2005年10月05日 - キーロガー(Keylogger)による情報漏洩と対策
キーロガー(Keylogger)の解説
キーボードへのキーストローク、つまり入力した内容を入手するための悪質ツールである。
保存した情報はテキストやその他の形式で保存し、またメールで自動的に指定したメールアカウントへ送信する。
トロイの木馬の一機能として備えられている例もあるようだ。
これを利用した犯罪としては、オンラインゲームのアカウントとパスワードを取得しハックする目的や、オンラインバンクのIDとパスワードなどを取得する目的のものが散見される。
ソフトウェア・キーロガー
マルウェアとしてはこの場合、ソフトウェア的なキーロガーを指す。
これは電子メール経由で配布されるマスメーリングにより広まったり、またはインターネットカフェなどにて個別のパソコンにインストールされる事例がある。
心構えとしては、ネカフェや十分には信頼できないパソコンからは重要な情報、例えばネットバンキングやWebメールの利用は避けるのが懸命だろう。
ネットバンクで1600万円が突然消える(デジタルARENA)
過去にもこのキーロガーを利用した事件はあったものだし、そろそろ店舗側でもある程度の対策は立ててもらいたい。アンチウイルスソフトを導入しておらず、定期的なリカバリーや初期化をしていない店舗が多数存在するのだ。
(GoBackやバックアップソフトを利用し初期化している店舗もあるらしい)
キーロガーはプロセスに表示されない秘匿性が高いものもある。対策としてはこのようなキーロガー検出に特化したソフトウェアの利用を推奨する。
「Anti-Keylogger(http://www.anti-keyloggers.com/index_jp.html)」
(日本語ページの翻訳がダメダメなんだけど。性能は確か)
一応代金を払わず登録せずともスキャンのみならばできるので、気になるようであればどうぞ。
キーロガーを検出する簡易的なテクニックとして、無意味な文字列(q1ziwazとか5zitewaなど)を入力した後、その文字列を含むファイルが存在するのか否かを検索する方法が古くより紹介されているのだが。
この方法は、特定ドメインに接続した際のみ活動するキーロガーや、画像でキャプチャするようなキーロガーに対しては効果は無いだろう。
ハードウェアキーロガー
昨年(2004年)、このハードウェア・キーロガーの広告が、Server機やネットワークの雑誌に堂々と掲載されていた。
(何考えてるんだろうか・・・・・・・)
小指2/3程度のサイズで、キーボードとパソコン本体のPS2端子の間に挟みこむような形でセットしておくものであった。
定期的にこれを回収し、記録した内容を得るためのものであり。ローカルなハッキング行為ですね、これって。
価格も安価だったような記憶が。
(これはPS/2端子だったが、USB接続のものもあるんだろうか)
これであれば、アンチウイルスソフトやその他のセキュリティ対策ソフトでは検出できないだろう。
ネットバンキングにおけるソフトウェアキーボードと、パスワード入力
近年のキーロガ被害の対策として、オンラインで利用できるネットバンキングにて、ソフトウェアキーボードを導入している銀行がある。
幾つかの記事を紹介しよう。
ソニー銀行は、すでに取引に使えるパソコンを事前に登録したものに限定するなどの撃退策を導入しているが、新たに画面上に表示される「ソフトキーボード」をマウスでクリックし、暗証番号を入力する機能を追加した。スパイウエアに感染していてもキーボード操作情報から暗証番号が盗まれる心配がない。
