こうしたキー操作を盗聴する仕組みをキーロガーという。キーロガーは、PCのキーボード操作を記録してユーザ名やパスワードなどを盗み出すものだ。キーボードで押したキーそのものを盗聴して、外部に送信する機能をいう。マルウェアに感染すると、このようなキーロガーが使われることが多い。これによって、オンラインバンクの暗証番号などが盗まれてしまう。
キーロガーには、ソフトウェアタイプとハードウェアタイプがある。マルウェアや偽セキュリティソフトなどでPCにインストールされるものがソフトウェアタイプであり、キーボードとPCの間に物理的に挿入されるものが代表的なハードウェアタイプである。ハードウェアタイプには、これ以外にもいくつかの種類がある。
実際にこのキーロガーを用いたサイバー犯罪として報じられているものとして、2004年にロンドンの欧州三井住友銀行に仕掛けられたキーロガーが挙げられる。この事件は未遂に終わったものの、不正送金しようとした金額は当時のレートで440億円にのぼるものであったと報じられている。報道によるとキーロガーが銀行内のコンピュータに仕掛けられていたとのこと。報道によって違いがあるものの、一部の報道ではハードウェアタイプのキーロガーが仕掛けられていた、とのことである。犯人が実際にソーシャルエンジニアリングを用いて、数回にわたり銀行内に侵入して、複数台のPCにキーロガーを仕掛けたと報じられている。
キーロガーによる情報収集は、キーボードの操作そのものを記録されているので、通信の暗号化では防ぐことはできない。閲覧しているホームページのURLや、ウィンドウに表示されているタイトル文字列なども収集されれば、閲覧しているホームページのユーザIDやパスワードなどを盗聴することができてしまう。マウスの動きなども収集されれば、より正確な情報を与えてしまう。
しかし、この場合のキーロガーはWindowsなどのOS上で動作するソフトウェアなので、技術的には検出が可能である。そして、その記録をネットを介して送り出すので、その段階でも検出は可能である。もちろん、未知のマルウェアや暗号化通信などで、検出が困難であることもある。
ところが、これがハードウェアの場合、検出はきわめて困難となる。例えば、上司のPCにハードウェア・キーロガー(以降HKL)を仕掛けて、メールや社内システムなどのパスワードを盗み出して悪用しようとすることも可能になる。あるいは、経理部門のPCにHKLを仕掛けて、オンラインバンクのパスワードを盗み出して不正送金をすることもできるかもしれない。または、メールやメッセンジャーなどで打ち込まれたキーボード操作も盗聴できるので、秘密のメールやメッセージでも覗き見られてしまうことになる。
このようなHKLは海外では容易に入手可能である。今回、そのHKLをオンラインショップで米国から数千円で入手して試用してみた。以下の写真のようにUSBキーボードのコネクタとPCの間に挟み込むように接続する。キーボードのUSBコネクタより一回り大きいが、よく見ないと違和感に気づかない。
HKLを接続してみる
*WiFiを用いた本実験は、筆者が日本で入手したものを米国出張した際に行ったものです。
接続はたったこれだけだ。元のキーボードのコネクタを抜いて、HKLを間に入れるだけなので、数秒の出来事である。キーボードのUSBコネクタが抜かれて、また刺されても、特に画面表示は出ない。このHKLは、PCから見れば元々接続されていたキーボードのままだからである。あくまでも電気的にキーボードの信号を取り出しているだけなのである。
このようなHKLは、自身にキーボード操作を記録して、後で回収して中身を見ることになる。つまり、取り付けと取り外しの作業が必要になる。また、容量には限界があるので、一定量以上になると溢れてしまう。あるいは、目的のパスワードが打ち込まれていないかもしれない。
今回試用した機種では、キー操作をWiFiを介してメールで受け取ることができる。一定量にキー操作が行われたり、一定時間が経過すると、ログがメールで送信されてくるのだ。この機能を使えば、社内のWiFiを経由してログを送信し続けることができる。
