか。本人確認時やロックされたアカウントのロック解除時に尋ねられる、秘密の質問は?個人情報は?メッセージの内容は?挙げていけばきりがない。

現実問題として、スクリーンショットは、個人情報や秘密を入手するための重要な手段なのだ。それゆえに、スクリーンショットを介して情報が外部の手に渡ってしまわないようにすることには、大いに意味がある。個人情報を守るためには、当然ながら、ネット決済保護セキュリティキーボードといった機能が有効だ。しかし、全員がそうした機能を活用しているわけではない。セキュリティを気にかけている人であっても、活用していない場合がある。それに、サイバー犯罪者が「スクリーンショット」という手段を持っているからには、よくあるセキュリティ機能では完全な保護が保証されない。しかし、私たちには迎え撃つ準備がある。

カスペルスキー製品の多くは、アプリケーションにスクリーンショット撮影を許可するAPI機能を監視する、特許取得済みのテクノロジーを採用している。アプリケーションがスクリーンショットを撮影しようとすると、当社製品は以下のように機能する。

  • どのアプリケーションがウィンドウを開いているかを特定する。
  • 開いているウィンドウに機密データや個人情報が含まれているかどうか、さまざまなコンポーネントやサブシステム(システムウォッチャーネット決済保護など)からのデータに基づいて判定する。
  • 画面へのアクセスを要求しているアプリケーションの信頼度を分析する。
  • スクリーンショットの撮影を許可するかどうかを決定する。許可しない場合、撮影されたスクリーンショットは黒い四角となる。

最後になるが、ほかにも良いことがある。

悪意あるスクリーンショット撮影を阻止するテクノロジーは、未知のサイバー攻撃を検知するのにも役立つ。はっきりした目的もなさそうなのに他の「ウィンドウ」に不可解な興味を示すアプリケーションは評価を下げられ、Kaspersky Security Network(KSN)機械学習によって、またはエキスパートの人為的な作業によって、被害発生前に検知されやすくなる。こうして、あらゆる人々にとって益となるようにインターネットの全体的な脅威レベルを下げるべく、少しずつではあるが、まさに世界規模での尽力および鍛錬されたサイバー分野の頭脳により、私たちは団結して尽力している。