キーロガーとは
Contents
キーロガーとは
Web上のキーロガーに関する情報はたくさんありますが、キーロガーの開発と使用の多くのニュアンスを詳細に説明する記事を見つけるのは非常に困難です。
それがこの記事が書かれた理由です。
キーロガー、または「 キーストロークロガー」」は、キーストローク、つまりコンピューターのキーボードで押されたキーを記録するソフトウェアプログラムまたはハードウェアデバイスです。
キーロガーの同義語は キーストロークロガー'であり、キーロガーが実行するアクションは キーストロークロギング' または キーボードキャプチャと呼ばれます。
ソフトウェアキーロガーとそれに対応するハードウェアキーロガーの操作は、2つの完全に異なる技術に基づいています。つまり、キーストロークを異なる方法で記録します。
まあ、PCユーザーは違います。それらは情報の処理において異なる役割を果たします。特定のユーザーは次のいずれかです。
- オペレーティングシステムの開発者。
- ソフトウェア開発者。
- 企業のCEO
- 事業主;
- 企業のコンピューターネットワークの管理者。
- 管理者権限を持つコンピューターユーザー。
- 職場のPCユーザー。
- コンピューターを所有するユーザー。
- 情報セキュリティスペシャリスト。
- など
キーロガーを活動に使用することが妥当かどうかを判断するのはこれらの人々です。
技術の使用は有益でも有害でもあり得るというのは一般的な知識です。これは、コンピューターを使用した情報の処理にも適用されます。
キーロガーの合法使用と違法使用のあいまいな境界線はどこにありますか?
答えは簡単です。これらのキーロガーが適用される方法によってのみ区別できます。セキュリティ管理とセキュリティ違反の境界を確認できるのは、アプリケーションのメソッドです。
「 不正使用 」(「 不正な使用」 )という用語は、ローカルネットワーク(たとえば、会社または組織)の所有者(セキュリティ管理者)の知識なしにキーロガーがインストールされたことを意味します。特定のパソコン。 「不正行為」の概念は、世界のほぼすべての国における「違法行為」の概念にかなり近いものです。
不正なキーロガー(ソフトウェアとハードウェアの両方)は、「スパイデバイス」または「スパイウェア」(「スパイソフトウェア」、「スパイプログラム」、「キーロガー」)と呼ばれます。
それらの不正使用は通常、違法行為に関連しています。原則として、不正使用のためのスパイウェア製品は、インストール中にメッセージを表示せず、ウィンドウを開かない、バンドルされた実行可能ファイルを構成および受信できます。また、これらの製品には、事前に設定されたモジュールをユーザーのコンピューターに配信してリモートでインストールできる組み込みツールがあります。つまり、インストールプロセスはユーザーのコンピューターに直接物理的にアクセスすることなく行われ、多くの場合管理者権限を必要としません。
「許可された使用」(「正当な/合法的な使用」)という用語は、ローカルネットワーク(企業や組織など)または特定のパーソナルコンピューターの所有者(セキュリティ管理者)の知識でキーロガーがインストールされたことを意味します。 合法的に使用されるキーロガー(ソフトウェアまたはハードウェア)は、通常、「従業員監視ソフトウェア」、「ペアレンタルコントロールソフトウェア」、「アクセスコントロールソフトウェア」、「個人用セキュリティプログラム」などと呼ばれます。 ユーザーのコンピューターと管理者には、それらを構成およびインストールするための管理者権限が必要です。
使用目的
キーロガーの許可された使用により、ローカルコンピューターネットワークの所有者(セキュリティ管理者)またはコンピューターの所有者(管理者)は次のことができます。
- 重要な単語またはフレーズ(つまり、第三者への開示が重大な損失につながるもの)が入力された場合のすべてのケースを識別します。
- 何らかの理由(従業員の病気、従業員の意図的な行動など)によりアクセスパスワードが失われた場合、コンピューターのハードドライブに保存されている情報にアクセスできる。
- 総当たり攻撃のすべてのケースを迅速に特定(ローカライズ)します。
- 勤務時間外に企業のパーソナルコンピューターが使用されているかどうかを確認し、使用されている場合は、そのときに入力されたものを特定します。
- コンピューターインシデントを調査します。
- 外部の影響に対する従業員の反応がどれほど正確、効率的、適切であったかを判断する科学的調査を実施します。
- コンピューターシステムの障害後に重要な情報を回復します。
商用ソフトウェア製品の開発者は、キーロガーを含むモジュールを次のような多くの目的に使用できます。
- 迅速な単語検索システム(電子辞書、電子翻訳者など)を開発するため。
- 名前、会社、住所(電子電話帳など)をすばやく検索するプログラムを開発するため
キーロガー(キーロギングモジュールを備えたハードウェアまたはソフトウェア製品を含む)の不正使用により、攻撃者は以下を行うことができます。
- キーボードで入力された他の人の情報を傍受します。
- 銀行クライアントシステムを含むさまざまなシステムへのアクセスに使用するユーザー名とパスワードへの不正アクセスを取得します。
- コンピューターユーザーの情報(パスフレーズ)の暗号化保護への不正アクセスを取得します。
- クレジットカード認証データへの不正アクセスを取得します。
キーロガーの分類
タイプによる分類
「ソフトウェアキーロガー」は、PCユーザーのアクティビティを制御するソフトウェア製品のグループに属します。当初、このタイプのソフトウェア製品は、システムキーを含むキーボードで押されたキーストロークを記録し、これらのデータを特別なログファイルに保存することのみを目的としていました。ログファイルは、ネットワーク経由でネットワークドライブ、インターネットのFTPサーバー、電子メールアドレスなどに送信できます。
しかし、今日では、「キーロガー」という名前を保持しているソフトウェア製品は、ウィンドウからの情報の傍受、マウスのクリック、クリップボードの内容、画面のスクリーンショットとアクティブなウィンドウの作成、送受信されたすべての電子メールの記録など、多くの追加機能を実行します、ファイルのアクティビティとシステムレジストリの変更の追跡、プリンターに送信されたタスクの記録、マイクからの音とWebカメラからの画像の傍受など。
「ハードウェアキーロガー」は、キーボードとコンピューターの間に配置したり、キーボード自体に統合したりできる小型のデバイスです。キーボードで行われたすべてのキーストロークを記録します。キーロギングプロセスは、PCユーザーには完全に見えません。ハードウェアキーロガーは、すべてのキーストロークを正常に傍受するために、ターゲットPCにソフトウェアをインストールする必要はありません。ハードウェアキーロガーが接続されている場合、コンピューターがオンかオフかは関係ありません。ハードウェアキーロガーをインストールすると、追加の電源を必要としないため、無制限の時間動作できます。
これらのデバイスの内部不揮発性メモリの容量により、Unicodeをサポートしていても、最大2000万回のキーストロークを記録できます。これらのデバイスにはさまざまな形があり、専門家でさえ情報監査中にそのようなデバイスを検出できないことがあります。接続されている場所に応じて、ハードウェアキーロガーは外部および内部になります。
