パスワードを忘れた? アカウント作成
13359 story

ソフトウェアキーボードを使用した入力を監視する新たなスパイウエア 48

ストーリー by yoosee
まさにあの手この手… 部門より

O1iver曰く、"ITProの記事によると、スペインPanda Softwareは現地時間9月8日、ソフトウエア・キーボードへの入力を動画として記録し送信するスパイウエアが確認されたとして注意を呼びかけた。
同社が「Banbra.DCY」と名づけたスパイウエアは、ソフトウエア・キーボードを導入している特定のオンライン・バンキング・サイトのユーザーをターゲットとし、このスパイウエアに感染したパソコンでそのサイトへアクセスすると、スパイウエアが動き出してマウス・ポインタが置かれている周辺の画面を次々とキャプチャする。そしてそれらをaviファイルとして保存し、外部へ送信する。同社では今回確認されたスパイウエアのテクニックが、ほかの悪質なプログラムにも応用される可能性があるとして警告している。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by s02222 (20350) on 2006年09月10日 15時15分 (#1015753)
    究極的には、公開鍵暗号の暗号・複合化をユーザの手作業にゆだねるしかないでしょう。

    PCの画面には複合前のメッセージと、それを解読する計算式が表示され、 各ユーザは手帳などに安全に記録した秘密鍵を使って、筆算もしくは関数電卓(PCの電卓ソフトは不可)などで解読、コマンドを同じく暗号化してからキーボードから入力して送信。

    全てのスパイウェアを原理的に排除するにはここまでやるしか無いはずです。逆に言えば、ここまでやっておけば、ネットカフェやら信用できない友人宅やらからのアクセスでも安全です。

    #なので、中途半端なセキュリティキーボードやらの押しつけは止めて欲しい。
    #パスワードは半分ぐらい手の動きで覚えてるので、マウスでぽちぽちやると間違えます。
      • by Anonymous Coward on 2006年09月11日 11時11分 (#1016183)
        ジャパンネット銀行のワンタイムパスワード使ってます。
        トークンがちょっと邪魔ですが、使い始めてみると、便利と安心感が大きいので気にならなくなりました。
        何より、複雑なパスワードを記憶しなくて良いのが楽です…。

        今後、ワンタイムパスワードを使用する銀行増えると思うのですが、トークンを複数配布されるとちょっと困りますね。
        統合されたトークンを用意するか、携帯アプリでまかなえるといいんですが…。
        親コメント
    • >全てのスパイウェアを原理的に排除するにはここまでやるしか無いはずです。

      MSのNGSCBなどの、所謂セキュア・コンピューティングというのは、そこまでやらなくても十分な対抗力を持つためのフレームワークと言えます。
      例えば、キーボードドライバとPC本体のセキュリティチップが連携して情報を保護していれば、怪しいソフトウェアがそれを抜き出すことはもとより、ケーブルの電気信号を途中でキャプチャしても入力内容を抜き出すことは出来ないようになります。

      ところで、公開鍵暗号は計算の面倒な処理なので手でやるのはとても大変ですが、それ以前に一つ問題があります。

      公開鍵で暗号化するのは「パスワードそのもの」か、「そのセッションで使用するランダムなセッション鍵」のどちらかでしょうが、

      ・パスワードそのものの場合は、計算した結果をPC(悪いプログラムが)覚えていれば再利用できてしまう。

      ・PCから提供されたセッション鍵(共通鍵)の場合でも、こっそり裏でセッションを継続されていたら。

      とか考える必要があります。まあ、セキュリティというのはどこか一ヶ所だけを極端に強くしても、次の「最も弱い輪」のところまでしかレベルが上がらないので、ICカード等を使ってサーバから手元までしっかり保護される仕組みを全体で考えるのが効率よいと思います。
      親コメント
    • ICカード類でいいんじゃないの・・・
  • イタチごっこ (スコア:2, 参考になる)

    by phpoobar (26216) on 2006年09月10日 14時13分 (#1015721) ホームページ 日記

    ・・・ソフトウエア・キーボードを導入している特定のオンライン・バンキング・サイトのユーザーをターゲットとし・・・

     リンク先を読めば、分かりますが、これって、

    ・・・実際のキーボードへの入力を記録して盗む「キーロガー」対策として,オンライン・バンキングのサイトなどで導入が進んでいる。・・・

    という前置きがポイントなんですね。

     それにしても、「ピーアンドエー」のスペイン支社?ソフトウェア部門があるのか?って思ったら、ほんとにパンダだった;)
    --
    --- Dead Poet Social Club
  • by wakatonoo2 (30019) on 2006年09月10日 16時41分 (#1015787) 日記
    みずほ銀行のセキュリティ強化への取り組み [mizuho-fg.co.jp]によれば
    第2暗証番号の可変化
     お振込・お振替等の際に使用する第2暗証番号6桁のうち、みずほ銀
    行が都度指定する4桁のみを、指定する順番でご入力いただく方法
    昔なつかしマニュアルプロテクトですね。
    別紙に記載してあるマニュアルの何ページ目の何行目の最初の文字は?
    といった感じで、郵送で送られてくる「第2暗証番号6桁」を
    毎回ランダムに4桁指定の順番で入力させます。

    キーロガーには強そうだけど、毎回キャプチャーされたら
    何回か目にはさすがに全部漏れそう。

    いろんな対策を併用してやっていくしかないでしょうかね。
    他の銀行はどんな対策しているのだろうか
  • by Anonymous Coward on 2006年09月10日 22時08分 (#1015927)
    カーソル付近の画像を送信するだけではパスワードを盗めないソフトウェアキーボードがあります。

    キーの配列をランダムで入れ替えるボタンがあって、ボタンを入れ替えたとき以外は入力用のボタンにキャプションが表示されないものです。
    ユーザーは文字を入力するごとに配置入れ替えボタンを押して、目的の文字のキーを記憶してから押します。

    # 完璧な対策はないけどね
  • by Anonymous Coward on 2006年09月10日 14時14分 (#1015723)
    > マウス・ポインタが置かれている周辺の画面を次々とキャプチャする。

    こういう動作をするものがこれまでは無かったということですか?