みずほ銀行も「ソフトキーボード」を採用したほか、暗証番号の入力方法を、六けたの暗証番号のうち銀行側が指定する四つの数字を取引のたびに入力する仕組みに改めた。数字の入力順序もその都度変更するため、暗証番号が漏れることはないという。
スパイウエア撃退へ 銀行界で対策導入相次ぐ(CNET Japan)
ソニー銀行は8月1日、ネット銀行サービスへのログオンで新たにソフトウェアキーボードを用意した。不正送金事件では、顧客にスパイウェアが添付された電子メールが送信され、そのスパイウェアを実行することでキーボードの入力履歴を記録するキーロガーがPCに仕込まれた。
ソニー銀行が導入したソフトウェアキーボードは、ログオンのパスワード入力時に利用する。PCの画面上でマウスを使って入力するため、キーボードの履歴が残らず、キーロガーが仕込まれているPCでも情報が外部に流出しないという。
ネット銀不正送金事件、どうすれば防げたのか(@IT)
ソフトウェアキーボード機能は、インターネットバンキング「みずほダイレクト」のログインパスワード入力ページにおいて、画面上にキーボードを表示してキー入力をマウスで代用できるようにするもの。キーボードの入力記録を盗み取ろうとするスパイウェア「キーロガー」に対して、安全な入力方法だとしている。
みずほ銀行、ソフトウェアキーボードの提供などでスパイウェア対策(INTERNET Watch)
ソフトウェアキーボードのウリは、キーロガー対策としては優れている点である。
つまり実際にキーボードを操作しないならば、その打ち込みの配列(キーストローク)を記録するキーロガを無効化できると。
このソフトウェアキーボードを突破しハックするためとして、この3点を最近知人と電話で話したり、某フォーラムにてやりとりしたんだけど。
- スクリーンロガー(Screen Logger)
- 多くの悪質ツールにて搭載されている機能だが、数秒おきにキャプチャしたりしたらば動作が重くなるだろうし、またハードディスクの容量も一杯になるだろうし。そしてこれらの画像を回収したとしても、あまりにも多すぎて扱いが面倒である。
- ソフトウェアキーボードをマウスでポイント・クリックする瞬間の画像が手に入らなければ、意味が無い。
- 特定のサイトに接続し特定の操作を行う時のみ動作するならば?
- 多くの悪質ツールにて搭載されている機能だが、数秒おきにキャプチャしたりしたらば動作が重くなるだろうし、またハードディスクの容量も一杯になるだろうし。そしてこれらの画像を回収したとしても、あまりにも多すぎて扱いが面倒である。
- マウスロガー
- マウスの移動・ポイントした位置を記録するマルウェアを利用すれば、ソフトウェアキーボードであっても、入力した内容を解析できる?
- しかし単純に、ソフトウェアキーボードの文字・数字の配列を変えればいいのだ。これだけで簡単にこの攻撃からブロックできる。
- ただスクリーンキャプチャと併用した場合は、入力する文字の位置がわかる可能性があるので、危険やもしれない。しかしながら特定個人をターゲットとするのでなければ、手間がかかりすぎるので攻撃者にとっては面倒すぎる。
- これらを回避する目的として、ワンタイムパスワードや、乱数表の利用が推奨される。例としてジャパンネット銀行では、(ソフトウェアキーボードではないが)ログオン時に16文字の数列の指定された順番の数字の入力を求め、この順番は毎回異なるので、攻撃者がこの乱数表の配置を知るまでにはある程度の時間を稼ぐことができる。また不特定多数が利用するようなネットカフェなどでは、攻撃者が得た数字と全く同じ位置の数字を求められるチャンスはほぼ無いため、極めて安全性は高い。
- マウスの移動・ポイントした位置を記録するマルウェアを利用すれば、ソフトウェアキーボードであっても、入力した内容を解析できる?
