小さな親切、大きなお世話？ 無償で配られるUSBデバイスやメモリのリスク（5/5 ページ）

[高橋睦美，ITmedia]

対策はいろいろ言われてはいるけれど……

　便利で広く普及している技術を悪用するのは攻撃者の常。USBメモリ、USBデバイスを媒介とした攻撃の幅が広く、また多大な実害を与えているのは、これらがとても便利で、広く使われていることの裏返しでしょう。

　こうした状況を踏まえ、企業として、業務に利用するUSBメモリは一括支給・管理するとともにPC管理ツールを導入し、USBメモリやデバイスの利用を制限したり、セキュアUSBメモリを採用するといった手だてを取っているところも少なくないはずです。けれど、これから技術が進展し、新たなデバイスが登場するにつれ、MTPのような「抜け穴」が生じる可能性は否定できません。

　また、米Palo Alto Networksが6月22日、詳細は不明ながらセキュアUSBを悪用するマルウェアを報告しています。日本や韓国をターゲットにサイバースパイ活動を展開する「Tick」と呼ばれるグループによるこの攻撃は、Windows XPやWindows Server 2003を搭載したPC（＝古いOSのまま稼働させざるを得ないミッションクリティカルなシステム）を狙っています。韓国のセキュリティガイドラインに沿って作られたセキュアUSBに実行形式の怪しいファイルを書き込み、インターネットに直接接続していないシステムに侵入するために使われたということです。

　となると、IPAやセキュリティベンダーがたびたび呼び掛けている通り、出どころの不確かなUSBメモリ・USBデバイスは使わない、PCに接続しないことに尽きるでしょう。

　先日、カヌーの日本代表候補選手がドーピングの疑いをかけられた事件がありました。ライバル選手が薬物を混入させた飲み物を気付かず飲んでしまったことが原因でしたが、この事件に関連して、元プロ陸上選手の為末大さんはTwitter上で「誰かから渡された飲み物は飲むな。ペットボトルはかならず開けた時に音がするか確かめろと言われたな」とつぶやいています。

　これと同じことが、USBデバイスをはじめとするPCの周辺機器にもいえるでしょう。誰かから渡された、あるいは出元の不明なUSBメモリやUSBデバイスを不用意に接続するとマルウェア感染や情報漏えいなどにつながる可能性があることを頭の片隅に入れておく必要があるでしょう。

　……が、こう書いてはみたものの、この対策が一番難しそうです。

　2016年、Googleとイリノイ大学、ミシガン大学の研究者らがある実験を行いました。イリノイ大学アーバナ・シャンペーン校のキャンパスのあちらこちらに297個のUSBメモリをバラまいておいたところ、うち48％がPCに差し込まれる結果になりました。ただで入手できてラッキーと考えたのか、好奇心からか、それとも「誰のものか確認して連絡してあげよう」という善意からかは分かりませんが、“野良USBメモリ”をPCに差し込んでしまう人は一定数いる、それが事実です。

　このように書いている私自身も、つながない自信はありません。例えばプレスセンターで急ぎの原稿を仕上げなくてはいけない中、重たい資料のダウンロードに四苦八苦しているところに、誰かから「このUSBメモリに資料一式、画像も入ってますよ」と手渡されたら……。こうしたスキがあることを前提に、感染しても素早く気付ける対策を考えるしかなさそうですね。

著者：高橋睦美（たかはし・むつみ）

一橋大学社会学部卒。1995年、ソフトバンク（株）出版事業部（現：SBクリエイティブ）に入社。以来インターネット／ネットワーク関連誌にて、ファイアウォールやVPN、PKI関連解説記事の編集を担当。2001年にソフトバンク・ジーディーネット株式会社（現アイティメディア）に転籍し、ITmediaエンタープライズ、＠ITといったオンライン媒体で10年以上に渡りセキュリティ関連記事の取材、執筆ならびに編集に従事。14年8月に退職しフリーランスに。