キーロガー攻撃は、一般的かつ特に侵襲的な種類のマルウェアを使って被害者を悪用します。ユーザー認証情報の収集から、アカウント乗っ取りの容易化、マルチフェーズ攻撃などに至るまで、キーロガーはあらゆる規模の企業に重大な脅威をもたらします。
キーロガー攻撃の最も一般的な種類や、年月を経てどのように進化してきたか、また、組織がそれらを防ぐ方法など、この記事を読んでキーロガー攻撃について詳しく学びましょう。
キーロガー攻撃とは何か?
キーロギングまたはキーストロークロギングは、機密情報にアクセスするためにユーザーのコンピューターアクティビティを追跡したり記録したりする目的で、サイバー犯罪者が使用するツールです。スパイウェアの一種であり、ユーザーが入力したすべてのキーボード情報を記録します。サイバー犯罪者は、ユーザーの認証情報を盗んだり、クレジットカード番号などの機密情報を記録したり、オンラインのブラウジングアクティビティを追跡したりするために攻撃をしかけます。
キーロガーの種類
キーロガーは通常、ハードウェアまたはソフトウェアのいずれかを介して配布されます。どちらも機密情報を取得し、ユーザーと組織の両方に深刻な結果をもたらす可能性があります。組織が認識すべき最も一般的な種類を一部ご紹介します。
APIベースのキーロガー
APIベースのキーロガーは、脅威アクターが使用する最も一般的な種類のものであると考えられており、ユーザーのキーボードAPIを利用してすべての入力されたキーボード情報を傍受します。脅威アクターは、ユーザーが入力した各キーボード情報を確認し、その情報を独自のシステムに保存します。このソフトウェアは通常、悪意のあるWebページやセキュリティが不十分なWebブラウザに埋め込まれたコードを介してユーザーのデバイスにインストールされます。
ハードウェアキーロガー
ハードウェアキーロガーは、ユーザーが入力したキーボード情報を追跡して記録するためのコンポーネントが埋め込まれた侵害されたキーボードです。ハードウェアキーロガーは、ソフトウェアベースのバージョンよりもはるかにまれですが、検出が難しいため、脅威アクターにとって魅力的な手段です。これらのデバイスは入力したキーボード情報の記録を悪意のあるハードウェアに直接保存します。つまり、脅威アクターは物理的なキーボードを回収して、入力したキーボード情報の記録にアクセスしなければなりません。
カーネルベースのキーロガー
カーネルベースのキーロガーは、管理者権限を取得するためにユーザーのコンピューティングシステムの中核を狙います。コンピュータのオペレーティングシステムの中核はカーネルとしても知られているため、この種類のキーロガー攻撃に、この名前が付けられました。カーネルベースのキーロガーは、コンピュータのオペレーティングシステムに比較的簡単に隠れることができるため、検出して削除するのが非常に困難な場合があります。インストールされると、脅威アクターはオペレーティングシステムによって処理されるすべての入力されたキーボード情報にアクセスできるようになります。
時を経て進化したキーロガー攻撃
キーロガーは当初、企業が従業員のデバイスの使用状況を測定したり、IT担当者が問題を解決するのを支援したりするためのものでしたが、それが進化して悪意のあるツールになりました。
近年は、ハードウェアやソフトウェアベースのバージョンがキーロガー攻撃の主な形態でしたが、モバイルデバイスやタブレットの使用が増えたことを受けて、モバイルベースのキーロガーが出現しました。一部のモバイルキーロガーは、入力されたキーボード情報を記録するだけでなく、古いメールにアクセスしたり、位置情報を明らかにしたり、マイクに侵入したりできます。
キーロガーを使って、ログイン認証情報や企業の機密データなどを入手します。そのため、サイバーセキュリティの防衛対策を立てる際には、この形態のマルウェアを最優先に考慮しなければなりません。しかし残念ながら、それらを検出するのは困難な場合があります。
キーロガー攻撃を検出して防ぐ方法
キーロガー攻撃は常に進化しているため、組織がこれらの変化に対応できるアジャイルなサイバーセキュリティソリューションを実装するのは困難です。ただし、すべての組織が自社を保護するために採用すべきサイバーセキュリティソリューションがあります。
多要素認証(MFA)
多要素認証を導入することで、アカウントに追加のセキュリティレイヤーが加わり、少なくとも2つの形式の検証を経なければ、ログインできなくなります。ユーザー名とパスワードの他に、追加の検証形式として、通常、PINコードや指紋スキャン、セキュリティの質問などを加えます。ハッカーはMFAをすり抜けることはできますが、このセキュリティ対策を講じることで、パスワードが侵害された場合にハッカーがアカウントにアクセスするのを防げます。
ユーザーの認識トレーニングへの投資
人間の行動はデータ侵害の最大の原因になっており、組織のサイバーセキュリティに対する最大の脆弱性です。ユーザーが悪意のあるリンクをクリックしたり、マルウェアが組み込まれた添付ファイルをダウンロードしたりすると、キーロガーマルウェアがシステムにすばやく感染し、ネットワーク全体でさらに侵害が広がる可能性があります。
従業員を保護するには、サイバー脅威を発見して対処する方法をユーザーに教えるユーザーの認識トレーニングを採用して、適切なサイバー衛生慣行を維持しなければなりません。教室形式の指導や一般的な指導にもメリットはありますが、必要に応じてパーソナライズされ、自動化されたリアルタイムの指導をユーザーに提供する、より効果的なユーザーの認識トレーニングプログラムを探しましょう。
マルウェア対策技術を備えたメールセキュリティの採用
メールは、サイバー脅威の最大の経路であり、マルウェアを配布する最大のチャネルです。組織がマルウェア対策機能を備えたメールセキュリティを採用しなければならないのは、そのためです。セキュアメールゲートウェイ(SEG)のような従来のソリューションは、すでに認識されているシグネチャのあるマルウェアなどの既知の脅威に対する保護を提供します。しかし、SEGは、ゼロデイ攻撃で使われるものを含め、未知のサイバー脅威を防御することはできません。
45万種以上の新しいマルウェアの亜種と潜在的に望ましくないアプリケーションが日々導入されているため、統合的かつAIを備えた、脅威の検出と対応を提供するメールセキュリティソリューションの採用を検討しなければなりません。これらのソリューションを採用することで、まだ実際に確認されていないものを含め、あらゆる種類のマルウェアの脅威をフィルタリングできるようになります。また、これらのソリューションは、内部ネットワークを通過するマルウェアの脅威をブロックして修復します。
Vadeは、マシンインテリジェンスとヒューマンインテリジェンスを組み合わせたAIを備えたソリューションを提供し、ポリモーフィック型や環境を意識したマルウェアなど、現在最も高度で動的なマルウェアの亜種を検出して無力化します。マルウェア対策機能を備えたメールセキュリティは、この記事で詳しく説明したその他の対策と共に、組織を侵害から保護するのに役立ちます。
