マルウェア

キーロガーきーろがー

マルウェアスパイウェアパスワード窃取情報漏えいキーストロークフィッシング

キーロガーについて教えて

簡単に言うとこんな感じ！

キーロガーはキーボードで打った内容をこっそり記録して、攻撃者に送りつけるソフト（またはハード）だよ。パスワードもクレカ番号も、打った瞬間に筒抜けになっちゃうって話！

キーロガーとは

キーロガー（Keylogger） とは、ユーザーがキーボードで入力した内容を記録（ログ）するソフトウェアまたはハードウェアのこと。もともとはシステム管理や親権管理を目的とした正規ツールとしても存在するが、攻撃者が悪用する場合はスパイウェアの一種として分類され、パスワード・クレジットカード番号・個人情報などを盗み出すために使われる。

感染した端末上で動作するソフトウェア型キーロガーは、OSのキーボード入力イベントをフックし、入力内容をファイルに記録したり、ネットワーク経由でC2サーバー（Command & Control サーバー：攻撃者が操る遠隔指令サーバー） にリアルタイム送信したりする。ユーザーには何も見えないため、長期間にわたって気づかれず情報が流出し続けるケースも多い。

キーロガーの種類と仕組み

種類	動作方式	特徴
ソフトウェア型（カーネルレベル）	OSカーネルに組み込まれ入力を横取り	検出が非常に難しい
ソフトウェア型（APIフック型）	Windows APIをフックして記録	最も普及しているタイプ
ソフトウェア型（フォームグラバー）	ブラウザのフォーム送信を直前に取得	HTTPS通信でも突破できる
ハードウェア型	PCとキーボードの間に物理的に挿入	ソフトで検出できない
クラウド型	仮想キーボードを監視・スクリーンショット	モバイル・タブレット対象

覚え方：「キー（鍵）を盗むロガー」

「キーロガー」の「キー」はキーボードのキーでもあり、パスワードという”鍵”を盗むという意味にも重なる。「パスワードという鍵を盗む記録係」とイメージすれば忘れない。

攻撃の流れ

[攻撃者]
  │
  ├─① マルウェア配布（フィッシングメール・不正サイト等）
  │
  ↓
[被害者PC] ← キーロガー常駐・起動
  │
  ├─② キーストロークを記録
  │     例）パスワード・クレカ番号・メール文章 など
  │
  ├─③ 収集データをC2サーバーへ送信（暗号化通信）
  │
  ↓
[攻撃者のサーバー] → ④ 情報を悪用

歴史と背景

1970〜80年代：もともとは企業のシステム監査やデバッグ目的で開発されたキー入力ログツールが原型
1990年代後半：インターネット普及とともに悪意あるキーロガーが登場。インターネットバンキングの浸透でパスワード窃取の標的が拡大
2003年頃：フィッシング攻撃と組み合わせたキーロガーの大規模被害が報告されはじめる
2010年代：APT（Advanced Persistent Threat：高度な持続的攻撃） の常套手段として、標的型攻撃に組み込まれるケースが増加
2020年代：リモートワーク普及で私物PCや野良ネットワーク経由の感染が増加。クレデンシャル（認証情報）窃取型マルウェアの中核技術として依然として健在

キーロガーと関連する攻撃・対策技術

ソフトウェア型 vs ハードウェア型の検出難易度

MFA（多要素認証）との関係

キーロガーでパスワードを盗まれても、MFA（Multi-Factor Authentication：多要素認証） が有効な場合は被害を大幅に防げる。パスワードだけでなくスマートフォンの認証コードや生体認証を組み合わせることで、「パスワードを知っているだけ」では不正ログインできない状態を作れるためだ。

ただし、キーロガーとリアルタイムのフィッシング（AiTM攻撃：Adversary in The Middle） を組み合わせた攻撃では、MFAコードも即座に横取りされるケースがあり、FIDO2/パスキー などのフィッシング耐性のある認証方式への移行が推奨されている。

検出のヒント

兆候	意味
不審なプロセスが常駐している	APIフック型キーロガーの可能性
通信量が増加している（少量・定期的）	C2への定期送信の可能性
キーボードとPCの間に見知らぬUSBデバイス	ハードウェアキーロガーの可能性
セキュリティソフトがアラートを発報	ソフトウェア型を検知

規格・番号	内容
NIST SP 800-83	マルウェアインシデント対応ガイド（キーロガー含むスパイウェア対策を含む）
MITRE ATT&CK T1056.001	キーロギングの攻撃手法をATT&CKフレームワークで定義