キーロガー - 定義、検出、防止

キーロガーって何？

キーストロークを記録するツールは広く普及しており、現在使用中の機器に組み込まれている可能性があります。もし機器の使用に同意しているか、または端末のソフト群にあらかじめ含まれていたなら、その機能自体は問題ではありません。ただし、悪意ある目的や被害者の同意なしに使用される場合は問題となります。

すべてのキーロガーは、正当な使用か不正な使用かを問わず、同様に動作します。利用者が入力するすべてのキー操作を記録し、第三者がメール、サイト訪問、検索内容、パスワード、ユーザ名など全ての入力ログを閲覧できるようにします。キーストロークマルウェアにはいくつかの種類があります：

フィッシングメッセージ：フィッシングメール、インスタントメッセージ、SNS投稿、ブログ投稿内のリンクをクリックまたはダウンロードすることで、誤ってキーストローク追跡型のマルウェアを取り込む恐れがあります。

トロイの木馬型マルウェアは、古代ギリシャがトロイ戦争で用いた巨大な木馬に由来します。正当なファイルやアプリに偽装し、被害者を騙してインストールさせる手法です。

ゼロデイ攻撃は、プログラマーが未発見のソフトウェア脆弱性を見つけ、悪意あるウェブコンテンツやトロイの木馬を利用してマルウェアを拡散する際に発生します。脆弱性が発見されると、すでに対策が困難な状況に陥っています。

一度侵入されたシステムは、以後の攻撃に対しても防御が難しくなるため、特に危険です。

システム汚染：キーロガーは、一度感染すると機器全体やシステム全体に悪意あるソフトをインストールする可能性があります。

キーロガー型マルウェアは、他の感染と同様の方法でPCに侵入するほか、意図的に購入・ダウンロードされる場合もあります。つまり、設置する者や収集した情報の利用方法によって、単なるツールにも武器にもなり得るのです。

‍

キーロガーの歴史

キーロガーは記録技術の黎明期からスパイ活動の手段として用いられてきました。ウィキペディアによれば、1970年代から1980年代半ばにかけ、政府の諜報活動など様々な目的で利用されました。

1970年代、ソ連の潜入捜査員は、モスクワやサンクトペテルブルクにある米国大使館・領事館のIBMセレクトリックタイプライターを対象とした、非常に画期的なハードウェア型キーロガーを開発しました。印字ヘッドが回転し各文字が打たれる際、各タイプライターの限られた面にかすかな印が記録されました。（ちなみに、ソ連の外国大使館では、秘密情報記録の際に電動タイプライターよりも手動タイプライターが好まれていました。）

以降もいくつかのキーロガーは存在しましたが、商用キーロガーの開発と利用は1990年代半ばから後半にピークを迎えました。その時期、一斉に多くの新製品が市場に登場したためです。以降、販売される商用キーロガーは数百種類にまで増え、各々が異なるユーザー層を対象とし、様々な言語に対応しています。

従来は個人ユーザーを狙った詐欺目的で利用されることが多かったキーロガーですが、企業や国家による支援を受けたキーロガー利用も深刻な脅威です。まず低位の従業員をフィッシング攻撃で乗っ取り、徐々に組織内で権限を拡大していく手口が用いられます。

実際のキーロガーの脅威

機密情報に関する社会的要因が、キーロガーに有利な状況を与えることがあります。

思わず漏れてしまう可能性のある情報：

• パスワード
• Mastercardなどのクレジットカード番号
• 会話内容
• 銀行口座番号

広告主や犯罪者などの第三者は、このような機密情報を重宝します。情報が収集・保存されると、窃盗の対象となる恐れがあります。

実際、正当な利用であっても、情報漏洩により記録されたキーストロークログが明らかになることがあります。不安定または管理されていない機器や、フィッシング攻撃によって、意図せず情報が流出する場合もあります。マルウェア等を用いた直接的なハッカー攻撃も、情報漏洩の一般的な原因です。情報を大量に収集する企業も標的となり得ます。

