USBメモリなどをパソコンに指すと、それだけでパソコンがマルウエア(悪意のあるプログラム)に感染してしまう、という攻撃についての情報が入ってきました。
この攻撃ですが、なかなか感染を防ぐのが難しい面があるので、皆さまにもご注意頂きたいと思います。
なお、USB接続する機器であれば、USBメモリだけではなく、様々なUSB機器を繋いだ時に被害にあってしまう可能性があります。
また、この攻撃、ウイルス対策ソフト(アンチウイルスソフト)などでの対策も難しいという特徴があります。
最初に、今回の攻撃の仕組みについて。
今回の攻撃は、攻撃用に細工されたUSBデバイス(BadUSBと呼ばれます)を自分のパソコンなどに繋いでしまうだけで、成功してしまいます。
通常、適切なセキュリティ対策が行われているパソコンであれば、攻撃が仕組まれたプログラムが入っているUSBメモリなどを繋いだとしても、パソコンがマルウェアなどにいきなり感染する事はありません。
しかし、今回の攻撃では、USBデバイスを繋いだだけで、パソコンにマルウェアなどが仕掛けられてしまうのです。
そして、そのパソコンは、外部への攻撃に使われてしまったりします。
パソコンの中身が暗号化されてしまい、身代金を要求される事もあります(ランサムウェア)。
もちろん、情報を盗まれる事もあるでしょう。
では、なぜ、USBデバイスを繋いだだけでパソコンは感染してしまうのか。
それは、今回の攻撃で使われるデバイスが、パソコンからみて、記憶容量(USBメモリなど)ではなく、他のデバイス(報告されている例では、キーボード)として認識される仕組みになっているからなのです。
記憶容量がパソコンに繋がれた場合、ウイルス対策ソフトは、その中身をチェックします。
そして、怪しいプログラムが含まれている場合には、パソコンが感染しないように防御(検疫など)をしてくれる事が一般的です。
しかし、キーボードが繋がれた場合、そのような仕組みは動きません。
その仕組みを、今回の攻撃では利用されてしまうのです。
接続したUSBデバイスがキーボードとして認識されると、当たり前ですが、パソコンは、そのキーボードからの入力を、ユーザーからのキーボード入力として受け付けるようになります。
そして、受け付けた入力内容がどのような内容であったとしても、パソコンは、原則、疑わずに、その入力に従ってしまいます。
パソコン側からすると、物理的に接続されたキーボードからの入力を疑う訳にはいかないので、当然ですね。
今回の攻撃の仕組み、皆さまも、もうお解りですね。
今回の攻撃で使われるUSBデバイスをパソコンに繋いでしまうと、そのUSBデバイスからは、パソコンをマルウェアに感染させてしまうようなキーボード入力が自動で行われる仕組みになっているのです。
具体的には、外部からマルウェアをダウンロードし、そして、そのマルウェアを実行するようなキーボード入力が自動で実行されてしまうのです。
そして、そのような事を引き起こす仕組みは、USBデバイスのハードウェアの動作が格納されている部分(ファームウエア)に保存されているので、パソコン側のウイルス対策ソフトでは、原則、検知する事が出来ません。
更に、セキュリティ対策の為に、USBメモリの接続を禁止する設定をしていても、繋いだUSBデバイスがUSBメモリとしては認識されない為、今回の攻撃は防げません。
また、悪質な事に、そのような攻撃が行われた事を隠す為に、攻撃が終わった後で、
「このパソコンでは、繋がれたUSBメモリを正しく認識できませんでした。」
といったメッセージを出すように仕組まれているケースもあるようです。
このような表示が出てしまうと、不審に思うことすらなく、USBデバイスの接続を終了してしまう人も多い事でしょう。
さて、では、攻撃にあってしまった人は、なぜ、そのUSBデバイスを自分のパソコンなどに繋いでしまったのでしょうか。
最近発生した事例(被害例)を確認すると、郵便などでUSBメモリが届き、それをパソコンに繋いでしまった、というケースが多いようです。
このように書くと、「そんな怪しいUSBメモリを繋ぐ方が悪い」と思われる方もいらっしゃるかもしれません。
しかし、実際には、攻撃者は、この部分も巧妙に手配を行っています。
例えば、公的な機関から郵便が届き、
「添付のUSBメモリに資料が入っているので、それを確認して下さい」
などと書かれていたり、
有名な業者を名乗った郵便が届き、
「貴方に『選べるギフト』が届きました。添付のUSBメモリにリストが入っているので、受け取る商品を選んで下さい」
などと書かれていた場合、添付のUSBメモリをパソコンに繋いでしまう人は多いのではないでしょうか。
その他、職場の近くにUSBメモリが落ちていた場合、「同僚が落としたものであれば、不味い」と考え、中身を確認しようとする方もいらっしゃるのではないでしょうか。
※これらの事例は、実際の被害報告をもとに、読者の方にイメージして頂きやすい場面を著者が創作。
また、今回の攻撃が、USBメモリだけではなく、USBで接続できるデバイスであれば、何でも攻撃に使われる可能性がある、という所もポイントです。
例えば、イベント会場などでUSBに接続できる機械(扇風機など)を貰った場合、何も疑わずにパソコンに繋いでしまう人もいるのではないでしょうか。
または、見知らぬ旅行者から、「ちょっとパソコンに繋いで、自分のもっているデジカメを充電させて欲しい」と頼まれたりした場合はどうでしょうか。
その他、端子に合ったケーブルを持っていない時に、誰かのケーブルを使わせて貰うケースもあるのではないでしょうか(ケーブル自体に、このような攻撃が仕組まれている事もあり得ます)。
このように考えると、攻撃者にとって、誰かのパソコンにUSBデバイスを繋げさせる事は意外と簡単なのです。
では、最後に、どうすれば、このBadUSB攻撃を防げるのか。
前述の通り、原則、ウイルス対策ソフトで防ぐ事はできません。
この為、現時点では、
「怪しいUSBデバイスは、パソコンなどに繋がない」
という以外の対策は見つかっていないのです。
なお、BadUSBという用語は、今回のような攻撃だけではなく、USBデバイスを活用した攻撃に使われるUSBデバイス全般に対して使われる事もある用語です。
過去には、繋いだだけで、繋いだ先の機器を物理的に壊してしまうUSBデバイス(高圧の電流を接続した先の機器に流す)といったものも発表されています。
そういった被害を避ける為にも、対策としては、とにかく、「間違いなく安全と言えるUSBデバイス以外は、自分のパソコンなどには繋がない」という事を徹底するしかなさそうです。