- 単純に、脇から覗きこむ
- このようなのを「ショルダーハック」と呼ぶのだが。キーボードからの入力時には覗き込んでもわかり辛いキーストロークも、ソフトウェアキーボード上のクリックは簡単に判別できる。
- このようなのを「ショルダーハック」と呼ぶのだが。キーボードからの入力時には覗き込んでもわかり辛いキーストロークも、ソフトウェアキーボード上のクリックは簡単に判別できる。
ワンタイムセキュリティボード
中々面白い機能ですね。要するに「例えば暗証番号が「1189」であれば、「sstw」と入力する」として、この数字とアルファベットの組み合わせをランダムにすると。
まぁこれって、スクリーンキャプチャとキーロガの組み合わせで、割とあっけなく突破できそうな。
運用するに当たっては、相応に注意が必要そうですね。
セキュリティボードは、0から9までの各数字に対応する英字がランダムに表示される変換表。暗証番号入力時に取引画面に表示されるセキュリティボードを参照して、数字に対応する英字を入力する。
数字に対応する英字の組み合せは、取引ごとにランダムに表示されるため、キーロガーなどのスパイウェアなどにより入力した英字を詐取されたとしても、次回以降の取引に不正利用されることを防げるという。
イーバンク、スパイウェア対策に「ワンタイムセキュリティボード」導入(INTERNET Watch)
Screen Scraperによるスクリーンロガー併用キーロガー
IT Proのニュースによれば、フィッシング対策の業界団体である米Anti-Phishing Working Group(APWG)のレポートとして、スクリーンキャプチャーを行いこのソフトウェアキーボードの配列を知るマルウェアが出現しているという。
しかしこれって、ワンタイムパスワードの利用であっけなく予防できそうな。
同団体が「Screen Scraper」と呼ぶこのマルウエアは,ユーザーのパソコンに入り込むと,ソフトウエア・キーボードのウインドウが表示されるのを待つ。そして,そのウインドウがアクティブになると,マウスがクリックされるたびにパソコン画面をキャプチャする。スクリーン・ショットからは,ユーザーがソフトウエア・キーボードのどのキーをクリックしたのかが分かるので,パスワードなどを盗むことができる
ソフトウエア・キーボードへの入力情報を盗むキーロガー出現,パソコン画面をキャプチャする(IT Pro ニュース)
一部の銀行などはキーロガーに対抗し、ソフトウェア・キーボードを採用したが、その裏をかくのがスクリーンスクラッパーだ。これらの金融機関はサイトにキーボードの画像を表示し、マウスでキーをクリックさせることでパスワードを入力させる。本物のキーボードを使わないため、キーロガーを回避できるはずだった。ところが、スクリーンスクラッパーは、クリックの瞬間にスクリーンショットを撮り、犯人に送信してしまう。
フィッシング:キーロガー、スクリーンショットを使う手口が増加(WIRED NEWS)
特定のタイミングじゃなければ、送信される画像が無駄に増大して大変だろうし、「受け取る側」が管理できないだろうと考えてたんだけど。
ソフトウェアキーボードを利用する際のみなんですかね、このキャプチャのタイミングは。
またどうもこの記事中の、微妙に本題から逸れる部分が気になります。
hostsファイルを書き換えて,偽のサイトへ誘導するようなマルウエア(トロイの木馬)も7月中に多数確認されたという。いわゆる「ファーミング」の一種である(関連記事)。同レポートには,この手口を使った偽サイトのスクリーン・ショットを掲載している。hostsファイルを書き換えられた場合には,アクセスしているのが偽サイトであっても,ブラウザのアドレス・バーには本物のURLが表示される。
ソフトウエア・キーボードへの入力情報を盗むキーロガー出現,パソコン画面をキャプチャする(IT Pro ニュース)
このブログにも以前hostsファイルによるフィッシング詐欺について「ファーミング詐欺とDNSはフィッシング詐欺以上にやっかい)」などを書いたんですが。
hostsファイルによる誘導は、httpsのサイトでも有効なんでしょうか?いや、違うでしょう。
大事なパスワードなりキーワードを入力・送信するようなサイトでは、httpsであるのか確認することにより、偽サイトによる被害を防止できそうな。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-08-04 ソフトウェアキーボードとネットバンキング、そしてキーロガー(http://d.hatena.ne.jp/LucaLuca/20050804)を修正・加筆し、マルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)(http://blog.lucanian.net/archives/50368862.html)の一部を移転したものです。
