キーロガー：
その仕組みと検知方法

キーロギングとキーロガー

キーロガー（キーストロークロガー）は、ユーザーがデバイスに入力した内容を記録するツールです。キーロガーは正当で合法的に使用されることもありますが、多くのキーロガーの用途は悪意のあるものです。キーロガー攻撃では、キーロガーソフトウェアが被害者のデバイスですべてのキーストロークを記録し、攻撃者に送信します。

DarkHotelと呼ばれるマルウェアの一種を使用する悪名高いキーロガー攻撃があります。ハッカーはホテルのセキュリティ保護されていないWi-Fiを狙い、ソフトウェアをダウンロードするようユーザーに求めます。ダウンロードすると、DarkHotelがキーロガーとして動作し、ハッカーにキーストロークを報告します。一定数のキーストロークを記録すると、DarkHotelは自らをデバイスから削除します。このようにして、DarkHotelは長期間デバイスに残ることなく、検知されることもありません。

悪意のあるユーザーが行うキーロガー攻撃から身を守ることが重要です。キーロガーは機密情報をすばやく特定して記録できるため、サイバーセキュリティにとって非常に脅威です。自身を守るために、キーロガーについて理解し、キーロガーの攻撃を防ぐ方法、そして攻撃を受けた場合に削除する方法を知っておく必要があります。

サイバー犯罪者にとって、個人情報は利益をもたらすものであり、さまざまな策略を用いて機密情報にアクセスしようとします。スパイウェアは、悪意のあるユーザーが危害を加えるためにユーザーに関する情報を集めようとするサイバーセキュリティリスクの一種です。多くの場合、サイバー犯罪者はキーストロークロガーをスパイウェアとして使用し、ユーザーに気づかれないようにその行動を追跡します。

キーロガーの定義

キーロガーはユーザーがコンピューターやモバイルキーボードで入力したすべてのキーストロークを記録することができるツールです。ユーザーは、主にキーボードを使用してデバイスを操作するため、キーロガーはその操作に関する大量の情報を記録できます。たとえば、キーロガーはユーザーが入力したクレジットカード情報、アクセスしたウェブサイト、使用したパスワードを追跡できます。

キーロガーは常に違法な目的で使用されているわけではありません。たとえば、次のようにキーロギングソフトウェアが合法的に使用されることもあります。

• 親が子どもの画面を見ている時間を監視する場合
• 企業が従業員の監視ソフトウェアの一部としてキーロガーソフトウェアを使用し、従業員の生産性を追跡する場合
• IT部門がキーロガーソフトウェアを使用して、デバイスの問題をトラブルシューティングする場合

キーロガーには合法的な使用方法がありますが、一般的に悪意のあるユーザーはユーザーのアクティビティを監視し、サイバー犯罪目的で使用します。

キーロガーによりキャプチャされる情報

キーロガーが実行されると、入力されたすべてのキーストロークが追跡され、データがファイルに保存されます。ハッカーは後からこのファイルにアクセスできます。また、キーロガーソフトウェアがファイルを自動的にハッカーにEメールで送信することもできます。スクリーンレコーダーと呼ばれる一部のキーロガーは、ランダムな間隔で表示されている画面をキャプチャすることもできます。

キーロガーはキーストロークのパターンを認識し、機密情報を簡単に特定することができます。パスワード情報を狙っている場合、ハッカーは特定のキーストローク（＠マークなど）を監視するようキーロガーをプログラムできます。その後、キーロガーソフトウェアは、ユーザーがEメールのユーザー名と一緒にパスワード認証情報を入力する可能性があることをハッカーに通知します。この手法により、悪意のあるユーザーはすべてのキーストロークデータを調べることなく機密情報をすばやく特定することができます。

キーストロークロガーの危険性

他の形式のマルウェアとは異なり、キーロギングマルウェアはコンピューターやオペレーティングシステムに損傷を与えません。キーロガーの主な脅威は、悪意のあるユーザーが個人情報を特定して、悪用できることです。キーロガー攻撃によるリスクには、次のようなものがあります。

• ハッカーがクレジットカード情報を盗み出して、不正な購入を行う。
• 悪意のあるユーザーがEメールアカウントにログインして、情報を盗んだり連絡先を偽造したりする。
• ハッカーが銀行口座にログインして、送金する。
• 悪意のあるユーザーが企業ネットワークにアクセスして機密情報盗む。