ハッカーが利用するキーロガーは、情報を捕捉・悪用する恐れがあります。ドライブバイダウンロードなどでマルウェアに感染すると、一瞬で情報にアクセスされ、気付いた時にはすでに被害が広がっている可能性があります。

‍

ハッカーがキーロガーを使う目的

悪意ある目的のため、不正なキーロガー使用は同意、規約、ソフトウェア所有権を無視します。この利用ケースがしばしば想定されています。

キーロガーは、不正目的で使用されると機密情報を収集する悪意あるソフトです。パスワードや金融情報などが捕捉され、第三者に提供されて犯罪に悪用されます。

ハッカーがキーロガーを犯罪目的で利用する例は、以下の通りです：

• 元パートナーや友人、その他本人の同意のない相手を追跡する
• 友人のオンラインアカウント情報を盗み、SNSやメールの監視に利用する
• Visa番号などの個人金融情報を捕らえ、盗む

キーロガーが犯罪領域に踏み込むと、マルウェアとして扱われます。セキュリティソフトは全ての利用状況を考慮するため、キーロガーが重大な脅威として認識されない場合もあります。アドウェアとしての存在は、極めて目立たない場合があるのです。

‍

正当なキーロガーの利用目的

キーロガーを利用する個人または組織は、以下の法的要件を遵守する必要があります：

• 情報の不正利用がないこと
• 対象が未成年の場合、所有者、製造者、または法定代理人であること
• 各自の管轄法に従って使用すること
• この一覧は同意が必須であることを示しています。現地の法律で要求されない限り、同意取得は必須ではありませんが、本人に知られていない場合は不適切と言えます

利用規約や契約書に明記されることで、キーストローク記録が許容されるケースもあります。たとえば、公共Wi‑Fi利用時の「同意する」ボタンのクリックや、企業との契約に含まれる場合です。

キーロガーは、以下の正当な目的で利用されることが一般的です：

• ITトラブルシューティングで、利用者の問題を把握し、的確に解決するため
• ソフトウェア開発において、利用者の入力情報を収集し、製品改善に役立てるため
• 企業のサーバ上で、不正な利用者の行動を監視するため
• 企業資産が安全に利用されているかを確認するための従業員監視

正当なキーロガーは、想像以上に日常生活に広く存在しています。監視対象者が同意している場合、情報管理は通常可能です。業務以外での利用を望まない場合は、同意を拒否することもできます。

キーロガーの実態

ユーザーの同意や知識なしにコンピュータ上で行われる各キーストロークの追跡・記録が、キーストローク記録と呼ばれます。キーボードのボタン操作はすべて『キーストローク』とされます。

キーストロークにより、コンピュータに指示を伝えているのです。各操作が、何を実行すべきかをプログラムに知らせます。

これらには、以下の情報が含まれることがあります：

• キーの押下時間
• 押下された時刻
• キーを押す速さ
• 使用されたキーの名称

これらの情報が記録されると、まるで秘密の会話を盗み聞きされているかのようです。端末は裏切っていなくても、誰かがその全てを聞き取り、記録しているのです。生活がデジタル化するにつれ、機密情報が大量にやり取りされています。

記録されたキーストロークは、利用者の行動パターンや個人情報の分析に利用される恐れがあります。オンラインバンキングの認証情報から社会保障番号、SNS、メール、閲覧サイト、さらにはインスタントメッセージに至るまで、様々な情報が含まれています。

以上、用語の定義を踏まえると、キーロガーがどのように入力情報を記録するかが理解できるでしょう。

キーロガーの種類（2タイプ）

1. ソフトウェア型

キーロガーは、機器のハードディスクに導入されるPCアプリです。以下にキーロガーソフトの例を紹介します。

アプリ間のAPIを利用するキーロガーは、各キーストロークと入力先のアプリ間で送受信される信号を記録します。APIにより、ソフトウェア開発者とハードウェアメーカーは共通の『言語』でやり取りができ、システムAPIに気付かれずに介入し、各キーストロークをシステムファイルに記録します。