    郵貯のサイトのソフトキーボードにその手の手法に対する対策がされて
    いるので、てっきりポピュラーな手口なのだと思っていました。

    • by hinatan (24342) on 2006年09月10日 17時03分 (#1015799) 日記
      カーソルはキャプチャされないから、
      ソフトウェアキーボードのボタン?に凹んで見える効果が
      なければキャプチャされても大丈夫なのかも。

      マウスカーソルの座標(ベクトルデータ)とクリックイベントも取得して、自前のマウスカーソルの画像と合成してAVIにしているのならだめだけど。
      親コメント
      • by taka2 (14791) on 2006年09月10日 18時06分 (#1015828) ホームページ 日記
        タレコミに
        > マウス・ポインタが置かれている周辺の画面を次々とキャプチャ
        とある通り、マウスカーソルの位置はもろバレですよ。

        ムービー(avi)にしてしまっているので、
        「クリック」しているかどうかの情報は出ませんから、
        画面見た目に凹む効果が無ければそれなりに効果的ですかね。
        関係ないボタンも一通りカーソルを動かしておく必要がありますが…
        親コメント
  • Keylogger Jammer [fairyland.to]
    自力で発見する手助けをするだけですが。

    #キーロガー発見系のサービスって信用できるのだろうか?
  • by Anonymous Coward on 2006年09月10日 16時43分 (#1015789)
    ソフトウェアキーボードは安全な入力ですって書いてあるサイト多いんですが、これもかけなくなりますね
    (もともと信用してませんでしたが)

    逆にキャプチャーとして残されるのなら、キーボードで入力したほうが安全なんでしょうね、この場合「*」とかで表示されるので)
    • >逆にキャプチャーとして残されるのなら、キーボードで入力したほうが安全なんでしょうね、この場合「*」とかで表示されるので)
      つ「キーロガー」
      送られるデータは1種類と決めつけてはいけません。
      • > つ「キーロガー」
        > 送られるデータは1種類と決めつけてはいけません。

        いやいやわかってますよ。
        そんなこと。
        あくまでもこのスパイウェアの挙動に対してかいただけですので。。
  • by Anonymous Coward on 2006年09月10日 13時55分 (#1015704)
    何かが動かなくなって助けを求めてきた人に送りつけるとかなり便利かもしれない。
    • Re:発想を変えて (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2006年09月10日 14時08分 (#1015716)
      つ VNC
      つ Remote Desktop

      そもそも、助けを求めてくる人が、IPアドレスを相手に教える(調べる)事ができるかどうかという方が、問題な気がしないでもない。
      親コメント
      • Re:発想を変えて (スコア:4, おもしろおかしい)

        by skyfang (17208) on 2006年09月11日 9時39分 (#1016128)
        「パソコン動かなくなったんだけど、助けて~」
        「貴方のパソコンのIPアドレスは?」
        「えーと、127.0.0.1」
        「ちゃんと動いてるようですけど?」
        「え~、だって動いてないよ」
        「アドレス127.0.0.1ですよね?」
        「そう、127.0.0.1」
        「やっぱり動いてますよ」
        「え~、だって動いてないよ」
            :
        以下ループ(w

        親コメント
      • Re:発想を変えて (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2006年09月10日 20時25分 (#1015882)
        スパイウェアはメールで送れる。
        インストールはウィルスの感染と同じようにワンクリックで完了。
        助けを求めてくる人が直前にやっていそうなことをさせるだけでOKなんだが。

        VNCやRemote Desktopとやらはそこまで簡単に素から使えるようにできるのかな?
        親コメント
      • by isogame (31637) on 2006年09月10日 20時28分 (#1015884)
        それは http://checkip.dyndns.org/ [dyndns.org] とかにアクセスさせることができればいいとして
        ポートをこちらが出向いたときに開けておくとかしないといけないしなぁ
        親コメント
      • VNCにはListenモードというのがあります。
        サーバ(操作される側)からクライアント(操作する側)にコネクションを張りますので、
        サーバ側のIPアドレスを事前に知る必要はありませんし、
        ファイアウォール越えだとか穴を開けてとか難しい設定は不要です。

        助けを求めた人に
        ・VNCサーバをインストールさせる
        ・「Add new client」で、こちらから指定したIPアドレス/ホスト名を入力させる
        ことができればOK。

        #それでも、難易度はかなり高そうだ…
        #事前にインストールしておけばいいんでしょうけど…
        親コメント
      • by Namany (19002) on 2006年10月02日 9時33分 (#1030042) 日記
        親のサポートのため、実家のPCにDDNSのIP自動登録ツールを仕込んでいました。
        #今は実家住まいだけど。
        親コメント
  • by Anonymous Coward on 2006年09月10日 16時57分 (#1015795)
    前からあったはずです。
  • by kgw (29702) on 2006年09月10日 19時41分 (#1015864)
    そこでワンタイムパスワードの出番ですよ。
    三井住友銀行がワンタイムパスワード採用 [srad.jp]
typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...