キーロガーとは何か:仕組み・種類・検知と対策を徹底解説(企業と個人のための実践ガイド)
エバープレイ編集部はじめに — キーロガーの重要性と本文の目的
キーロガー(keylogger)は、キーボード入力を記録するソフトウェアまたはハードウェアの総称です。攻撃者の不正な情報収集手段として使われる一方で、管理目的や調査用途で合法的に利用されるケースもあります。本稿では、キーロガーの仕組み、種類、典型的な侵入経路、検知・除去・予防策、法的・倫理的な側面および企業対応について、実務で役立つ観点から詳しく解説します。なお、本稿は防御・検知・教育を目的としており、攻撃手法の具体的な作成手順は記載しません。
キーロガーの基本的な仕組み
キーロガーはキーボードからの入力イベント(キーコード)を取得して保存または送信します。取得方法は大きく分けてソフトウェア型とハードウェア型があります。ソフトウェア型はOSやアプリケーションのAPI呼び出し、低レイヤーのドライバやカーネルフック、インジェクション技術、ブラウザ内のスクリプトによってキー入力を傍受します。ハードウェア型はキーボードとPCの間に装着する物理デバイスや、USB機器のファームウェア改変、盗聴用の無線デバイスなどです。
代表的な種類と特徴
- ユーザー空間ソフトウェア型:WindowsのSetWindowsHookExなどのAPIでキーボードフックを設定し、入力を傍受します。インストールが比較的容易だが、セキュリティ製品で検知されやすい。
- カーネル/ドライバ型:キーボードフィルタドライバやカーネルフックを用いる。ユーザー空間より検知が難しく、強力だがOSの署名検査やセキュリティ機構で発見されることがある。
- フォームグラバー(ブラウザやアプリ寄生):ブラウザ拡張やマルウェアがフォーム送信前に入力値を読み取る。オンラインバンキング詐欺で多用される。
- アクセシビリティ機能を悪用するもの:特にAndroidでアクセシビリティAPIを悪用して入力や画面操作を監視するケースがある。
- ハードウェア型:USBキー挿入型やキーボード内部に埋め込むデバイス、キーボード-USB間へのスニファーなど。物理アクセスが必要だがアンチウイルスでは検知されない。
- RAT(リモートアクセス型)に組み込まれたキー収集:遠隔操作ツールにキーロギング機能が統合され、ログをC2サーバに送信する。
典型的な侵入経路
- フィッシングメールや悪意ある添付ファイル・リンクによりマルウェアを実行させる。
- 脆弱なリモートデスクトップや管理ツールを介した侵害。
- 正規ソフトの脆弱性を悪用したドロッパーによるインストール。
- 物理的な侵入によりUSBや内部ハードウェアを接続する。
- ブラウザ拡張の悪用、または感染したサードパーティ製アプリの配布。
検知のポイント(個人・管理者向け)
キーロガー検知は難易度が高いことがありますが、以下の観点が有効です。
- プロセスと接続の監視:不審なプロセス、常時稼働する不明実行ファイル、外部サーバへ定期的に接続するプロセスは要注意です。EDRやネットワーク監視で異常なコールアウトを捕捉します。
- 常駐ドライバとカーネルモジュールの確認:署名されていないドライバや不明なフィルタドライバの存在は疑わしいです。
- ファイル改ざんや新規自動起動項目の追跡:AutorunsやSysinternalsツール類で常駐設定をチェックします。
- キーストロークの二重取得やAPIフックの検知:フックが仕掛けられているかどうかは専門ツールで検査可能です(ただし高度なルートキットは回避可)。
- 振る舞い解析:入力ログの暗号化・送信といった振る舞いを検出するルール(シグネチャとヒューリスティックの組合せ)が重要です。
除去・復旧の基本手順
検出後は以下の対応を段階的に行います。
- ネットワーク遮断:感染端末は直ちにネットワークから切り離す(C2からの追加指示やデータ流出を防ぐ)。
- メモリダンプとフォレンジック収集:マルウェアの痕跡を記録、適切なログを保存して解析に備える。
- 信頼できるアンチウイルス/EDRでのスキャンと隔離・削除。
- 必要があればOS再インストール(完全なクリアが必要な場合が多い)。
- パスワードや認証情報の変更、2要素認証の強制化。
- 侵害の原因分析と再発防止策の実装。
予防策:個人と企業での実践事項
キーロガー対策は多層防御が基本です。
- ソフトウェア管理とパッチ適用:OS・アプリ・ファームウェアを常に最新に保つ。
- 最小権限の原則:管理者権限での通常作業を避ける。不要なサービスは停止する。
- アプリケーションホワイトリスティング:予期しない実行をブロックする。
- 多要素認証(MFA)の導入:入力ログだけで不正アクセスされるリスクを低減。
- パスワードマネージャの利用:手入力を減らし、フォーム経由の窃取リスクを下げる。
- EDRやSIEMの導入:異常検知と迅速な対応を可能にする。
- 物理セキュリティ:端末アクセス管理、USBポート制御、会議室などでの無人端末放置禁止。
- ユーザー教育:フィッシング対策、怪しい添付ファイルの取扱い、ソーシャルエンジニアリングへの警戒。
モバイル環境と新たな脅威
スマートフォンではアクセシビリティAPIの悪用や、正規アプリを装ったマルウェアがキーログのような機能を実装することがあります。特にAndroidではサイドロードや過剰な権限要求がリスクとなるため、信頼できるストアからのインストールと権限の厳格な管理が重要です。
法的・倫理的観点(日本における留意点)
他者の入力を無断で記録する行為はプライバシー侵害や不正アクセス禁止法、通信の秘密を侵す可能性があります。企業が社員の端末を監視する場合でも、目的の明確化、同意取得、最低限の収集に留めるなど法令と社内規程に従った運用が必要です。疑わしい行為を確認したら専門家(法務・セキュリティ)と連携してください。
企業対策の実務ポイント
- インシデント対応計画(IRP)の整備:キーロガー検出時の手順、関係者、コミュニケーションを定める。
- EDRとネットワーク検知の組合せ:端末とネットワーク両面で異常を相関分析する。
- 権限管理とVPN/リモートアクセスの堅牢化:リモートアクセス経路を最小化・多要素認証で保護。
- 定期的な脆弱性管理とペネトレーションテスト:侵入経路になりうる弱点を洗い出す。
よくある誤解とQ&A
- Q:スクリーンキーボードを使えば安全?
A:スクリーンキーボードは一部のキーロガーに対する回避にはなるが、フォームグラバーやスクリーンショット系のマルウェア、ハードウェア型には無効です。総合的対策が必要です。
- Q:アンチウイルスだけで十分?
A:既知のマルウェアには有効だが、ゼロデイや高度なルートキット、ハードウェア型は検知が難しいため、EDR、ネットワーク監視、ポリシー管理との併用が推奨されます。
まとめ
キーロガーはシンプルな概念ながら、手法は多岐に渡り検知・対処が難しい脅威です。個人・企業ともに多層的な防御、迅速な検知体制、ユーザー教育、法令順守が重要です。疑わしい兆候を発見した場合は速やかに隔離・調査を行い、必要に応じて外部のフォレンジック専門家や法務と連携してください。
参考文献
- Microsoft: What is a keylogger?
- Kaspersky: What is a keylogger?
- Trend Micro: Keylogger definition
- Norton: What is a keylogger?
- JPCERT/CC (Japan Computer Emergency Response Team)
- CISA / US-CERT Security Tips
投稿者プロフィール
