小さな親切、大きなお世話? 無償で配られるUSBデバイスやメモリのリスク
サッカーワールドカップロシア大会で連日盛り上がる昨今、すっかり旧聞に属してしまった印象がありますが、6月12日に行われた米朝首脳会談は世界的な注目を集めました。この会談を報じるべく世界各国から詰めかけた報道陣の拠点となったのがメディアセンターです。約3000人ともいわれるプレス向けに、モニターやインターネット接続といった環境面が整備されていた他、さまざまな「ノベルティ」も配られました。
そのノベルティの1つが、Twitter上で物議を醸しました。USBで給電できる扇風機です。このミニ扇風機を受け取ったあるジャーナリストが、「暑いシンガポールではありがたい」と写真付きでつぶやくと、早速何人かが「安易につなぐべきではない」と話題にし、中には直接リプライを返す人もいました(英語、オランダ語、ドイツ語、その他の言語で総突っ込み状態でした)。なぜかといえば、USB扇風機を接続したPCがマルウェア、スパイウェアに感染したり、キーボード入力を盗み取られたりといったリスクが考えられるからです。
残念ながら、この扇風機を使った方による続報はないので、果たしてこのUSB扇風機に何らかの細工が施されていたかどうかは分かりません。けれど過去にはたびたび、USBメモリを媒介したマルウェア感染や、USB接続したデバイスを介した攻撃手法が報じられてきました。PCだけでなく、Windows OSを搭載した組み込み機器にも影響を及ぼしかねないこの手法について、おさらいしたいと思います。
●見た目とまるで違うデバイスとして認識させ、操作する「BadUSB」
USB扇風機を目にした人の多くが懸念したのが「BadUSB」という攻撃手法です。2014年に米国で行われたセキュリティカンファレンス「BlackHat USA 2014」で、セキュリティ研究家のカーステン・ノール氏とジェイコブ・レル氏が発表しました。
世の中にはUSBのインタフェースを備えたデバイスが数多く流通しています。USBメモリに始まり、キーボードやマウス、プリンタ、スピーカーや音楽プレイヤー、スマートフォンにモデム・無線LANアダプター、さらにはマグカップを暖めるヒーターや今回話題の扇風機、うちわまで、枚挙にいとまがありません。これらは見た目はただの「周辺機器」ですが、実態は小型のコンピュータのようなもので、搭載されたチップとファームウェアに従って動作します。
BadUSBは、そのファームウェアを解析し、書き変えることで行われる攻撃です。見た目はUSBメモリでも、実態はキーボードとして動作するようなファームウェアに書き変えられた場合、攻撃者があらかじめ仕込んだコマンドを実行させたり、ユーザーの入力を盗み見たりできる恐れがあります。
この場合厄介なのは、Windows PCから見れば、USBで接続したキーボードから入力が行われたのと何ら変わらない状態であること。PCはデバイスの見た目ではなく、デバイスドライバ経由で読み込んだプログラムを基に機器の種別を判断するのですから、動作自体は何ら異常ではありません。しかも、上書き・改ざんされるのはファームウェアであるため、ウイルス対策ソフトなどのセキュリティ製品を用いても見つけ出すのは困難です。
もちろん、攻撃が成功するかどうかは搭載されているチップセットによります。ここ1~2年ほどで、サーバ・PC製品についてはセキュリティチップを活用してファームウェアの改ざんを検出する製品が登場していますし、USBデバイスの中にもそうした機構を備えた製品が存在します。けれど文字通り星の数ほど流通し、しかも価格勝負になりがちなUSBデバイス全てについて、改ざん検知機能を搭載するのは現実的ではないでしょう。
●一世を風靡した「オートラン機能」悪用のウイルス
BadUSBのような凝った手法とまでいかなくても、USBデバイス、特にUSBメモリが原因となってマルウェアに感染してしまう事例は繰り返し発生してきました。
今でこそほとんど話題になりませんが、2000年代半ばには、PCに接続されると自動的にプログラムを起動するオートラン機能を悪用したウイルスが一世を風靡し、情報処理推進機構(IPA)をはじめとするセキュリティ組織やベンダーがたびたび注意を呼び掛けた時期がありました。
オートラン機能は、もともとはアプリケーションのインストール作業を容易に行えるようにするため、ユーザーがダブルクリックなどの操作を行わなくても自動的にプログラムを立ち上げる機能です。CD-ROMやDVDを読み込んだだけでインストール作業が自動的に始まる仕組みに活用されていましたが、攻撃者がこれに目をつけ、USBメモリを差し込むだけで感染し、PCからUSBメモリへ、そしてまた別のPCへと連鎖的に感染するマルウェアが猛威を振るいました。
こうした事態を受け、Windows 7以降のOSでは、オートラン機能はCD/DVDドライブを除きデフォルトでは無効化されました。また、オートラン機能を用いるウイルスは、先ほどのBadUSBとは異なり、ウイルス対策ソフトウェアによる検知も可能です。けれど、若い世代の方々はこんな手口もあることにも気を留めていただければと思いますし、これから増えるであろうIoT機器で「再発」しないような実装が望まれます。
●隔離されたシステムへの進入路としても着目
オートランによる自動感染がなくても、USBメモリは何かとリスク要因になっています。
