最近では、マウスやキーボードの入力を記録して情報を盗み取るキーロガーと呼ばれるマルウェアが流行しています。
個人だけでなく企業内で利用しているパソコンにも感染してしまうため、情シス担当の方はよりセキュリティ対策に気を配らなければなりません。
そこで本記事では、キーロガーによるマルウェアの感染経路や対策について解説しますので、ぜひ参考にしてください。
キーロガーとは、マウスのクリックやキーボードの操作を記録(ログ)するソフトウェアを指します。マウスやキーボードの記録がわかると、プログラムのデバッグやデータのバックアップとして利用可能です。
しかし、現在では上記のログ情報をもとに、IDやパスワードをはじめとする個人情報を盗むためのマルウェアとして浸透するようになりました。ウイルスとは違い、異常を検知するのが難しい点から、キーロガー被害が増えつつあるのが現状です。
本来の用途としてではなくマルウェアとして認知されているキーロガーには、主に「ソフトウェア型」と「ハードウェア型」の2種類が存在します。
それぞれで特徴が異なるので、どのように違いがあるのかを見ていきましょう。
ソフトウェア型のキーロガーは、トロイの木馬のようなスパイウェアがほとんどで、パソコンなどのデバイスにインストールして情報を取得するタイプです。
近年ではリモートワークも浸透しつつあるため、エンドポイントは企業ではなく個人が管理するシーンが増えつつあります。そうなると、セキュリティが脆弱になりやすく、ソフトウェア型のキーロガーに感染するリスクも増えてしまうでしょう。
ハードウェア型キーロガーは、USBポートあるいはパソコンとキーボードの間に直接接続してキー入力の記録を取得させるタイプです。
中には、キーボード内に組み込まれている可能性もあるため、感染経路が困難になるケースも珍しくありません。さらに、ハードウェア型のキーロガーは、ウイルス対策ソフトで検出がほぼ不可能に近い点も特徴です。
キーロガーはソフトウェア型・ハードウェア型のいずれかによって感染・侵入経路が異なります。では、どのような感染・侵入経路があるのかを見ていきましょう。
ソフトウェア型のキーロガーの感染・侵入経路はメール・Webサイト閲覧やソフトのインストールです。
例として、スパムメールやフィッシングメールに添付されたファイルやリンクをクリックするケースがあります。最近では、精巧に作られた公式サイトに偽装して、インストールやダウンロードをさせる手口も増えており、気付いたら感染しているという事例も少なくありません。
その他にも、
・Webサイトにアクセスするだけでキーロガーがインストールされる
・感染したマルウェアがキーロガーをインストールする
といった経路で感染・侵入する場合もあるでしょう。
ハードウェア型のキーロガーは、パソコンおよび周辺機器に接続するのが感染・侵入経路です。接続する行為自体は簡単ではあるものの、企業や標的となるパソコンに接近できるのかが重要になります。
例えば、清掃員や設備点検作業員になりすまし、企業内部に侵入してパソコンにキーロガー 接続する方法があります。接続したキーロガーは改めて清掃や点検時に回収をすれば証拠は残りません。
あるいは、実際に社員として採用されて潜り込む、実際に働いている社員を買収してキーロガーを接続してもらう方法もあります。接続する際に人為的な操作が必要になる分、難易度は高くなるでしょう。
キーロガーを用いたマルウェアによって、どのような被害が考えられるのでしょうか。
ここでは
・不正アクセス
・不正送金・個人情報漏洩
・マルウェアを組み合わせた被害
以上の3つのキーロガー被害の事例を見ていきましょう。
ソフトやグループウェアのログインに必要なID・パスワードをキーロガーによって取得されてしまうと、内部にある機密ファイルを盗まれてしまうでしょう。
他にも、SNSのアカウントを不正アクセスし、フォローしている方に悪質なリンクを手当たり次第送信する事例もあります。アカウント自体は正当なものなので、他のユーザーが油断してリンクをクリックし、マルウェア感染が広がるというケースも珍しくありません。
キーロガーに感染している最中にネットバンクなどを利用し、ID・パスワードを取得されてしまい、不正送金が行われた事例もあります。
住居に不法侵入し、ハードウェア型のキーロガーを接続、後日回収した後に入手した情報を利用して不正送金させるという新しい手口です。また、ID・パスワード以外にも書類やメールの内容など、個人・機密情報も盗まれてしまいます。
キーロガーを発端として、ワームやランサムウェアなどのマルウェアと組み合わせ、様々な情報を盗まれてしまった事例も少なくありません。その中でも、クリックの瞬間にスクリーンショットを行うスクリーンスクラッパーはキーロガーとの相性がよく、被害も急増しています。
