連載
» 2019年03月27日 07時00分 公開

Mostly Harmless:拾ったUSBメモリをPCに挿す人は何割いる?

企業のセキュリティ対策が進んだ昨今、あえて、アナログな方法ともいえる「ソーシャルエンジニアリング」で人間の“脆弱性”を狙う手口が増えているとか。その危険性をおさらいしましょう。

[大越章司,ITmedia]

この記事は大越章司氏のブログ「Mostly Harmless」より転載、編集しています。


 あるドキュメントを翻訳していたところ、「USB drop」という用語があったので、「なんだこれ?」と思って調べてみたら、いろいろ面白いものが見つかりました。

 「USB drop」とは、「マルウェアを仕込んだUSBメモリを落としておいて、拾った人がPCに挿したら、感染してしまう」という「サイバー攻撃」のこと。それを実際に実験してみた結果が上の記事です。

 ビデオもあります。

 「こんなものに引っ掛かる人がいるのか?」というのが実験の趣旨ですが、衝撃の結果が待っていました。

“落とした”USBメモリのほぼ全てが誰かに拾われ、そのうち約45%の人がそれをPCに挿してHTMLファイルをクリックしてしまった、という結果

だったそうです。実験は2016年ですから、少し古いとはいえ、米国人(それも大学生)といえど、ITリテラシーはその程度なのか、ということです。日本で実験したら、おそらくもっと多くの人がクリックしそうな気がします。

Photo

 実はこれは、手口としてはものすごく古いもので、USBの前は、DVD-ROMやCD-ROM、その前はフロッピーで全く同じことが行われていました。ウイルスを仕込んでおいて、会議室や食堂、会社の前の公園のベンチなどに置いておくのです。表に「社外秘」とか「XX年度人事考課」などと書いておくと効果てきめん――なんて話もありました。

 このように、ネットワーク経由でシステムをハッキングするのではなく、「人間」を狙う(人間の心理的な隙や行動のミスにつけ込む)手口を「ソーシャルエンジニアリング」といいます。総務省の「国民のための情報セキュリティサイト」サイト内の「標的型攻撃への対策」にまとめられていますが、パスワードなどの情報を、電話で聞き出す、PCを操作している人の後ろに立って盗み見る、ごみ箱に捨てられた資料(紙や記憶媒体)をあさって盗むなどの手法があります。

セキュリティ対策が進んだ結果、再び人間が狙われるように

 こうしたソーシャルエンジニアリングは近年増えており、その理由については、「企業のセキュリティ対策が進んだから」という指摘があります。システムをハッキングするのが難しくなったので、相対的に狙うのが簡単な人間を狙った、ということでしょう。

 なんとも皮肉なことではありますが、攻撃する側は最も脆弱な部分を狙うのが最も効率的なわけですから、ある意味、自然なことなのでしょう。こちらのサイトには、USBデバイスを使った攻撃が29種類もあることが紹介されています。

人間が一番脆弱?

 それにしても、CD-ROMやフロッピーの時代はさておき、これだけインターネットが普及し、日常的にモバイルデバイスを使い、マルウェアの危険が叫ばれている時代に、「拾ったUSBをそのままPCに挿してしまう人」が、これほど多いのは驚きです。「拾った物を食べちゃダメです」レベルの話ですが、ある程度分かっていても、「中を見てみたい」という好奇心に駆られるのが人間というものなのでしょう。

 システムと違って、人間を直すのは容易ではありません。すぐに思い付くのは、従業員へのセキュリティ教育の強化ですが、これもなかなか難しいようです。人をだます手口は多様化していますし、1回や2回教育しても、数カ月経てば忘れてしまいます。

 USBメモリ(外部ストレージ)だけの問題であれば、IBMのようにUSBメモリを全面禁止してクラウドストレージへ移行、という対策もありでしょう。

「禁止」だけでは話は進まない

Photo

 しかし、こういった「禁止」による対策は、個人的には危険を感じます。何かを禁止すると、その分、利用者の利便性が失われるからです。

 「ノートPCを電車に置き忘れると困るので、ノートPCの持ち運び禁止」――などという、笑うに笑えない話も聞きます。代替案もなしでさまざまな「禁止項目」を増やすことは、全体の生産性を下げてしまうことになりがちです。

 「羮(あつもの)に懲りて膾(なます)を吹く」ということにならないよう、対策は慎重に考えなければなりません。その意味では、クラウドをもっとうまく使っていく方向で知恵を絞るのが正解ではないかと思います。

著者プロフィール:大越章司

外資系ソフトウェア/ハードウェアベンダーでマーケティングを経験。現在はIT企業向けのマーケティングコンサルタント。詳しいプロフィールはこちら


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -