管理者権限とスパイウエアの関係
△ 図をクリックすると拡大されます |
表2●管理者,標準ユーザー,制限ユーザーが書き込める場所の違い
|
Windows XP Professionalで登録できるユーザー・アカウントの種類には,管理者(Administrators),標準ユーザー(Power Users),制限ユーザー(Users)があり,そのほかの特別なアカウントとして「Backup Operators」や「System」などがある。そしてそれぞれに「書き込める場所」と「書き込めない場所」が設定されている(表2)。
もし,スパイウエアが「システム・ファイルを変更する」「システム・フォルダやProgram FilesフォルダにDLLファイルなどを書き込む」「レジストリに設定を登録する」——といった動作をするものである場合,そのスパイウエアは,ログオン中のユーザーが管理者や標準ユーザーでなければ活動できない。
しかし,Documents and Settingsフォルダの下にある各ユーザーのフォルダにのみファイルをコピーするスパイウエアであれば,ログオン中のユーザーが制限ユーザーであってもインストールされるし動作もできる。
制限ユーザーでも動作可能
実際のスパイウエアの中には,制限ユーザーでも動作するものが多い。しかも,ユーザーに隠れてインストールされ,隠れて動作するよう設計されている。
こういったスパイウエアは,単にファイルをコピーするだけで動作する簡単なプログラムでありながら,キーボード入力を収集したり,外部に情報を漏らすための通信機能を備えている。それらの機能はアカウント制限に関与しない技術を使用しており,制限ユーザーの権限でも動作する。
また,「Documents and Settings」内の「スタートアップ」フォルダは,制限ユーザーでも書き込める。これが利用されると,ユーザーのログオン時に自動的にスパイウエアが実行されてしまう。
△ 図をクリックすると拡大されます |
図1●キー・ロガーが制限ユーザーの権限だけでできたこと
|
キー・ロガーはユーザーが通常気づかないような,それでいて制限ユーザーが書き込みが可能である「Documents and Settings」フォルダの奥深くにインストールされた。また,スタートアップにショートカットが登録されており,ユーザーのログオン時にキー・ロガーが自動的に実行されるようになっていた。
キー・ロガーが実行されても,その存在はタスク・バーや[タスクマネージャ]の[アプリケーション]タブには表示されない。[プロセス]タブには表示されたが,キー・ロガーの中には,[プロセス]タブにすら表示されないものもある。
そしてキー・ロガーは,ユーザーが入力したキー入力のすべて(Ctrlキー,Shiftキー,ファンクション・キー,Enterキー,英数字,矢印キー)を盗み出した上で,あらかじめ設定してあるメール・アドレスに対してキー入力内容を送信していた。キー・ロガーにはSMTP機能が実装されており,こういった情報は電子メールとして外部に送信されていたのだ。
Windows XP Service Pack 2では,「Windowsファイアウオール」が標準で有効になっているが,外向きの通信を一切遮断しない。キー・ロガーが収集した情報が送信されるのは防御できない。
なお,キー・ロガーの中には,特定のWebサイトにアクセスしているときだけキー入力を記録するものがある。データを送信する際にも,既存のメール・ソフトを利用したり,特定のインターネット・リレー・チャット(IRC)に書き出したり,特定のWeb掲示板に書き出したりする。スパイウエアのこのような動作は,検出が非常に難しい。