『フォームグラビング』を用いるキーロガーは、ウェブフォームに入力された情報がサーバに送信される前に、ローカルで記録されたデータを盗み見します。

管理者権限を持つビット型キーロガーは、システムのカーネルに組み込まれ、セキュリティを突破して、入力された全情報にアクセスすることが可能です。

2. ハードウェア型

機器に内蔵または接続される物理装置がハードウェアキーロガーです。機器に接続されていなくても、一部のハードウェア方式はキーストロークを追跡できる場合があります。代表的なハードウェアキーロガーを以下に挙げます。

キーボード用ハードウェアキーロガーは、インターフェースポートに接続するか、キーボード自体に組み込まれ、最も直接的な方法で入力内容を捕捉します。

キーストロークを盗み聞きするため、隠しカメラ型キーロガーが図書館などの公共施設に設置される場合もあります。

機器に接続されると、USBキーロガーが物理的なトロイの木馬となり、キーストローク記録型マルウェアを配信する恐れがあります。

‍

キーロガーの検出と除去

機器にキーロガーが存在する兆候はあるでしょうか？判断は難しいですが、他のマルウェアと同様に、Malwarebytesなどの信頼できるアンチウイルス・マルウェア対策ソフトを用いて検出・除去することが可能です。

低品質なキーロガー（例えば、マルウェア）は、様々な形で現れる可能性があります。動作が低下したり、全体のウェブ閲覧に影響が出ることもあります。マウス操作や入力が遅れ、入力内容が画面に現れない、また画像やページの読み込み時にエラーが表示されるなど、何らかの違和感がある場合は注意が必要です。

特定の企業向けキーロガーは、システム全体の動作低下を引き起こすことは少ないです。通常、これらは通常のファイルや通信に偽装し、遠隔のサーバに報告を送ります。場合によっては、企業のPC環境で監視の警告が表示されることもありますが、ユーザーがアンインストールを試みても再度インストールされる可能性があります。

堅牢な企業向けセキュリティソリューションでネットワークを常時監視することが、キーロガーからシステムや機器を守る最良の方法です。例えばMalwarebytesは、ヒューリスティック分析、シグネチャ認識、通常のキーロガーの行動パターン（キーストロークや画面キャプチャ）の検出を通じ、マルウェアを発見・除去します。マルウェア感染やキーロガー、その他の脅威が懸念される場合は、無料でMalwarebytesを試してみるとよいでしょう。

キーロガーによる感染の防止

機器をキーロガーから守るため、以下のリスクを回避しましょう：

• 利用規約や条件に同意する前に、必ずしっかりと目を通してください。登録前に、同意する内容を十分に理解することが大切です。また、インストールしたいソフトの利用者レビューを確認するのも有益です。
• すべての機器にセキュリティソフトを導入してください。悪意あるキーロガーは、ソフトとして導入されるケースが多く、有能なセキュリティソフトがあれば感染から守ることができます。
• セキュリティソフトが最新の脅威情報に更新されているか確認を。キーロガーを正確に検出するため、全ての既知の定義ファイルが必要です。最先端の製品は自動更新機能を持っていることが多いです。
• スマホやPCの管理には十分注意してください。万が一、第三者に機器を一時的にでも取得されると、それだけでキーロガーが導入されるリスクがあります。常に機器を身近に保つことが重要です。
• 全ての機器のソフトを最新の状態に保ってください。OS、アプリ、ウェブアプリに最新のセキュリティパッチを適用し、更新があれば速やかにダウンロード・インストールしてください。
• 信頼できるUSBフラッシュや外付けハードドライブのみを使用してください。犯罪者は、これらのデバイスを公共の場に放置し、誰かが拾って使用するのを狙う場合があります。接続されると、キーロガーが自動的に起動し、記録を始める恐れがあります。

キーロガー型マルウェアを防ぐ堅牢なアンチスパイウェアを導入することは、どの手法を採用しても最も確実な防御策です。強力なキーロガー対策機能を備えた総合的なインターネットセキュリティソフトの利用を推奨します。

最近、Wallarmはウェブセキュリティ製品を提供する中で、最も信頼性が高く安全な企業の一つとして評価されています。各種テストにおいて、WallarmはAPIセキュリティ製品やGoTestWAFなどで、サイバー脅威に対して比類なき性能と安全性を示しました。