はじめに

企業のIT資産を守る皆様、日々のセキュリティ対策業務お疲れ様です。 サイバー攻撃の手口が日々巧妙化する中で、最も「地味」でありながら、最も「致命的」な被害をもたらすマルウェアの一つをご存知でしょうか。それが今回解説する「キーロガー」です。

ランサムウェアのように派手に画面をロックして身代金を要求するわけではありません。キーロガーは、皆様や従業員が気づかないうちに、静かに、そして確実に、入力されたすべての情報を盗み出します。

本記事では、このキーロガーの正体から、なぜこれほどまでに危険なのか、そして企業のIT担当者が講じるべき具体的な対策について、専門用語を噛み砕きながら徹底解説します。特に、パスワード漏洩を防ぐための「ソフトウェアキーボード」の有効性や、多層防御の重要性について深く掘り下げていきます。

1. キーロガーとは何か?静かなるスパイの正体

まず、キーロガー(Keylogger)の定義から明確にしていきましょう。 キーロガーとは、「キー(Key)」の「ログ(Log)」を取る、つまりキーボード操作の記録を行う機能やソフトウェアの総称です。

本来、この技術自体は悪ではありません。開発者がソフトウェアのテストを行ったり、子供のパソコン利用状況を保護者が管理したりするために作られた正規のツールも存在します。しかし、現在その多くは、ユーザーの許可なくインストールされ、入力情報を盗み見る「スパイウェア」として悪用されています。

1-1. マルウェアとしての分類

セキュリティの文脈において、悪意あるキーロガーは「マルウェア(悪意のあるソフトウェア)」の一種に分類されます。その中でも、ユーザーに気づかれないように活動することから「スパイウェア」、あるいは正規のファイルに偽装して侵入することから「トロイの木馬」の一機能として実装されることが一般的です。

【用語解説:トロイの木馬】 ギリシャ神話に登場する木馬のように、一見すると無害な画像ファイルや文書ファイル、あるいは便利なフリーソフトを装ってコンピュータ内部に侵入し、裏で悪意ある動作を行うマルウェアのことです。自己増殖はしませんが、キーロガー機能を内包しているケースが非常に多く見られます。

2. ソフトウェアキーロガーの恐るべき仕組み

キーロガーには物理的なデバイスを接続するタイプもありますが、企業にとってより脅威となるのは、検出が難しい「ソフトウェアキーロガー」です。ここでは、その動作原理について解説します。

2-1. OSの隙間に入り込む「フッキング」

私たちがキーボードの「A」というキーを押したとき、その信号は電気信号としてパソコンに伝わり、OS(Windowsなど)が処理をして、画面上のメモ帳などに「A」と表示させます。

ソフトウェアキーロガーは、この情報の通り道に「検問」のようなものを勝手に設置します。これを専門用語で「フッキング(Hooking)」と呼びます。OSがキーボードからの入力を受け取り、それをアプリケーションに渡す直前の段階で情報を横取り(フック)し、攻撃者が用意したログファイルに記録してしまうのです。

2-2. なぜ「隠密行動」が可能なのか

近年のキーロガーは非常に高度化しています。タスクマネージャー(Windowsの動作状況を確認するツール)上のプロセス一覧に表示されないように隠蔽工作を行ったり、「svchost.exe」のようなWindowsの正規システムファイルと同じ名前を騙ってカモフラージュしたりします。

そのため、一般の従業員がパソコンの動作が少し重いと感じた程度では、感染に気づくことはほぼ不可能です。これが「静かなるスパイ」と呼ばれる所以です。

3. 何が盗まれるのか?企業が被る深刻な被害リスク

「たかがキー操作の記録」と侮ってはいけません。キーロガーによって窃取される情報は、企業の存続に関わるレベルの機密情報です。

3-1. パスワードと認証情報の窃取

最も狙われているのが、各種サービスへのログインIDとパスワードです。 クラウドサービス、社内ポータル、銀行口座、SNSなど、従業員がキーボードで入力するパスワードはすべて筒抜けになります。暗号化通信(SSL/TLS)を行っているWebサイトであっても関係ありません。なぜなら、キーロガーは「通信が行われる前」、つまり「入力した瞬間」のデータを盗むからです。

3-2. 機密メールやチャットの内容

作成中のメールの文面、SlackやTeamsなどのチャットツールでの会話内容もすべて記録されます。ここから、未発表の新製品情報、M&A(企業の合併・買収)に関する極秘情報、顧客リストなどが漏洩するリスクがあります。

3-3. 「修正」の過程すらも見られている

キーロガーの恐ろしい点は、バックスペースキー(削除キー)の入力履歴さえも記録することです。 例えば、従業員がメールを書いている途中で「この表現はまずいかな」と思って書き直したとします。キーロガーは、その「消された本音」や「迷い」さえも攻撃者に伝えてしまいます。これは、ソーシャルエンジニアリング(人の心理的な隙や行動のミスにつけ込む攻撃手法)に悪用される材料となります。

4. 感染経路:どこから侵入してくるのか

キーロガーを防ぐためには、侵入経路を知る必要があります。主なルートは以下の通りです。

4-1. フィッシングメールと添付ファイル

現在も最も多い手口です。「請求書の確認をお願いします」「配送状況のお知らせ」といった件名のメールに、ExcelやWord、PDFなどのファイルが添付されています。これらを開封し、マクロ(自動化プログラム)を有効化してしまうことで、キーロガーが裏でインストールされます。 近年猛威を振るった「Emotet(エモテット)」というマルウェアも、感染後にキーロガー機能を含むモジュールを追加でダウンロードする挙動が確認されています。

