HP(ヒューレット・パッカード)」はユーザーのキータイピングを秘密裏に記録する「キーロガー」がインストールされたPCやタブレットを20種類以上販売している、と海外セキュリティコンサルティング会社のmodzeroが指摘しています。

[EN] Keylogger in Hewlett-Packard Audio Driver | mod%log

https://www.modzero.ch/modlog/archives/2017/05/11/en_keylogger_in_hewlett-packard_audio_driver/index.html



HP laptops covertly log user keystrokes, researchers warn | Ars Technica

https://arstechnica.com/security/2017/05/hp-laptops-covert-log-every-keystroke-researchers-warn/

HPのPCやタブレットにインストールされているというキーロガーは、オーディオチップの製造元であるConexantによって開発されたデバイスドライバに含まれているそうです。modzeroによると、デバイスドライバコンポーネントのひとつには「MicTray64.exe」という実行ファイルが含まれており、これが全てのキーストロークを記録する模様。なお、記録したキーストロークはデバッグインターフェイスに送信されるか、コンピューターのCドライブで使用可能なログファイルに書き込まれるそうです。

modzeroのセキュリティ研究者によると、「このタイプのデバッグはオーディオドライバを効果的なキーロガーに変えてしまいます。このキーロガーはファイルのメタ情報に基づくと、少なくとも2015年のクリスマス以降からHPのコンピューター上に存在しています」とのことで、少なくとも約1年半にわたってユーザーのキー入力情報を秘密裏に収集していたことが明らかになっています。



なお、「C:\Users\Public\MicTray.log」がキー入力情報を保存したログファイルで、これは端末を再起動した際に上書きされるそうですが、いくつかの方法でその内容を数週間、あるいは無期限に保存し続けることも可能であるとmodzeroは指摘しています。また、フォレンジックツールを使えば簡単に削除されたファイルや上書きされたファイルを復元することもできるため、キーロガーが保存したデータを復元することは比較的容易とのこと。ただし、記録された情報が勝手にインターネット上にアップロードされることはないそうです。

このキーロガーがインストールされている端末には、HPのHP EliteBooks、HP ProBooks、HP ZBooks、HP Eliteなどが含まれるそうです。また、「C:\Windows\System32\MicTray.exe」または「C:\Windows\System32\MicTray64.exe」という実行ファイルを見れば自分のコンピューターが危険にさらされているかどうかを確認可能。なお、modzeroは他のメーカーが販売しているPCで、Conexantのドライバを搭載しているものも同様の危険にさらされている可能性があると述べています。

BleepingComputer.comによると、キーロガーがインストールされているPCは以下の28種類だそうです。

Keylogger Found in Audio Driver of HP Laptops

https://www.bleepingcomputer.com/news/security/keylogger-found-in-audio-driver-of-hp-laptops/

HP EliteBook 820 G3 Notebook PC

HP EliteBook 828 G3 Notebook PC

HP EliteBook 840 G3 Notebook PC

HP EliteBook 848 G3 Notebook PC

HP EliteBook 850 G3 Notebook PC

HP ProBook 640 G2 Notebook PC

HP ProBook 650 G2 Notebook PC

HP ProBook 645 G2 Notebook PC

HP ProBook 655 G2 Notebook PC

HP ProBook 450 G3 Notebook PC

HP ProBook 430 G3 Notebook PC

HP ProBook 440 G3 Notebook PC

HP ProBook 446 G3 Notebook PC

HP ProBook 470 G3 Notebook PC

HP ProBook 455 G3 Notebook PC

HP EliteBook 725 G3 Notebook PC

HP EliteBook 745 G3 Notebook PC

HP EliteBook 755 G3 Notebook PC

HP EliteBook 1030 G1 Notebook PC

HP ZBook 15u G3 Mobile Workstation

HP Elite x2 1012 G1 Tablet

HP Elite x2 1012 G1 with Travel Keyboard

HP Elite x2 1012 G1 Advanced Keyboard

HP EliteBook Folio 1040 G3 Notebook PC

HP ZBook 17 G3 Mobile Workstation

HP ZBook 15 G3 Mobile Workstation

HP ZBook Studio G3 Mobile Workstation

HP EliteBook Folio G1 Notebook PC


modzeroの指摘通り、キーロガーがインストールされたPCを共有のものとして使用している場合は特に注意が必要です。なお、「C:\Windows\System32\MicTray.exe」または「C:\Windows\System32\MicTray64.exe」のファイルを削除することは可能ですが、HPまたはConexantによるアップデートなどは記事作成時点ではありません。