ニュース
HP製PCのオーディオドライバにキーロガーが発見される
~該当ユーザーは対策を推奨、ドライバ開発者が誤って実装か
2017年5月12日 13:50
スイスのセキュリティ企業modzeroは11日(現地時間)、米HPのPCにプリインストールされているオーディオドライバに、キーロガーを発見したことを発表した。
キーロガーとは、ユーザーのキーボード入力を監視、記録するもの。利用次第ではIDやパスワード、住所、氏名といった個人情報まで盗むことができるため、セキュリティ上問題視される場合がある。今回のオーディオドライバのキーロガーは、少なくとも2015年のクリスマス以降に出荷されたHP製PCに存在しているという。
問題となっているのは、ドライバパッケージのコード内に、全キーボード入力を傍受して処理を行なう部分がある点。本来これはHP製PCに搭載されているマイクのオン/オフや録音中を示すLEDの制御など、オーディオハードウェアを制御するための特殊なキーが押されたかを認識するためのものとなっている。
しかし開発者は、デバッグのために全キーストロークをデバッグインターフェイスを通じてブロードキャストしたり、ストレージ内のパブリックディレクトリのログファイルに書き込むといった機能を実装しており、modzeroでは結果としてドライバパッケージをキーロガースパイウェアに変貌させていると指摘している。
現在の最新のバージョンである「1.0.0.46」では、全キーストロークを「C:\Users\Public\MicTray.log」ファイルに書き込んでおり、ファイルはログインごとに上書きされるものの、フォレンジックツールなどで内容を簡単に監視することが可能であるという。
このソフトウェアそのものは、主に映像や音声処理用のICを開発している米Conexantによって開発およびデジタル署名されており、HPのWebサイト上でデバイスのドライバパッケージとして提供されている。
modzeroでは、このキーロガーは意図的に実装されたものではなく開発者の過失であろうとしており、ロギングを無効にすればユーザーのデータの機密性にも問題はないと述べている。
この問題が修正されるまでは、HP製PCのユーザーは「C:\Windows\System32\MicTray64.exe」または「C:\Windows\System32\MicTray.exe」がインストールされているかどうかを確認し、されていた場合は、キーストロークが記録されないよう、ファイルを削除またはファイル名を変更するように推奨している。ただし、それらの対策によってキーボードの特殊機能キーが正常に動作しなくなる可能性がある。
また、ストレージ内に「C:\Users\Public\MicTray.log」ファイルが存在する場合は、ログイン情報やパスワードなどの重要な情報が含まれている可能性があるため、直ちに削除するように促している。