拾ったUSBメモリをPCに挿す人は何割いる?:Mostly Harmless
企業のセキュリティ対策が進んだ昨今、あえて、アナログな方法ともいえる「ソーシャルエンジニアリング」で人間の“脆弱性”を狙う手口が増えているとか。その危険性をおさらいしましょう。
この記事は大越章司氏のブログ「Mostly Harmless」より転載、編集しています。
あるドキュメントを翻訳していたところ、「USB drop」という用語があったので、「なんだこれ?」と思って調べてみたら、いろいろ面白いものが見つかりました。
「USB drop」とは、「マルウェアを仕込んだUSBメモリを落としておいて、拾った人がPCに挿したら、感染してしまう」という「サイバー攻撃」のこと。それを実際に実験してみた結果が上の記事です。
ビデオもあります。
「こんなものに引っ掛かる人がいるのか?」というのが実験の趣旨ですが、衝撃の結果が待っていました。
“落とした”USBメモリのほぼ全てが誰かに拾われ、そのうち約45%の人がそれをPCに挿してHTMLファイルをクリックしてしまった、という結果
だったそうです。実験は2016年ですから、少し古いとはいえ、米国人(それも大学生)といえど、ITリテラシーはその程度なのか、ということです。日本で実験したら、おそらくもっと多くの人がクリックしそうな気がします。
実はこれは、手口としてはものすごく古いもので、USBの前は、DVD-ROMやCD-ROM、その前はフロッピーで全く同じことが行われていました。ウイルスを仕込んでおいて、会議室や食堂、会社の前の公園のベンチなどに置いておくのです。表に「社外秘」とか「XX年度人事考課」などと書いておくと効果てきめん――なんて話もありました。
このように、ネットワーク経由でシステムをハッキングするのではなく、「人間」を狙う(人間の心理的な隙や行動のミスにつけ込む)手口を「ソーシャルエンジニアリング」といいます。総務省の「国民のための情報セキュリティサイト」サイト内の「標的型攻撃への対策」にまとめられていますが、パスワードなどの情報を、電話で聞き出す、PCを操作している人の後ろに立って盗み見る、ごみ箱に捨てられた資料(紙や記憶媒体)をあさって盗むなどの手法があります。
セキュリティ対策が進んだ結果、再び人間が狙われるように
こうしたソーシャルエンジニアリングは近年増えており、その理由については、「企業のセキュリティ対策が進んだから」という指摘があります。システムをハッキングするのが難しくなったので、相対的に狙うのが簡単な人間を狙った、ということでしょう。
なんとも皮肉なことではありますが、攻撃する側は最も脆弱な部分を狙うのが最も効率的なわけですから、ある意味、自然なことなのでしょう。こちらのサイトには、USBデバイスを使った攻撃が29種類もあることが紹介されています。
人間が一番脆弱?
それにしても、CD-ROMやフロッピーの時代はさておき、これだけインターネットが普及し、日常的にモバイルデバイスを使い、マルウェアの危険が叫ばれている時代に、「拾ったUSBをそのままPCに挿してしまう人」が、これほど多いのは驚きです。「拾った物を食べちゃダメです」レベルの話ですが、ある程度分かっていても、「中を見てみたい」という好奇心に駆られるのが人間というものなのでしょう。
システムと違って、人間を直すのは容易ではありません。すぐに思い付くのは、従業員へのセキュリティ教育の強化ですが、これもなかなか難しいようです。人をだます手口は多様化していますし、1回や2回教育しても、数カ月経てば忘れてしまいます。
USBメモリ(外部ストレージ)だけの問題であれば、IBMのようにUSBメモリを全面禁止してクラウドストレージへ移行、という対策もありでしょう。
「禁止」だけでは話は進まない
しかし、こういった「禁止」による対策は、個人的には危険を感じます。何かを禁止すると、その分、利用者の利便性が失われるからです。
「ノートPCを電車に置き忘れると困るので、ノートPCの持ち運び禁止」――などという、笑うに笑えない話も聞きます。代替案もなしでさまざまな「禁止項目」を増やすことは、全体の生産性を下げてしまうことになりがちです。
「羮(あつもの)に懲りて膾(なます)を吹く」ということにならないよう、対策は慎重に考えなければなりません。その意味では、クラウドをもっとうまく使っていく方向で知恵を絞るのが正解ではないかと思います。
関連記事
- 連載:「Mostly Harmless」記事一覧
- NEC、“サイバーセキュリティSE”を育成する演習拠点を開設 2020年までに2500人を育成へ
NECは、顧客システムの構築を担う自社のSE向けに、セキュリティ演習拠点「NECサイバーセキュリティ訓練場」を開設。企業システムを模した仮想環境で、システム構築フェーズの堅牢化を中心に、実践的なセキュリティ対策を訓練する。 - 「セキュリティソフトさえ入れれば安全でしょ」という考えが、むしろ危険な理由
新しくPCやタブレットを買う時、「○○のセキュリティソフトを入れればお得ですよ!」などと薦められるまま、何となくセキュリティソフトを買って入れた経験はありませんか? こうした“受け身のセキュリティ対策”、むしろリスクを呼ぶ可能性があるんです。 - 「USBメモリ」と聞くとアレルギー反応を起こす管理者のみなさまへ……
セキュリティ上の理由から、USBメモリの利用を禁止する企業も少くないようですが……、やっぱり便利なんですよね、USBメモリ。そろそろ“USBメモリ脅威論”一辺倒の姿勢を見直してみては……? - IBM、セキュリティ専門家のスキルや知見を結集した中核センターを設立 高度なセキュリティ人材の育成へ
日本IBMが、サイバー攻撃に対処する最先端かつ実践的なスキルや知見を持つ高度なセキュリティスペシャリストを結集した組織「セキュリティー・インテリジェンス・センター」を設立した。「IBM X-Force」などで培われた専門知識の活用やセキュリティスペシャリストによる人材育成を担う。 - Facebookでやってはいけない5つのこと
SNS上での行動は十分な配慮がなされていないこともしばしばです。この記事ではFacebookを取り上げて、やってしまいがちな間違いを紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.