その昔秋葉原で買ったものの動かなくなってしまったハードウェアキーロガーについて、廃棄する前に写真や使い方などを記録しておきます。

動作確認環境

• Windows 11 Home 22H2

ハードウェアキーロガーの動作

ハードウェアキーロガーとは、外付けキーボードとパソコンの間に接続するキー入力記録装置です。
下の写真は 2011 年に秋葉原で購入したものです。いまは秋葉原でキーロガーを入手することはできないと思いますが、そのときはレジの上だったか横だったかのパネルに普通にぶら下がっていました。

価格は 4,500 円と少々高かったものの、デバイス寄りの仕事をしていたこともあり、調査のため購入したものになります。他人の PC に接続したことはありません。

別の角度から見た装置本体です。一方が USB Type-A オス、もう一方が USB Type-A メスになっています。

接続したときの写真です。左がノート PC、中央がキーロガー、右側が外付けキーボードのケーブルです。

接続するだけですぐにキーロガーとして機能し、キー入力が PC 側に通知されるとともに装置内部のメモリに記録されます。
そして、キーボードから専用のパスワードを入力すると装置が USB メモリに成り代わり、キーの記録がエクスプローラーなどからファイルとして取り出せる仕組みになっていました。
現在は壊れてしまい何のキーを叩いてもまったくの無反応ですが、当時試した範囲、たまに記録に取りこぼしがあったように覚えています。

ベンダー ID の調査

この装置を PC に差すと、デバイスマネージャーの「ヒューマンインターフェイスデバイス」配下に「USB 入力デバイス」が 2 個追加されます。下の画面では、もとからあるキーボードとマウス分 + キーロガー分で 4 個になっています。

新規追加された USB 入力デバイスのプロパティを見ると、いずれもベンダー ID (VID) は 0x0A81、プロダクト ID (PID) は 0x0205 でした。

usb.org でベンダー ID 0x0A81(= 2689) を調べると、「Chesen Electronics Corp.」とあります。

Web で「Chesen Electronics」を調べると、台湾の「巨盛电子股份有限公司」にヒットします。

このキーロガーは、箱にも本体にもメーカー名が書いてありません。それではベンダー ID が示す巨盛電子製なのかというと、箱のシールには Made in Taiwan ではなく Made in China と書いてありますし、同梱の説明書は繁体字ではなく簡体字（と英語）で書いてあることから、台湾製のチップを利用した中国製だと思われます（正確なところは不明）。

いずれにせよ、独自のベンダー ID が割り振られているということは、ソフトウェアによりこの装置の存在が検出できるということです。ただし、ベンダー ID を偽装できるキーロガーもあります [1]。

ハードウェアロガーの分解

装置を開けて中身を取り出します。コピー防止のためか、やましいところがあるのか、チップの表面を削り取って型番を分からなくしています。

裏面です。128MB のマイクロ SD カードが入っていました。

SD カードを抜き取っておそるおそる PC に差してみると、なんと、パスワードを入力することなく、キー入力の情報が記録された昔々のファイルを取り出せてしまいました。

ところで、基板から伸びている 2 本のコードと金属片は何なのでしょうか。勘所がなくあてずっぽうになりますが、耐タンパー性確保のためのトラップだったとすると、見事引っかかったことになります。

おわりに

2011 年に店頭で買ったキーロガーの情報を書き留めておきました。現在も、Amazon なり海外のサイトなりでハードウェアキーロガーは販売されています。しかし、当然ながら他人のパスワードの窃取などに使うと犯罪になりますのでご注意ください。通販ですと購入履歴も残ります。

参考文献

[1] Hak5「KEY CROC」
https://shop.hak5.org/products/key-croc