BadUSBとは？身近に潜む脅威と対処方法

現代社会において、USBメモリは私たちの日常生活に欠かせない存在となっています。仕事でのデータ共有、個人的な写真や音楽の保存、プレゼンテーション資料の持ち運びなど、その用途は多岐にわたります。しかし、この便利なデバイスが時として深刻なセキュリティリスクをもたらすことをご存知でしょうか。「BadUSB」と呼ばれる攻撃手法は、USBデバイスの信頼性を悪用し、コンピューターシステムに甚大な被害をもたらす可能性があります。

今回は、このBadUSBがどのような仕組みで動作し、どのような被害をもたらすのか、そして私たちはどのように身を守ればよいのかについて、わかりやすく解説していきます。

BadUSBとは何か

BadUSBは、2014年にセキュリティ研究者のカーステン・ノール氏とヤコブ・レル氏によって発表された攻撃手法です。この攻撃の核心は、USBデバイスのファームウェアレベルでの改ざんにあります。通常、USBデバイスはその機能に則したデバイスとして認識されますが、BadUSBではファームウェアを書き換えることで、そのデバイスをまったく異なる機器として動作させることが可能になります。

例えば、USBメモリがキーボードやマウス、ネットワークカードとして認識されるように偽装することができます。この偽装により、デバイスがコンピューターに接続された瞬間に、あらかじめプログラムされた悪意のあるコマンドが自動的に実行されてしまいます。ユーザーが何も操作していないにも関わらず、システムの設定が変更されたり、マルウェアがインストールされたり、機密データが盗まれたりする可能性があります。

この攻撃手法の特徴は、物理的なアクセスを必要とする点です。攻撃者は標的となるコンピューターに直接USBデバイスを接続する必要があります。しかし、この制約があるにも関わらず、BadUSBの脅威は決して軽視できません。なぜなら、多くの人々がUSBデバイスを安全なものとして認識しており、警戒心を持たずに使用する傾向があるからです。

BadUSBの動作原理

BadUSBの動作原理を理解するためには、まずUSBデバイスの基本的な仕組みを知る必要があります。USBデバイスには、その機能を制御するファームウェアが組み込まれています。このファームウェアは、デバイスがコンピューターに接続された際に、自身がどのような機器であるかを報告する役割を担っています。

通常のUSBメモリの場合、ファームウェアは「私はストレージデバイスです」という情報をコンピューターに送信します。しかし、BadUSBではこのファームウェアが悪意を持って改ざんされており、「私はキーボードです」や「私はネットワークカードです」といった偽の情報を送信します。

コンピューターは、この偽の情報を信頼してデバイスを認識します。そして、キーボードとして認識されたデバイスからキーストロークが送信されると、それを正当なユーザーの入力として処理してしまいます。この仕組みを悪用することで、攻撃者は標的のコンピューターに対して任意のコマンドを実行させることができるのです。
攻撃の流れは通常以下のような手順で進行します。まず、攻撃者が改ざんされたUSBデバイスを標的のコンピューターに接続します。次に、デバイスがキーボードとして認識され、あらかじめプログラムされたキーストロークが送信されます。これにより、システムのコマンドプロンプトが開かれ、悪意のあるスクリプトが実行されます。最終的に、マルウェアのダウンロードとインストール、システム設定の変更、データの窃取などが行われます。

検出の困難性

BadUSBの最も深刻な問題は、その検出の困難性にあります。従来のセキュリティ対策は、主にソフトウェアレベルでの脅威を想定して設計されています。しかし、BadUSBはファームウェアレベルで動作するため、これらの対策では効果的に検出することができません。

ウイルス対策ソフトウェアは、通常ファイルの内容をスキャンして悪意のあるコードを検出します。しかし、BadUSBの場合、悪意のあるコードはファームウェア内に隠されており、ファイルとしてアクセスすることができません。そのため、一般的なウイルススキャンでは検出されずに通過してしまいます。

また、BadUSBデバイスは正当なUSBデバイスと物理的に区別することが困難です。外見上は通常のUSBメモリとまったく同じであり、重量や形状、色彩などからその危険性を判断することはできません。熟練したセキュリティ専門家でさえ、詳細な技術的分析を行わない限り、BadUSBデバイスを特定することは困難です。

さらに、BadUSBは複数のデバイスクラスを同時に偽装することが可能です。例えば、ストレージデバイスとキーボードの両方として認識されるように設定することで、ユーザーは正常なUSBメモリとして使用している間に、背景でキーボード機能による攻撃が実行されるという状況が発生します。