例えば、キーロガー対策として本物のキーボードを使用しない方法がありますが、スクリンスクラッパーを用いれば意味がありません。キーロガーとスクショを通して、何を入力したかが露見してしまうでしょう。
キーロガーに感染していないことを確認するには、検出・発見方法を知っておくべきです。そこで次に、ソフトウェア型・ハードウェア型それぞれの検出・発見方法について解説します。
ソフトウェア型のキーロガーを検出する場合は、ウイルス対策ソフトを用いるのが一般的です。さらに検出感度を高めたい場合には、総合セキュリティ対策ソフトを用いるといいでしょう。
以前まではキーロガーも検出しやすいマルウェアでしたが、トロイの木馬のように認知されにくいタイプも増えています。そのため、セキュリティ対策ソフトを導入する際は、最新版かどうかをチェックしておきましょう。
ハードウェア型キーロガーはセキュリティ対策ソフトで検出・発見するのは困難です。そのため、パソコンおよび周辺機器を目視によって確認するのが適切でしょう。
・パソコンのUSBポートに不審な機器が接続されていないか
・キーボードとパソコンの接続端子の間に不要な機器が接続されていないか
上記の部分をチェックしておけば、ハードウェア型のキーロガーが接続されているか判断可能です。
もしもキーロガーによるマルウェアに感染していることが発覚したら、パソコンを使用せずにインターネットから遮断しておくといいでしょう。キーロガーはあくまでマウスやキーボードの入力履歴を記録するものなので、触れなければ情報入手はできません。
とはいえ、パソコンを使わなければ業務に支障が出てしまうので、セキュリティ対策ソフトを用いて駆除するのが効果的です。また、キーロガーと疑わしきソフトウェアをアンインストールするのもいいでしょう。
ソフトウェアについては、タスクマネージャーから確認可能です。
・Windowsのタスクマネージャー確認方法:「Alt+Ctrl+Delete」を同時押し
・Macのタスクマネージャー確認方法:「Shift+command+U」を同時押し
ハードウェア型のキーロガーの場合は、原因となる機器を取り除けば対処できるため、不審な機器をチェックして取り外しておきましょう。
キーロガーに感染しないためにも、普段から予防策を講じておくべきです。では、どのような予防策があるのかについてまとめましたので、取り入れられるものから早速実行してみましょう。
ソフトウェア型のキーロガー対策として最も効果的なのは、セキュリティ対策ソフトの導入です。
セキュリティ対策ソフトを導入しておけば、キーロガーだけでなくウィルスやワームなどのマルウェア感染を防ぐことができます。
ハードウェア型のキーロガー予防策としては、端末および周辺機器を目視で確認するのがいいでしょう。
パソコンのUSBポートやキーボードと本体の接続部分に不審な機器がないか、毎日チェックしておくと安心です。
安易にWebサイトやリンクを開いてしまうと、マルウェアに感染するリスクが高まってしまいます。そのため、怪しいサイトやリンクは絶対に開かないことを徹底しましょう。
特に、デバイスの管理を個人に任せている企業は、個々のネットリテラシーの向上に努めるようにしてください。
キーボードを画面上に表示させるセキュリティキーボードを利用すると、キーロガーの記録に残らないため、対策として利用できるでしょう。
ただし、前述したようにスクリーンスクラッパーと組み合わせたマルウェア感染の場合には意味を成しませんので注意が必要です。キーロガーだけでなく画面のスクショ・録画ができるマルウェアも増えているので、セキュリティキーボードだけで過信はしないよう気をつけましょう。
キーボードを入力しないために、パスワード管理ツールを用いてあらかじめ登録しておいた文字列を自動入力する方法も1つです。自動入力を用いれば、キーロガーに記録が残らず、情報を読み取られることはありません。
また、キー入力を暗号化しておくツールを用いれば、キーロガーも解読ができなくなります。上記のようなツールを事前に準備しておくと、万が一キーロガーに感染しても、情報を抜き取られることなく対処できるはずです。
本記事ではキーロガーによるマルウェア感染の経路や対策について解説しました。ソフトウェア型のキーロガーに感染しないためには、信頼できるセキュリティ対策ソフトをインストールしておくのが最も効果的です。
毎日のデバイスおよび周辺機器の確認と組み合わせると、ハードウェア型のキーロガー対策もできます。個人情報や機密情報が漏洩してしまうと、会社自体の信用を損なうリスクがあるので、ぜひ徹底した対策・管理のもと、安全な環境で業務を遂行しましょう。
