今日(2017/05/12)、仕事の席に座っていると一通のメールが届きました。英語の文章が引用されたメールで、最初はなぜ私に送られたメールかわからなかったのですが、本文にはURLとHPのロゴマークが。
面倒くさかったのですが読んでみると、HPのトートPCにキーロガーが仕掛けられているという内容。
https://www.bleepingcomputer.com/news/security/keylogger-found-in-audio-driver-of-hp-laptops/
ちなみに、キーロガーとは、パソコンのキーボードから入力されたキータイプを全てファイルに記録してしまうソフトウェアの種類のこと。オンラインショッピングサイトのアカウント情報、メールの内容、会社の社外秘情報などもなど、キータイプを記録されてしまっては丸裸。ユーザーのキータイプがパソコンの外に流出すると大問題になります。
文章を読んでゆくと、通常タスクバーに常駐しているサウンドをコントロールするための MicTray というプログラムがキーボードタイプを C:\Users\Public\MicTray.log というファイルに記録するというもの。
MicTrayという通常ロギングとは関係なさそうなアプリケーションがキーロガーということなので、最初に思ったのはHPのWebサイトにウィルスが混入したの?かってこと。
時間が経つにつれ、「HP note keylogger」で検索するだけで、大量の情報ページURLが表示され、日本語の情報も増えてきました。反響の大きさにびっくりです。
いろいろ文章を読んでゆくと、単なる事故で、個人ユーザーにはほぼ無影響。どちらかというと企業が配布しているHPのノートPCを使っている人が気分が悪くなりそうだと理解できました。
まず、キーロガーを作ったのは誰かというと、HPノートPCに搭載されているサウンドチップのドライバーを作っている半導体メーカー(Conexant)のソフトウェア部門のようです。
ノートパソコンはデスクトップパソコンと違い、ボリュームコントロールボタンが付いているものが殆どです。
HPのノートパソコンが採用しているサウンドチップのドライバーは、音を出したりMic入力をデータに変換する他、ボリュームコントロールボタンがクリックされたことを検知して、音声出力を大小コントロールする必要があります。ドライバーの開発者が、デバッグ用にボリュームコントロールボタンの押され具合を把握するために、それをファイルに書き込むルーチンをドライバーに入れていたのではないか。そして、プログラマーがボリュームボタン情報だけを記録すればいいのに、全部のキー情報を保存できるようにしていたのではないか?ということのようです。とにかく、キーボードの操作情報が C:\users\public\MicTray.log に保存されるようになっていて、2015年末頃から販売されているHP製のノートPCにプリインストール状態で組み込まれているとのこと。
デバッグ後にドライバーから取り除かなくてはならなかったキーログルーチンを消し忘れていたのか、消す前に担当替えがあったのか、エンジニアがクビになったか・・・・真相はわかりませんが取り除かれるべきルーチンが残ってしまったままになっていたと推測できます。
キーボードタイプ情報はファイルに書き込まれますが、ログイン操作毎にリセットされ、自発的に外部サイトにアップロードされることもない。C:\Users\Pubic を共有で外部に公開していない場合は、ファイルが外部に漏れ出す必然性はないはずです。
どんなケースで、自分がタイプした情報がPCの外に流れ出すかを考えてみると、
- 他人とPCを共有している場合。個人所有のノートPCの場合は、家族くらいでしょう。
- 会社所有ノートPCの場合は、通常は一人一台でしょうし、業務目的にのみ使用しているなら、あまり問題にならないでしょう。
- 会社所有ノートPCで好き勝手いしていて、他人と共有していると、C:\Users\Public フォルダーを開いてみると、相棒のキータイプ情報が保存されているかも知れません。
- ノートPCのC:\Users を外部サイトのバックアップサービスに預けたりしていると、、、、 MicTray.log が外部に保管されていることになるかもしれません。ただ、そういうサービスの管理者を疑うくらいなら、最初からクラウドサービスなんて利用するべきではないでしょう。クラウドサービスのサーバー管理者は、見ようと思えばユーザーのメールだろうと、個人ファイルだろうが見放題です。
- 会社などの組織が持つドメインの管理者(管理権限を持つ人)は、メンテナンス上、他人のPCの Cドライブを \\CompPC\C$ としてアクセスすることができるため、偶然または意図的に C$\Users\Public\MicTray.log を読んでしまう。