4-2. フリーソフトや海賊版ソフトへのバンドル

業務効率化ツールや、本来有料のソフトを無料で使えるとうたう海賊版ソフト(クラックウェア)に、キーロガーがバンドル(同梱)されているケースです。ユーザー自らがインストールを実行するため、セキュリティソフトの警告を無視してしまうことも多く、感染成功率が高い危険な経路です。

4-3. Webサイト閲覧による感染(ドライブバイダウンロード)

改ざんされたWebサイトを閲覧しただけで、ユーザーが何もクリックしなくても自動的にマルウェアがダウンロード・実行される攻撃です。OSやブラウザの脆弱性(セキュリティ上の欠陥)を放置していると、この攻撃の餌食になります。

5. 鉄壁の守り:IT担当者が講じるべき具体的対策

ここからは、キーロガーの脅威から組織を守るための具体的な対策について解説します。一つの対策で安心するのではなく、複数の壁を用意する「多層防御」の考え方が重要です。

5-1. ソフトウェアキーボードの活用

まず、入力段階での防御策として有効なのが「ソフトウェアキーボード(スクリーンキーボード)」の利用です。

【ソフトウェアキーボードとは】 物理的なキーボードを使わず、画面上に表示されたキーボードをマウスでクリックして文字を入力する機能です。ネットバンキングのログイン画面などでよく見かけます。

【なぜ有効なのか】 多くのキーロガーは「キーボードの信号」を監視しています。しかし、ソフトウェアキーボードは「マウスのクリック位置情報(座標)」として処理されるため、従来のキーロガーの監視網をすり抜けることができます。 攻撃者から見ると、マウスがどこかをクリックしたことは分かっても、「どの文字をクリックしたか」までは解析が困難になるのです。特に、極めて重要なマスターパスワードなどを入力する際は、この機能の利用をルール化することを強く推奨します。

※ただし、画面そのものを定期的に撮影する「スクリーンキャプチャ型」のマルウェアには無力であるため、これだけで万全ではありません。後述する対策との併用が必須です。

5-2. 多要素認証(MFA)の導入

パスワードが盗まれることを前提とした対策も不可欠です。それが「多要素認証(MFA)」です。

【用語解説:多要素認証(MFA)】 ログイン時に「パスワード(知識情報)」だけでなく、「スマホアプリへの通知(所持情報)」や「指紋・顔(生体情報)」など、異なる種類の要素を組み合わせて本人確認を行う仕組みです。

もしキーロガーによってパスワードが攻撃者の手に渡ったとしても、従業員のスマートフォンに届く認証コードや生体認証がなければログインできません。これにより、不正アクセスの成功率を劇的に下げることができます。

5-3. EDR(エンドポイントでの検知と対応)の導入

従来のアンチウイルスソフト(パターンマッチング方式)では、新種のキーロガーや、ファイルを持たない攻撃(ファイルレス攻撃)を防ぎきれない場合があります。そこで導入が進んでいるのがEDRです。

【用語解説:EDR (Endpoint Detection and Response)】 パソコンやサーバー(エンドポイント)の「動作(振る舞い)」を監視し、不審な挙動を検知・対処するソリューションです。

EDRは、「既知のウイルスかどうか」ではなく、「正規のプロセスに見せかけてキー入力を監視していないか」「外部の怪しいサーバーへ通信しようとしていないか」といった挙動を監視します。これにより、未知のキーロガーであっても、その怪しい動きから感染を早期に発見し、ネットワークからの隔離などの対処を迅速に行うことが可能になります。

5-4. 権限管理とOSのアップデート

基本的なことですが、以下の2点は徹底してください。

  • 管理者権限(Administrator)を常用しない 従業員の日常業務には標準ユーザー権限を付与してください。これにより、もし誤ってマルウェアを実行しても、システム深部へのインストールを防げる可能性が高まります。
  • 脆弱性の解消 OSやブラウザ、Officeソフトを常に最新の状態に保つことで、ドライブバイダウンロード攻撃などの侵入経路を塞ぐことができます。

6. まとめ:見えない攻撃者に対する「想像力」を持とう

キーロガーは、映画の中だけの話ではありません。あなたの会社のパソコンの裏側で、今も息を潜めているかもしれない現実的な脅威です。

IT担当者として、以下の3つのポイントを心に留めておいてください。

  1. 入力データは「暗号化前」に盗まれる可能性があるという認識を持つ。
  2. 物理キーボードに頼らない「ソフトウェアキーボード」は有効な選択肢の一つである。
  3. 「盗まれても入れない」環境(多要素認証)と、「入られたらすぐ気づく」環境(EDR)を作る。

攻撃者は常に私たちの隙を伺っていますが、正しい知識と適切なツールがあれば、そのリスクは最小限に抑えられます。 「うちは盗まれて困る情報なんてないよ」という油断こそが、最大のセキュリティホールです。本記事が、貴社のセキュリティポリシー見直しのきっかけとなれば幸いです。

日々の運用は大変かと思いますが、見えない敵から会社を守る盾として、引き続き警戒を緩めず対策を進めていきましょう。

マルウェア 技術