Googleの不正利用対策研究チームのエリー・バーシュタイン氏は、大学のキャンパスで「紛失」したUSBメモリを介したマルウェア拡散がどれほど効果的かをテストした。その結果、落とされた297本のUSBメモリのうち98%が拾われ、拾った人のほぼ半数(45%)がUSBメモリ内に保存されたファイルをクリックしたことが判明した。
Qubes OSを除くほとんどのオペレーティングシステムは、USBドライブをシステムの他の部分からデフォルトで分離していません。そのため、USBドライブにマルウェアが存在する場合、ユーザーの操作(ファイルのクリックなど)によって、あるいはファームウェアの様々な脆弱性を悪用した不作為によって、システムに感染する可能性があります。
「紛失した」USBドライブの周りの人々の行動をテストする
このプロジェクトの研究者であるバーシュタイン氏は、スティックに「機密」「試験」といった様々なラベルを付けることで、発見者の行動にどのような影響が及ぶかを調べる実験も行いました。その結果、ラベルが貼られているスティックは、ラベルが貼られていないスティックに比べて、発見者がPCでスティックを開く確率が高くなることを発見しました。しかし、返信用アドレスが貼られているドライブは、開けられる確率が大幅に低いことも判明しました。
スティックを発見した人々の行動をさらに調査するため、バーシュタイン氏は、物理キーが付属していたり、返信先住所がラベル付けされていたり、ラベルが付いていなかったりするスティックのファイルにも「プライベート」というラベルを付けました。「機密」スティックのファイルには「ビジネス」というラベルが付けられていました。しかし、どのファイルにも期待通りの内容は入っていませんでした。それらはすべて画像が埋め込まれたHTMLファイルで、研究者のサーバーに接続しており、バーシュタイン氏はそこからどのファイルが開かれたかを確認できました。
ドライブ上のファイルを開くと、ユーザーはギフトカードが当たる可能性のあるアンケートへの参加を尋ねられました。約20%のユーザーが同意しました。同意した人の3分の2以上がスティックを持ち主に返却するつもりだと回答し、18%は中身が「気になった」と回答し、14%はその他の理由を挙げました。
潜在的な攻撃ベクトル
ユーザーが感染した可能性は複数考えられます。クリックしたHTMLファイルが開かれた際に悪意のあるコードを起動させた可能性や、フィッシングサイトにリダイレクトされ、認証情報を盗み出そうとした可能性も考えられます。また、攻撃者がUSBドライブに悪意のある実行ファイルを配置した可能性もあります。ユーザーがそれらをクリックして実行を許可した場合、システムが感染した可能性があります。
あるいは、攻撃者はUSBメモリのように見えるデバイスを、コンピューターからはキーボードとして認識される形で利用することもできます。これは、HID(ヒューマンインターフェースデバイス)スプーフィングを介した、より高度な攻撃です。攻撃者は、キー操作をコマンドセットとしてシステムに「注入」することで、システムへのリモートアクセスを可能にします。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
USBメモリへのシードによる攻撃の中で最も高度なのは、コンピュータのUSBドライバに存在するゼロデイ脆弱性を悪用するものです。これは、国家支援を受けた攻撃者によって頻繁に利用される手法です。こうした攻撃の一例としては、イランの核施設に感染した悪名高いマルウェア「Stuxnet」が挙げられます。
USBファームウェアのゼロデイ脆弱性を悪用した攻撃は、その複雑さとコストの高さから、より稀なケースとなるはずです。しかし、大規模な組織は依然として警戒を怠ってはなりません。なぜなら、大規模なデータ侵害が発生する一因となるからです。一般ユーザーの多くは、USBメモリに見せかけたキーボードスプーフィングデバイスや、悪意のあるファイルを含む本物のUSBメモリなどによって、より頻繁に標的とされるでしょう。ユーザーは好奇心から、これらのデバイスにアクセスする可能性があります。
セキュリティ研究者は、USBスティックをコンピューターに無作為に挿入しないことを推奨しています。どうしても開ける必要がある場合は、少なくともシステムのパッチを最新の状態にしておいてください。理想的には、そのようなリスクの高いシナリオを想定して特別にセットアップされた仮想マシン、またはドライブへの書き込みを許可していないシステムでのみ開けるようにしてください。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