連邦捜査局によると、ほぼすべての国家安全保障上の脅威と犯罪の問題にはサイバーコンポーネントが関わっています。FBIがさまざまな業界で確認した共通の脅威には、ビジネスメールからの侵害があります。この種の攻撃では、脅威アクターは既知の連絡先からのものと思われるEメールを送信します。次に、ソーシャルエンジニアリングやネットワーク侵入を使用して、企業に入り込みます。

ビジネスメールからの侵害の一例として、犯罪者が既知のベンダーを装ってメッセージを送信する場合が挙げられます。このメッセージには、宛先住所が変更された請求書が添付されている場合があります。詐欺と気づかずに、不正な受取人に支払いをしてしまう恐れがあります。キーロガー攻撃からアカウントにアクセスできるサイバー犯罪者は、ベンダーを装うことができるため、攻撃が成功する確率が上がります。

サイバー犯罪者がターゲットの特定にキーロガーを多用するのはこのためです。キーロガーを使用すると、サイバー犯罪者は被害者に対する理解を深め、高度な攻撃を仕掛けることができます。ソーシャルエンジニアリング戦略では、サイバー犯罪者は個人情報や企業情報を利用して被害者の信頼を得るため、成功率も高まります。

キーロガーの種類とその仕組み

キーロガーには、ハードウェアキーロガーとソフトウェアキーロガーの2種類があります。この2つのキーロガーはキーストロークの記録方法が異なります。どちらの種類のキーロガーも、認証情報の窃盗やIDの窃盗などの悪意ある目的に使用されます。

キーロガーのタイプ

ハードウェアキーロガーはすべてのキーストロークを記録する物理デバイスです。サイバー犯罪者は、これらのデバイスをコンピューターの配線やUSBアダプターに見せかけて被害者が判別できないようにします。ただし、ハードウェアキーロガーをインストールするには、このようなデバイスに実際に触れる必要があるため、サイバー攻撃ではあまり使用されません。

ソフトウェアキーロガーはデバイスに実際に触れる必要がありません。その代わり、ユーザーはデバイスにソフトウェアキーロガーをダウンロードします。ユーザーは、ソフトウェアキーロガーを意図的に、または意図せずにマルウェアと一緒にダウンロードする可能性があります。

ソフトウェアキーロガーには次のようにさまざまなタイプがあります。

• フォーム取得キーロガーは、フィールドに入力されたデータを記録します。このタイプのキーロガーソフトウェアは、被害者のコンピューターにダウンロードされるのではなく、ウェブサイト上に展開されます。ハッカーはフォーム取得キーロガーを悪意のあるウェブサイトで使用して、被害者に認証情報を入力するよう促します。
• JavaScriptキーロガーは、JavaScriptコードで書かれており、ウェブサイトに挿入されます。このタイプのキーロガーソフトウェアは、ウェブサイトにアクセスしたユーザーが入力したすべてのキーストロークを記録するスクリプトを実行できます。
• APIキーロガーは、アプリケーション内で実行されているアプリケーションプログラミングインターフェースを使用して、すべてのキーストロークを記録します。このタイプのキーロガーソフトウェアは、アプリケーション内でユーザーがキーを押すたびにイベントを記録できます。

キーロガーの仕組み

キーロガーはさまざまな方法で拡散されますが、すべてのキーロガーの目的は同じです。すべてのキーロガーがデイバスに入力された情報を記録し、受信者にその情報を報告します。デバイスにインストールされたキーロガーがどのように拡散されるのかを見てみましょう。

• ウェブページのスクリプト　ハッカーはウェブページに悪意のあるコードを挿入できます。ユーザーが感染したリンクをクリックするか、悪意のあるウェブサイトにアクセスすると、キーロガーがデバイスに自動的にダウンロードされます。
• フィッシング　ハッカーは、正当に見える詐欺的なメッセージが記載されたフィッシングメールを使用できます。感染したリンクをクリックするか、悪意のある添付ファイルを開くと、デバイスにキーロガーがダウンロードされます。
• ソーシャルエンジニアリング　フィッシングはソーシャルエンジニアリングの一種です。機密情報を漏洩させるよう被害者を欺くことを目的としています。サイバー犯罪者は、信頼できる連絡先を偽って、受信者を納得させ、添付ファイルを開いて、マルウェアをダウンロードさせます。
• インターネットからダウンロードされた不明なソフトウェア　悪意のあるユーザーはインターネットからダウンロードされたソフトウェアにキーロガーを埋め込むことができます。ユーザーは、ダウンロードするソフトウェアと一緒に、気づかないうちにキーロギングソフトウェアをダウンロードしてしまいます。