「音響キーロガー」は、キーボードで押されているキーからの音を記録し、これらの音を分析してテキストに変換するハードウェアデバイスです。
ログファイルの保存場所による分類
- HDD;
- 羊;
- レジストリ;
- ローカルネットワーク。
- リモートサーバー。
ログファイルを送信する手段による分類
- Eメール;
- FTPまたはHTTP(ローカルネットワークまたはインターネット内);
- ワイヤレス接続(無線、IrDA、Bluetooth、WiFiなど、すぐ近くのデバイス、または高度なシステムでは、エアギャップを克服し、物理的に隔離されたシステムからのデータ漏洩を可能にするために使用されます)。
署名データベース内の存在による分類
有名なキーロガーの署名(コードの小さなクリップ)は、スパイウェア対策およびウイルス対策の有名なメーカーの署名データベースに既に含まれています。
署名が署名データベースに含まれていない一部の不明なキーロガーは、いくつかの理由で不明のままになる可能性があります。
- キーロガー(キーロギングモジュール)は、さまざまな政府機関の後援の下で開発できます。
- キーロガー(キーロギングモジュール)は、開発者が独自のオペレーティングシステムのコアに組み込むことができます。
- キーロガーは、ユーザーのコンピューター(たとえば、プロのハッカーが使用するソフトウェア製品)からの重要な情報の盗難に関連する特定のタスクを遂行するために、限られた数(1つまたは複数のコピー)で開発できます。これらのスパイウェア製品は、インターネットから取得され、攻撃者によってコンパイルされたオープンソースのキーロガーをわずかに変更することができます。攻撃者はキーロガーの署名を変更します。
- 商用キーロガー、特に企業ソフトウェア製品にモジュールとして含まれているキーロガーは、アンチスパイウェアやアンチウイルスの有名メーカーの署名データベースに含まれることはほとんどありません。その結果、このソフトウェア製品の完全に機能するバージョンがインターネットに漏洩した場合、サイバー犯罪者は一般的なスパイウェア対策またはウイルス対策ソフトウェアでは検出されないスパイウェア製品に変えることができます。
- キーロガー。ユーザーのコンピューター上のキーストロークを傍受するためのモジュールで、ウイルスプログラムに含まれています。署名データがウイルスデータベースに入力される前は、これらのモジュールは不明です。例としては、キーストロークをインターセプトし、受信した情報をインターネットに送信するためのモジュールを組み込んだ、近年多くのトラブルを起こした世界的に有名なウイルスがあります。
Методы защиты от несанкционированно установленных кейлоггеров
Защита от «известных» несанкционированно установленных программных кейлоггеров:
- использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей с автоматическим обновлением сигнатурных баз.
Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:
- использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.
- использование программ, шифрующих вводимые с клавиатуры данные, а также применение клавиатур, осуществляющих такое шифрование на аппаратном уровне;
Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или антивирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:
- постоянно обновляемые сигнатурные базы шпионских программных продуктов;
- эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.
Защита от несанкционированно установленных аппаратных кейлоггеров:
- тщательные внешний и внутренний осмотры компьютерных систем;
- использование виртуальных клавиатур;
Основные признаки того, что keylogging модуль включен в состав программного продукта его разработчиками и на что следует обращать внимание
Если в программный продукт встроена функциональная возможность подсказывать вам варианты написания набираемого слова по нескольким нажатым клавишам — знайте, это keylogging модуль выполняет свою работу.
Keylogging модули являются неотъемлемой частью современных мессенджеров, текстовых редакторов, словарей, программ по проверке орфографии, программ по переключению раскладок клавиатуры и т.д.
Опасность подобных программных продуктов заключается в том, что официально они не относятся к вредоносным, так как выполняют очень нужные функции для пользователей компьютеров. Но в отличие от программных продуктов, предназначенных для родительского контроля или мониторинга сотрудников, все функции которых открыто объявляются их производителями (разработчиками), о побочных функциях подобных программ зачастую молчат даже их разработчики и производители…. А эти продукты также могут быть использованы злоумышленниками, если они имеют доступ к их настройке без вашего ведома.