これくらいの場合ではないかと思います。
個人PCの場合、やばいのは P2Pファイル交換をしていてウィルスに感染したまま C:\ を公開してしまうくらいでしょうけど、その場合は MicTray.log が流出する程度は、自分のPCのCドライブが公開されることに比べれば微々たるものでしょう。要するにHPノートPCを個人使用している場合は、慌てることはない程度の事故です。
会社の財産としてのHPノートパソコンの場合は、ちょっと微妙。会社所有のPC上のデータは基本的には会社の所有権なので、見られて困るものは無いはず。それをメンテナンスしている管理者権限の人は、他人PCの C:\users\public\MicTray.log を自由に読み取ることが出来ます。確かに、見る権限を持っているわけですが、仕事の上とはいえ、見るのも見られるのも気持ちがいいものじゃないです。知っている人の変なものを見てしまってごらん、相手の顔をまっすぐ見られなくなりますよ。
まとめると、HPノートPC利用者にとって今回の事故は、気持ちのいいものじゃないですが、普通に使っている範囲においては、殆どの人に影響ないものと思います。同じPCを利用している人は見ることができるので、PCを他人が使う前には、一度完全にログオフしましょう。ってことかな。
実際に MicTray.log が流出するのは、ウィルスに感染したような場合で、このケースではキーロガーが入っていようがいまいと、大した違いはありません。
大騒ぎした割には、あまり心配する必要はない事件のようです。
今回は、HPが名指しされましたけど、同じサウンドチップを使っている別メーカーのPCがあれば、ドライバーは共通でしょうから、同じ状況のはずです。
とりあえず、C:\users\public\MicTray.log のファイルから書き込み権限を外しておけばいいんじゃないかな?って思います。ログイン毎にMicTray.log の中身はリフレッシュされるかな〜?私はHPのノートPCを持っていないのでわかりませんけど、MicTray.exe や MicTray64.exe を消去するほどのことではないんじゃないかな。
私は日本語の情報サイトとして、
http://www.itmedia.co.jp/enterprise/articles/1705/12/news055.html
と
http://pc.watch.impress.co.jp/docs/news/1059295.html
の記事を参考にしました。
余談ですが、友人が先月、HP Probook 450 G3 を買ったとのことで、早速この情報をメールしました。
直撃だったようで、確認してみると C:\users\public\MicTray.log があったそうですが、サイズは0で空っぽだったそうです。しかもタイムスタンプは、2016/11 のもの。
こんなに大騒ぎするほどの事件じゃないのでは?って感じました。
2017/05/16 追記
MicTray64.exe の件でバタバタした週末を過ごし、再び平日に。たった二日の間に状況は一変し、HPのキーロガーなんてどうでも良くなる、ランサムウエア “WannaCrypt” の出現で、仕事場のPC環境の話題は完全に入れ替わりました。WannaCrypt に関しても、Windows上でメールを使っていない私個人的にはどうでもいい話でです。
そんな中、この騒ぎの中、冷静に C:\users\public\MicTray.log を観察していた人からメールが届きました。
C:\users\public\MicTray.log のサイズが膨らんでいたそうです。
サンプルとして添付されていた MicTray.log の内容を見て、ニンマリ。ログは一文字ごとに一行にエンコードされていました。つまり、ログファイルを開いただけでは、内容を理解できません。デコードユーティリティを作って、解析する必要があります。(私は解析していません。ぱっと見たところ、ASCIIにエンコードされている感じでしたので、解析は簡単。デバッグ用途に組み込んだ機能らしいから当然か。)
ということで今回のキーロガー騒ぎは個人の場合、ノートPCを外に持ち出して紛失する可能性がある場合や、共有利用をしているなどで C:\ を誰かが見られる環境になっていない限り影響はなさそうです。(WiFiパスワードが弱かったら盗む気満々の第三者に盗まれますよ。)
2017/05/17 追記
対象のHPノートPCを持っている友人から、その後の情報が入りました。
昨日、Windows Update が走って、それにともない MicTray64.exe が新しいバージョンになり、C:\users\public\MicTray.log も消去されたそうです。
ちゃんと Windows Update を自動実行させている人は、放置しておけば解決するようです。