キー・ロガーとはスパイウエアの一種で,ユーザーのキー入力を収集して外部にその情報を漏らすもの。国内でもオンライン・バンキングのログイン情報を盗むのに実際に使われた。ここでは,実際に犯罪に使われたTSPY_BANCOS.ANM(TSPY)を例にキー・ロガーの動きを見ていく(図)。
キー・ロガーを使って情報を盗み取ろうとする犯人は,まず何らかの方法でユーザーのパソコンにTSPYを送り込む。実際にあった例では,銀行名で郵送されたCDの中に入っていたりした。郵便には,「セキュリティ対策のためにCDのソフトをインストールしてください」といった説明がついていた。
こうした文句にだまされて,ユーザーがTSPYをうっかり実行してしまうと,まずOSのレジストリが書き換えられて,ユーザーがパソコンを起動するたびにTSPYが確実に実行されるようになる。こうしてTSPYはパソコン内に常駐する。
常駐したTSPYは,すべてのキーボード入力を記録して外部に流すわけではない。TSPYの目的は,オンライン・バンキングのログイン情報。それ以外の情報は無視する。TSPYがすべてのキー入力情報を送るのであれば,情報を受け取った犯人がそれらの中からログイン情報を見つけ出すのは難しいだろう。
そこでTSPYは常駐しながら,ユーザーが使うInternet Explorerのアクセス先を監視する(図の1)。TSPYにはオンライン・バンキングのログイン画面のURLやIPアドレスがあらかじめ登録されている。そして,Internet Explorerが登録先のURLやIPアドレスにアクセスしたタイミングでキーボード入力の収集を始める(同2)。こうして目的のログイン情報だけを抜け目なく盗み出す。
TSPYは,こうして集めた情報をあらかじめ登録されているWebサイトにHTTPで送信する(同3)。TSPYを放った犯人は,このWebサイトに集まったログイン情報を元に,他人の銀行口座から預金を引き出していた。
| ||
|