ハードウェア・ビデオ・ロガーも非常にあぶない件

2015/05/07 06:00

通知

　前回はHKL(Hardware Key Logger)についての記事であったが、今回はHVL(Hardware Video Logger)についてである。

通知

　HVLは、HKLの進化した形である。キーボードの操作だけでなく、操作画面を盗聴するものである。今回試用したものは、市販されていて、日本でもオンラインショピングで容易に入手(15,000円程度)できる。HKLを市販しているメーカーで、様々なタイプのHKLを開発・市販している。

　HKLについては、自作できるようにPS/2用の基板だけを提供している。ハードウェアの仕組みについても詳しく解説されており、同様の製品の動作を知るためには貴重な情報源である。

　今回入手してテストした機器は以下のようなものである。一緒に写っているのは前回話題にしたHKLである。

　今回入手したものはHDMI,VGA,DVIなどにも対応した製品が市販されている。PCとビデオコネクタとの間に挿入して使用する。このシステムでは画像をキャプチャするために電源が供給されなければならないために、USBコネクタが別に用意されている。ここから電源だけを供給することになる。

　従ってシステムとしては、通常のビデオケーブルと電源供給のみのUSB機器が接続されていることになるために、HKL同様にコンピュータの画面出力が盗聴されていることを検知することはきわめて難しい。

　HVLの製造元では、業務外にPCを使用をしていないかを監視するなどの目的で使用することを推奨しているが、悪用も容易である。業務外にPCを使用していることを監視する目的であれば、操作ログを記録するソフトウェアでもかまわないし、十分に抑止力を生み出すこともできる。

　HVLで従業員などの監視を行う目的としては、不正行為を行っていると見られる従業員の監視や証拠を掴むなどが考えられる。産業スパイなどの行為は証拠を掴むことが重要となるので、操作ログを記録するソフトウェアをインストールすると監視に気付かれてしまうことが予想されるために、ハードウェアで監視し、証拠をつかむ、ということは考えられるだろう。

　一方で悪用することを考えると、例えば、コールセンターのようにUSBメモリーの使用や、印刷、ネット接続などが機能的に禁止されているときに、ビデオ出力から情報を盗むことは考えられる。画面に個人情報を表示させるだけで、それをHVLに記録させることができる。なんらかのタイミングでHVLの装置を接続する必要があるものの、一度取り付けられてしまうと検知は技術的に困難であるために、意図的に接続を行い情報を盗もうとするときにHVLは犯行に使われることが考えられる。

　また、HKLなどと併用することによって、効果的に情報を盗むことが考えられる。重要なシステムへのログイン画面の遷移を確認しながら、打ち込まれたキー操作を盗むことができるからである。

　当製品では、USBは電源供給のみに使われているが、付属の赤いUSB装置を間に挿入することによって、保存されたデータをUSBメモリーとして認識された機器から取り出すことができる。

　このようなハードウェアを用いた情報漏洩などは日本では大きく報道されたことはないと思われるが、このようなHKL同様に米国等のフォレンジック調査会社では、このようなハードウェアを用いた盗聴行為についての相談が少なくないようだ。なぜ日本ではこのような機器による盗聴が話題になっていないのかといえば、産業スパイや国家的なスパイ行為に対するモチベーションの低さがあげられるかもしれない。

　知的財産を守ろうとする動機も低いが、知的財産を盗もうという動機も低いのかもしれない。しかし、日本での外国人労働者の増加や海外拠点での活動の増加などが進めば、米国並みにこのような機器による盗聴行為を発見したり、調査、防止することが課題になる日が来るかもしれない。

　HKL同様にHVLも技術的には検知は可能であるものの、明確に検知をすることは困難である。少なくともウイルスワクチンソフトや資産管理ソフトでこのような機器の検知ができる製品は一般的ではない。一番確実な検知方法は、「目視」である。機構上、どうしても物理的に取り付けなければならないために、目視で見つけることは容易である。しかし、どのPCに取り付けられているかがわからないので、定期的に全数をチェックするのは難しいかもしれない。

　HVLはビデを出力の中間に挿入するために、単体のPCとビデオ出力のケーブルが必須になるので、ノートPCには取り付けることができない。単体のPCの場合、内部に取り付けることも考えられるので、注意が必要である。また、ビデオケーブルに容易に触れられないようにPCやモニターの設置を行うことは有効である。

　内部犯行への対策は、一般的に以下のようなものである。

監視カメラ
有人による持ち込み管理
金属探知機
操作ログ取得
操作画面の遠隔監視
外部記憶媒体の制限と厳重な管理
プリンタ使用の制限と厳重な管理

　このような対策はコールセンター業務を行っている場所だけでなく、システム管理者など広がりを見せている。個人情報は、制限や管理をされるようになると闇市場での価値が上がり、盗む側の動機が高まり漏洩する、ということが繰り返されてきた。

　今後も管理が進めば進むほど、個人情報の闇市場での価値が上がり、盗む動機が高まり、HKLやHVLを用いた情報漏洩への対策が課題になることも考えられるので、ケーブルの取り回しの整理や定期的な目視の実施などを検討したほうがいいだろう。

　同時に、このような機器の検知技術についての情報収集も行っておいたほうがいいだろう。いろいろな機器が市販されているので、勉強会などで話題にしてもいいだろう。

この記事は参考になりましたか？

印刷用を表示

S&J三輪信雄のセキュリティニュースレター連載記事一覧: WannaCryは終わらない―パッチ未適用問題と閉鎖的ネットワークにおける対策

JTB子会社の発表にみる、「漏れたことがわからないから漏れてない」論の限界【追補】

もう「感染は避けられない」とか言わない！VDIによるマルウェア対策のいま

もっと読む

この記事の著者: 三輪信雄（ミワノブオ）

日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
Ｓ＆Ｊ株式会社代表取締役

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事