キーロガー攻撃とは?種類・検知・対策を徹底解説
エバープレイ編集部概要:キーロガー攻撃とは何か
キーロガー(keylogger)は、キーボード入力を記録するソフトウェアまたはハードウェアの総称であり、悪意ある用途で用いられる場合は「キーロガー攻撃」と呼ばれます。攻撃者はユーザーが入力したパスワード、クレジットカード番号、個人情報、企業の機密データなどを取得し、不正利用や追加の侵害に利用します。キーロガーは発見されにくく、長期間にわたって情報を収集できるため、標的型攻撃やマルウェアの一部として用いられることが多く、企業・個人双方に深刻な被害をもたらします。
キーロガーの種類
キーロガーは形態や動作レベルによっていくつかに分類できます。主なタイプは次の通りです。
- ソフトウェア型:OS上で動作するプログラムで、ユーザーの入力をログファイルに記録したり、ネットワーク経由で外部に転送したりします。ユーザーレベル、カーネルレベル、ドライバレベルなど実装レイヤーが異なり、レイヤーが低いほど発見が難しくなります。
- ハードウェア型:キーボードとPCの間に挿入されるデバイスや、USBメモリ型の装置など、物理的にキー入力を傍受するものです。BIOSレベルの改ざんやキーボード内蔵のチップで動作することもあります。
- ファームウェア/ブートローダ型:キーボードやマザーボードのファームウェア、あるいはUEFI/BIOSに組み込まれ、OSの検出を回避する高度なものです。
- リモート/マルウェア統合型:トロイの木馬やRAT(Remote Access Trojan)に組み込まれ、遠隔からデータを収集・送信する機能を持つものです。キー以外にスクリーンショット取得やクリップボード監視を行うこともあります。
- ウェブ/スクリプト型:JavaScriptやフォームハイジャック等を用いてウェブ上で入力内容を盗む手法です。正規ページの改ざんや中間者攻撃(MITM)により用いられます。
攻撃経路と典型的手口(高レベルの説明)
キーロガーがユーザー端末に侵入する経路は多様です。典型的な経路を挙げると:
- フィッシングメールや悪意ある添付ファイルを介した感染(誘導)
- ソフトウェアの脆弱性を突いたリモート侵入(エクスプロイトの悪用)
- 不正なUSB機器や物理的なアクセスを通じたハードウェア挿入
- サードパーティサプライチェーンの侵害によるプリインストール型の配布
- ウェブサイト改ざんや広告ネットワークの悪用によるスクリプト挿入(ドライブバイダウンロード含む)
重要なのは、攻撃経路の説明は防御の観点から理解することであり、手口の詳細な実装手順を提供する目的ではありません。
被害の実例と影響
キーロガーによる被害は個人情報の窃取に留まらず、企業の顧客データ流出、金融損失、なりすましによる二次被害、さらには内部ネットワークへの不正侵入拡大など重大です。標的型攻撃では、キーロガーで収集した認証情報を用いて追加の高度な攻撃(横展開、機密データの抽出)が行われることがあります。長期間検出されない場合、被害が累積しインシデント対応コストが増大します。
検知と分析(調査時の注意点)
検知は容易ではありませんが、複合的な手法で発見率を高められます。代表的な観点は次の通りです。
- シグネチャベースのアンチウイルス/EDRによる検出:既知のマルウェアはマルウェア定義で捕捉できるが、未知の変種には弱い。
- 振る舞い検知(EDR、ヒューリスティック):不審なプロセスのキーストローク取得APIの利用、スクリーンショットの頻繁な取得、暗号化された外部通信など異常な振る舞いを検出する。
- ネットワーク監視:外部への不審な通信先や、大量の暗号化トラフィックの送信頻度をモニタリングする。TLSで保護された通信は内容解析が難しくなるため、通信先の評判や証明書状態などで異常を検出する。
- ファイル/ドライバ整合性チェック:ブート構成やドライバの整合性、ファームウェアの改ざんチェックを実施する。
- 物理検査:外付けデバイスやキーボード接続部を目視確認し、非正規のハードウェアが挿入されていないかを確認する。
インシデント対応時は証拠保全を優先し、被害拡大防止のためにネットワーク分離やログの収集・解析を行います。無許可のシステム変更やルートキット検出のための操作には専門的な手順が必要となるため、状況によってはフォレンジックの専門家やCSIRTへの連携が推奨されます。
具体的な対策とベストプラクティス
キーロガーに対する防御は多層防御(Defense in Depth)の考え方が有効です。以下は実務上有効な対策です。
- エンドポイント防御の強化:信頼性の高いアンチウイルス/EDR製品を導入し、定期的な更新とログ監視を行う。
- ソフトウェアの最新化:OSやアプリケーション、ドライバ、ファームウェアのパッチ適用を徹底し、既知の脆弱性を減らす。
- 最小権限の原則:管理者権限の乱用を避け、日常業務は標準ユーザーで行う。
- 多要素認証(MFA)の導入:たとえ認証情報が漏洩しても、二要素認証などにより不正利用リスクを下げる。
- 物理的セキュリティ:職場の端末やUSBポートの管理、不審なデバイスの接続禁止、端末の棚卸しを行う。
- ユーザ教育:フィッシング対策や不審な添付ファイル・リンクの扱い、外部デバイス接続時の注意喚起を定期的に行う。
- パスワード管理の徹底:パスワードマネージャーの利用と複雑で一意なパスワードの運用を推奨する(ただしパスワードマネージャ自体の保護も重要)。
- 暗号化とデータ保護:機密データは保存・転送時に適切に暗号化し、アクセス制御を厳格にする。
- ログ監視と異常検知:SIEMやNDR(Network Detection and Response)による継続的な監視で異常通信や振る舞いを早期に検出する。
なお、仮想キーボード等の対策は万能ではなく、スクリーンリーダーやリモート監視など別の窃取手法に対して無効な場合があるため、単一防御に頼らないことが重要です。
法的・倫理的観点
キーロガーを無断で設置・使用する行為は、プライバシー侵害や通信の秘密の侵害など法的責任を伴います。日本を含む多くの国で不正アクセス禁止法や電気通信の秘密を定めた法規に抵触する可能性が高く、刑事罰や民事責任が問われます。企業が従業員端末でモニタリングを行う場合でも、事前の告知やポリシー整備、最低限の監視に留めるなど法令・ガイドラインに沿った運用が必要です。
まとめ:現実的なリスク管理の進め方
キーロガー攻撃は長期的かつ静かに行われる傾向があり、発見が遅れるほど被害が拡大します。したがって、有効な対策は単一の技術に依存するのではなく、エンドポイント防御、ネットワーク監視、運用管理、ユーザ教育、法的整備を組み合わせた多層防御です。また、インシデントが発生した場合に備えて、検知・対応フローを事前に策定し、定期的な演習や外部専門家との連携体制を構築しておくことが重要です。
参考文献
Microsoft Security Blog(キーロガー/マルウェア対策関連記事)
US-CERT: Preventing and Responding to Malware
Kaspersky: What is a keylogger?
Symantec Security Center(マルウェア分析・ホワイトペーパー)
情報処理推進機構(IPA) セキュリティセンター(日本国内の情報セキュリティ対策情報)
投稿者プロフィール