安全なキーロガー

キーロガーは犯罪につながるものと認識されていますが、安全で合法的に使用されるキーロガーがあります。国や地域ごとに法律は変わりますが、デバイスを所有している場合、キーロガーは一般的に合法であるとみなされます。たとえば、事業者であれば、オフィスのコンピューターを監視することができます。同様に、自身のコンピューターを他のユーザーが使用している場合でも、そのコンピューターを監視できます。ただし、同意なしに家族のコンピューターを監視することはできません。

その他の安全で合法的なキーロギングには、倫理的ハッキングがあります。倫理的ハッキングは、ハッカーが合法的にコンピューターやネットワークに侵入しようとする戦略です。組織は、この戦略を使用して、サイバーセキュリティをテストすることができます。

キーロガーから身を守るには

悪意のあるユーザーが個人情報にアクセスすることで、多くの損害がもたらされます。

このため、被害者にならないように、キーロガーから身を守ることが重要です。行動と予防策で攻撃を受ける可能性を低減することができます。Verizonの2022 Data Breach Investigations Reportによると、侵害の82%には人的要素が関わっています。危険を認識することで、自身のサイバーセキュリティを強化し、キーロガー攻撃を防ぐことができます。

個人のデイバスに対するキーロガー攻撃を防ぐ方法

キーロギング攻撃を防ぐ最善策は、攻撃がどのように行われるのかを理解することです。被害者にならないように、次のような予防策を講じることを検討してください。

• Eメールが正規の発信元から送信されていることを確認します。通常のメールアドレスかどうかを確認し、適切なリクエストかどうかを検討します。たとえば、銀行がEメールでパスワードをリセットするよう求めることがあるでしょうか。疑わしい場合は、リンクをクリックしないでください。パスワードのリセットなどのアクションは、銀行のポータルで直接実行できます。
• 公式ウェブサイトかどうか確認します。サイバー犯罪者は、有名なウェブサイトの巧妙な偽バージョンを作成します。マイナンバーなどの個人情報を入力する前に、そのウェブサイトにセキュリティを検証するデジタル証明書があることを確認します。
• 一意の強力なパスワードを使用します。一意のパスワードを使用することが重要です。これにより、パスワードが漏洩しても、サイバー犯罪者がすべてのアカウントにアクセスすることを防ぐことができます。

常に注意を怠らないでください。リンクをクリックしたり、ファイルをダウンロードしたりする前に、信頼できるソースであることを確認してください。

共有デイバスに対するキーロガー攻撃を防ぐ方法

共有デバイスを使用する場合、より慎重になる必要があります。公開デバイスには、最新のセキュリティ更新プログラムやウイルス対策ソフトウェアがインストールされていない場合があります。以前のユーザーがデバイスを改ざんし、キーロガーをインストールしている可能性もあります。

共有コンピューターにパスワードやクレジットカード情報を入力しないでください。共有コンピューターに機密情報を入力する必要がある場合、攻撃によって受ける被害を制限するようにしてください。たとえば、個人デバイスからアカウントにアクセスできる場合、パスワードの変更を検討してください。または、オンラインショッピングには1枚のクレジットカードを使用し、情報が盗まれていないか頻繁に監視します。

リモートでインストールされたキーロガーから身を守る方法

ハッカーや政府は、ダウンロードや偽のソフトウェアを利用して、デバイスにキーロガーや隠れたマルウェアをリモートでインストールできます。リモートキーロガーはキーストロークをキャプチャし、デバイスのマイクを使用して音声を録音します。リモートキーロガーを防ぐには、個人デバイスでキーロギング攻撃を防ぐ場合と同様の戦略を利用します。

キーロガーの検知と削除

サイバー犯罪者がキーロガーを使用する場合、その目標は検知されないようにすることです。被害者は、誰かにすべてのキーストロークを監視されていることに気づかない限り、デバイスに個人情報を入力し続けます。ただし、キーロガーがインストールされている可能性を示す警告となる兆候がいくつかあります。

