小さな親切、大きなお世話? 無償で配られるUSBデバイスやメモリのリスク(4/5 ページ)
米朝首脳会談では、プレス向けにさまざまな「ノベルティ」が配られましたが、その1つ、USBで給電できる扇風機が話題に。ネット上では、USB扇風機を接続したPCがマルウェアに感染するのではないか、とリスクを指摘する声が上がりました。
代表例が、「インターネットや他のネットワークとはつながっていないから安心」といわれる基幹システムや制御系システムへの攻撃です。隔離されているから安全と思われている環境でも、運用上、何らかの形でデータの受け渡しやメンテナンスは必要になります。その「媒体」「橋渡し役」として利用されるUSBメモリが、データだけでなくマルウェアも運んでしまっているのです。
最も有名な例は、2010年、イランの核燃料施設で運用されていた遠心分離機の制御システムを狙った攻撃「Stuxnet」でしょう。この制御システムは、インターネットや情報系のシステムとは直接つながってはいませんでした。しかし、まず情報系システムで使われていたPCがUSBメモリを介して感染しました。このときには、Windowsの複数の脆弱性も悪用されています。Stuxnetはそこを足掛かりに制御情報ネットワーク上のPCへ、さらにPLC(Programmable Logic Controller)へと侵入を広げ、遠心分離機を動作不能な状態に陥らせました。
「隔離された環境だから安全だ」と思っていたのに、USBメモリが蟻の一穴となって侵害されたケースは日本国内でも報告されています。Stuxnetはシステム破壊を目的とした攻撃でしたが、JPCERTコーディネーションセンター(JPCERT/CC)は、情報漏えいにつながるケースを報告し、注意を呼び掛けたことがありました。インターネットに接続可能な端末がマルウェアに感染した結果、クローズドな環境とのデータの受け渡しに使われていたUSBメモリ内の機密情報が読み取られてしまうというものです。
残念ですが、攻撃者が細工を施したり、悪意あるソフトウェアに感染させる手口以外に、従業員が故意にデータを持ち出すケースも十分考えられます。過去には、USBの利用を禁止していたはずのPCで、スマートフォンなどが用いるファイル転送方式「MTP」(Media Transfer Protocol)が利用できることに気付いたことがきっかけで、大量の個人情報をコピーして持ち出してしまった事件もありました。
Copyright © ITmedia, Inc. All Rights Reserved.