あるいは、たまたまつかむことのできる公衆WiFiや自分のスマホのテザリングを介すれば、社内LANを介さずに気づかれることなくログを外部に送信し続けることができる。電源はUSBから給電されているので、PCが電源が入っていれば、ずっと動き続けることができる。最初に取り付けに成功さえすればよく、回収の必要は無い。
しかも、内部に保存されているキー操作のログなどは暗号化を施せるので、いつからどんな情報を収集していたのかも知られることがない。いつから、という情報があれば、物理的な情報などと合わせて犯人を特定できるのであるが、それも隠蔽することができる。
実際に接続してログを送信してみたのが、以下の内容である。
件名: ==> KeyGrabber USB Wi-Fi Report <==
Access Point : KeyGrabberAP
IP (DHCP) : 172.xx.xx.xx
Gateway : 172.xx.xx.xx
Gateway MAC : 26:xx:xx:xx:xx:xx
MAC : C4:xx:xx:xx:xx:xx
Report range : 0-6340
[2015/3/15 11:19:49AM][Pwr]
[2015/3/15 11:21:34AM]Google Calendar [Ent]
<user> [Ent]
<password> [Ent]
上記の<user>と<password>の部分には実際に私が打ち込んだユーザ名とパスワードが記されていた。
では、このようなHKL接続を気づく方法はあるだろうか?残念ながらHKLを検知することは、極めて困難である。一部の専門家によって、HKLを検知する実験が報告されているものの、セキュリティソフトでは一般的には実装されていないと思われる。
セキュリティソフトウェアで検知されることがほとんどない理由として、HKLがあまり注目されていない、ということが挙げられる。さらに、検知するにはHKLの機種に深く依存するので、技術的に可能であったとしても、精度など実装に課題があるものと推測される。
現実的には、定期的にキーロガーが装着されていないかを目視で確認するのが現実的であろう。
このようなHKLはその形状としてデスクトップPCにしか使えない、とされてきた。一般的にはノートPCには使えない、とされているが、機種や動作条件が限定されるものの、ノートPCに取り付けることができるHKLも市販されている。しかし、システム開発や設計部門などではノートPCでは画面の解像度やスペックからデスクトップが使われることが多い。
HKLは多くの会社から市販されている。中国製のHKLもある。つまり、それだけ「需要」があるということだ。多くの場合、サイバー犯罪に使われることが多い、と思われるものの、市販の目的としては「従業員の不正を見つけるため」「従業員が業務に専念できているか管理するため」などとされている。
米国では、このようなHKLによる社内の盗聴は珍しくない。フォレンジック業者でもこのような事案を扱うことが多く、産業スパイや社内ストーカー、社内犯罪など様々な場面で使われている。日本ではあまりこのような事案を聞くことは少ないが、ネットで容易に手に入ることから、すでにHKLによる社内盗聴などが行われていて気づいていないだけかもしれない。
日本では、「キーロガーかー、昔あったよね」ということで片付けられがちであるものの、キーロガーそのものが進化を続けている以上、その脅威を軽く見ないほうがいいだろう。実際、私が関わる顧客では、想定脅威にHKLが含まれていたことは皆無に近い。それだけ無防備ということだろう。
昨今話題となっている内部犯行に関連する現実的な脅威としては、HKLをシステム管理者のPCに取り付けて、Active Directory(AD)などのサーバー管理者のパスワードを盗む、というシナリオも考えられる。
一般的なサーバ管理者のパスワードの管理の対策としては、「パスワードを厳重に管理する」というものが多い。しかし、HKLが取り付けられてしまえば、そのパスワードが漏洩し、悪用されてしまうことになってしまう。
従って、パスワードは盗まれてしまう可能性があることを前提とするのであれば、パスワード以外の認証を併用するか、ログインできる端末を限定するようにしなければならないだろう。