代表例が、「インターネットや他のネットワークとはつながっていないから安心」といわれる基幹システムや制御系システムへの攻撃です。隔離されているから安全と思われている環境でも、運用上、何らかの形でデータの受け渡しやメンテナンスは必要になります。その「媒体」「橋渡し役」として利用されるUSBメモリが、データだけでなくマルウェアも運んでしまっているのです。
最も有名な例は、2010年、イランの核燃料施設で運用されていた遠心分離機の制御システムを狙った攻撃「Stuxnet」でしょう。この制御システムは、インターネットや情報系のシステムとは直接つながってはいませんでした。しかし、まず情報系システムで使われていたPCがUSBメモリを介して感染しました。このときには、Windowsの複数の脆弱性も悪用されています。Stuxnetはそこを足掛かりに制御情報ネットワーク上のPCへ、さらにPLC(Programmable Logic Controller)へと侵入を広げ、遠心分離機を動作不能な状態に陥らせました。
「隔離された環境だから安全だ」と思っていたのに、USBメモリが蟻の一穴となって侵害されたケースは日本国内でも報告されています。Stuxnetはシステム破壊を目的とした攻撃でしたが、JPCERTコーディネーションセンター(JPCERT/CC)は、情報漏えいにつながるケースを報告し、注意を呼び掛けたことがありました。インターネットに接続可能な端末がマルウェアに感染した結果、クローズドな環境とのデータの受け渡しに使われていたUSBメモリ内の機密情報が読み取られてしまうというものです。
残念ですが、攻撃者が細工を施したり、悪意あるソフトウェアに感染させる手口以外に、従業員が故意にデータを持ち出すケースも十分考えられます。過去には、USBの利用を禁止していたはずのPCで、スマートフォンなどが用いるファイル転送方式「MTP」(Media Transfer Protocol)が利用できることに気付いたことがきっかけで、大量の個人情報をコピーして持ち出してしまった事件もありました。
●対策はいろいろ言われてはいるけれど……
便利で広く普及している技術を悪用するのは攻撃者の常。USBメモリ、USBデバイスを媒介とした攻撃の幅が広く、また多大な実害を与えているのは、これらがとても便利で、広く使われていることの裏返しでしょう。
こうした状況を踏まえ、企業として、業務に利用するUSBメモリは一括支給・管理するとともにPC管理ツールを導入し、USBメモリやデバイスの利用を制限したり、セキュアUSBメモリを採用するといった手だてを取っているところも少なくないはずです。けれど、これから技術が進展し、新たなデバイスが登場するにつれ、MTPのような「抜け穴」が生じる可能性は否定できません。
また、米Palo Alto Networksが6月22日、詳細は不明ながらセキュアUSBを悪用するマルウェアを報告しています。日本や韓国をターゲットにサイバースパイ活動を展開する「Tick」と呼ばれるグループによるこの攻撃は、Windows XPやWindows Server 2003を搭載したPC(=古いOSのまま稼働させざるを得ないミッションクリティカルなシステム)を狙っています。韓国のセキュリティガイドラインに沿って作られたセキュアUSBに実行形式の怪しいファイルを書き込み、インターネットに直接接続していないシステムに侵入するために使われたということです。
となると、IPAやセキュリティベンダーがたびたび呼び掛けている通り、出どころの不確かなUSBメモリ・USBデバイスは使わない、PCに接続しないことに尽きるでしょう。
先日、カヌーの日本代表候補選手がドーピングの疑いをかけられた事件がありました。ライバル選手が薬物を混入させた飲み物を気付かず飲んでしまったことが原因でしたが、この事件に関連して、元プロ陸上選手の為末大さんはTwitter上で「誰かから渡された飲み物は飲むな。ペットボトルはかならず開けた時に音がするか確かめろと言われたな」とつぶやいています。
これと同じことが、USBデバイスをはじめとするPCの周辺機器にもいえるでしょう。誰かから渡された、あるいは出元の不明なUSBメモリやUSBデバイスを不用意に接続するとマルウェア感染や情報漏えいなどにつながる可能性があることを頭の片隅に入れておく必要があるでしょう。
……が、こう書いてはみたものの、この対策が一番難しそうです。
2016年、Googleとイリノイ大学、ミシガン大学の研究者らがある実験を行いました。イリノイ大学アーバナ・シャンペーン校のキャンパスのあちらこちらに297個のUSBメモリをバラまいておいたところ、うち48%がPCに差し込まれる結果になりました。ただで入手できてラッキーと考えたのか、好奇心からか、それとも「誰のものか確認して連絡してあげよう」という善意からかは分かりませんが、“野良USBメモリ”をPCに差し込んでしまう人は一定数いる、それが事実です。
このように書いている私自身も、つながない自信はありません。例えばプレスセンターで急ぎの原稿を仕上げなくてはいけない中、重たい資料のダウンロードに四苦八苦しているところに、誰かから「このUSBメモリに資料一式、画像も入ってますよ」と手渡されたら……。こうしたスキがあることを前提に、感染しても素早く気付ける対策を考えるしかなさそうですね。
(高橋睦美)