キーロガーの検知につながる警告

キーロガーの検知につながる警告には、主に次の3つものがあります。

• ブラウザの動作が遅くなる
• マウスの動きやキーストロークに遅れが発生する
• カーソルが消える

これらの問題が発生したら、キーロガーの確認を直ちに実行してください。確認するには、次の手順に従ってください。

• PCではタスクマネージャー、Macではアクティビティモニターを使用します。タスクマネージャーとアクティビティモニターはユーティリティプログラムで、現在実行されているアプリケーションやバックグラウンドプロセスが表示されます。実行内容を確認し、疑わしいプリケーション／プロセスを修了させます。
• プログラムと機能を調査します。デバイスにインストールされているプログラムを確認します。プログラムを確認できない場合、オンラインで調査し、必要に応じてそのプログラムをアンインストールします。
• ウイルス対策ソフトウェアを使用してデバイスをスキャンします。このソフトウェアはデバイスで常時マルウェアをスキャンし、自動的に削除します。

定期的に手動でアクティブなプロセスやインストールされたプログラムを確認できますが、ハッカーはキーロガーを正式なプログラムに見せかけることがあります。このため、キーロガーやその他の形式のマルウェアの監視には、ウイルス対策ソフトウェアを使用することが最も信頼できる方法です。

キーロガーを削除する方法

キーロガーがデバイスに常駐する前に、その侵入を防ぐことが重要です。防止策により、機密データが保護され、デバイスを損傷させる可能性のある他の種類のマルウェアの拡散を制限します。

ただし、デバイスでキーロガーを特定した場合は、直ちに削除する必要があります。ウイルス対策ソフトウェアはあらゆるマルウェアを自動的に削除します。ウイルス対策ソフトウェアを使用していない場合、次のいずれかの手順に従って、手動でキーロガーを削除してください。

• デバイスからプログラムをアンインストールします。
• 一時ファイルを消去します。
• デバイスをリセットして、バックアップから復元します。

キーロギングを防ぐツール

サイバーセキュリティリスクを理解し、一般的な予防策を実施することに加え、次のツールを使用してキーロガーがインストールされることを防ぐ必要があります。

• ファイアウォールを使用します。ファイアウォールはネットワークトラフィックに疑わしいアクティビティがないかモニターできるセキュリティシステムです。ファイアウォールはキーロガーがインターネットから送信しようとしているデータを傍受することでキーロギングを防ぎます。
• パスワードマネージャーを使用して、頻繁にパスワードを更新します。パスワードマネージャーはすべてのアカウントからのパスワードを格納するため、マスターパスワードのみを覚えておく必要があります。パスワードマネージャーにより、より強いパスワードを使用でき、また、覚えておく必要がないため、頻繁に更新できます。
• システムを頻繁に更新します。オペレーティングシステムとアプリケーションのシステム更新により、悪意のあるユーザーが既知の問題を利用できないようにします。更新プログラムが利用可能になったら、すぐにインストールして、システムを保護してください。
• ウイルス対策ソフトウェアを使用します。 ウイルス対策ソフトウェアは、マルウェアを防ぎ、手動よりも早くマルウェアを特定し削除できます。

クラウドストライクを使用してキーロガーから身を守る

サイバー犯罪は、毎年多くのユーザーに影響を与えている脅威です。Abnormal Securityのサイバーセキュリティレポートによると、サイバー攻撃の数は常に増加しています。2021年前半で、ビジネスメールからの攻撃数が84%増加していることがわかります。また、従業員数50,000以上の組織については、ビジネスメールからの攻撃を受ける可能性は毎週95%に達しています。

個人と組織は、ビジネスメール攻撃やその他のサイバー攻撃により意図せずにデバイスにキーストロークロガーをダウンロードしている可能性があります。これらの悪意のあるプログラムがシステムに長く常駐するほど、サイバー犯罪者がアカウントや個人情報にアクセスできるリスクが高まります。早期にキーロガーを検知して、直ちに削除することが重要です。予防策を講じ、ウイルス対策ソフトウェアやファイアウォールなどのツールを使用することで、キーロガーによる損害を最小限に抑えることができます。

完璧なインターネットセキュリティソリューションがキーロギングに対する最大の防御です。CrowdStrike Falcon®プラットフォームを使用すると、さまざまなホスト、クラウドインフラストラクチャ、ビジネスアプリケーションで発生する可能性のある攻撃を視覚化できます。詳しくはこちらをご覧ください。