キーロガー.

キーロガーはキーボード入力を取得し、ローカルに保存するか攻撃者へ送信(exfiltrate)します。ソフトウェア型キーロガーは、ユーザーモードフック(SetWindowsHookEx)、カーネルドライバ、悪意あるブラウザ拡張として動作します。ハードウェア型キーロガーは、キーボードとコンピュータの間にインラインで設置されたり、改造された周辺機器の内部に隠されたりします。攻撃者はこれらを使い、認証情報、手入力されたワンタイムパスワード(OTP)、銀行情報、チャットメッセージ、知的財産を収集します。また、これらは Agent Tesla、HawkEye、Snake Keylogger といった情報窃取マルウェア、バンキング型トロイの木馬、スパイ用ツールキットの標準モジュールとして提供されています。

キーロギングは PC よりも古くから存在します。冷戦期で最も巧妙な作戦の一つとして、ソ連はおよそ 1976 年から 1984 年にかけて、モスクワの米国大使館にある IBM Selectric タイプライターを盗聴しました。中空の支持バーに隠された磁気センサーが、印字用の「ゴルフボール」の回転と傾きを感知し、暗号化したキー入力を無線でバースト送信していました。NSA の Project GUNMAN は、技術者が電源スイッチに余分なコイルがあることに気づいたことで、ついにこの埋め込み装置を発見しました。人が入力する内容を捕捉するのに、ソフトウェアはまったく不要であることを証明した事例です。

防御策としては、振る舞いを監視できる EDR、ハードウェアキー(FIDO2/WebAuthn)に基づくフィッシング耐性のある MFA(窃取されたパスワードを無価値にする)、OS の認証情報入力保護、業務端末ケーブルの物理点検、未使用 USB ポートの無効化などがあります。

flowchart LR
  K[利用者がキーを押す] --> C[キーロガーが入力を取得]
  C --> S[ソフトウェアフックまたはドライバ]
  C --> H[ハードウェアインライン機器]
  S --> E[符号化してバッファリング]
  H --> E
  E --> X[攻撃者の C2 へ送信]
  X --> U[認証情報やデータの窃取]