実際の攻撃例

BadUSB攻撃は決して理論上の話ではありません。実際に世界各地で様々な被害が報告されています。

会社の入口や、オフィスフロアに落ちているUSBメモリ

最も典型的な攻撃手法の一つが「USB dropping」です。攻撃者は標的となる会社の駐車場や入口付近に、BadUSBデバイスを意図的に落としておきます。善意の従業員がそれを拾い、「落とし物を確認するため」や「持ち主を探すため」といった理由でオフィスのコンピュータに接続してしまうのです。

2016年にアメリカの大学で行われた調査では、297個のUSBメモリを学内の様々な場所に意図的に落としたところ、拾われてコンピュータに接続された割合は45％にものぼったという結果が出ています。この実験では害のないプログラムが使われましたが、もしBadUSBだったら大変な被害が発生していたでしょう。

Users Really Do Plug in USB Drives They Find (https://zakird.com/papers/usb.pdf)

イベントや展示会での無料配布

セミナーや展示会で配布される無料のUSBメモリにBadUSBが仕込まれている事例も報告されています。2018年には、ある製造業の企業で展示会からもらったUSBメモリを社内で使用したところ、企業の内部システムが侵害され、設計図が盗まれるという事件が発生しました。この事件では数億円規模の損害が発生したとされています。

対策と防御方法

基本的な対策

BadUSBの脅威に対抗するためには、技術的な対策と人的な対策の両面からアプローチする必要があります。技術的な対策としては、まずUSBポートの物理的な制御が重要です。不要なUSBポートを物理的に塞ぐことで、未承認のデバイスの接続を防ぐことができます。 USBポートの無効化も効果的な対策の一つです。BIOSやUEFIレベルでUSBポートを無効にすることで、OSが起動する前段階でUSBデバイスの接続を阻止できます。ただし、この方法は業務で正当なUSBデバイスを使用する必要がある場合には適用が困難です。

より実践的な対策として、USBデバイスのホワイトリスト化があります。信頼できるUSBデバイスのみを事前に登録し、それ以外のデバイスの接続を自動的に拒否するシステムを構築することで、BadUSBの脅威を軽減できます。この方法では、デバイスの固有IDやシリアル番号を利用して認証を行います。

エンドポイント保護ソリューションの導入も重要な対策です。最新のエンドポイント保護製品には、USBデバイスの動作を監視し、異常な活動を検出する機能が搭載されています。これらの製品は、デバイスが複数のクラスとして認識されることを検出したり、キーボードとして認識されたデバイスから異常に高速な入力が行われることを監視したりします。

組織レベルでの対策

企業や組織においては、包括的なUSBセキュリティポリシーの策定が不可欠です。このポリシーには、USBデバイスの使用に関する明確なガイドラインが含まれている必要があります。例えば、個人所有のUSBデバイスの業務使用禁止、外部から入手したUSBデバイスの使用前検査義務、USBデバイス使用時の承認プロセスなどが含まれます。 従業員教育も重要な要素です。BadUSBの脅威について定期的な研修を実施し、従業員がその危険性を理解することが必要です。特に、拾得したUSBデバイスや出所不明のUSBデバイスを使用してはいけないことを徹底的に教育する必要があります。

技術的な対策としては、ネットワーク分離の実装が効果的です。USBデバイスを使用するコンピューターを重要なネットワークから分離することで、仮にBadUSB攻撃が成功したとしても、被害の拡大を防ぐことができます。また、重要なシステムへのアクセスには多要素認証を導入し、単一のデバイスからの不正アクセスを防止することも重要です。

個人レベルでの対策

個人ユーザーにとっても、BadUSBの脅威は決して無縁ではありません。日常生活においてUSBデバイスを安全に使用するための対策を講じる必要があります。 最も基本的な対策は、信頼できる供給元からのみUSBデバイスを購入することです。正規の販売店や信頼できるメーカーから直接購入することで、改ざんされたデバイスを入手するリスクを大幅に軽減できます。また、異常に安価なUSBデバイスや、ブランドが不明なデバイスの購入は避けることが賢明です。

拾得したUSBデバイスや他人から借りたUSBデバイスは、決して自分のコンピューターに接続してはいけません。これらのデバイスがBadUSBである可能性を常に考慮し、たとえ善意で提供されたものであっても慎重に扱う必要があります。

標的型攻撃への進化

近年のBadUSB攻撃は、従来の無差別攻撃から標的型攻撃へと大きく変化しています。以前は駐車場や公共の場所にUSBデバイスを散布し、偶然それを拾った人を狙う「USBドロップ攻撃」が主流でした。しかし、現在では特定の個人や組織を標的とした、より洗練された攻撃手法が増加しています。
標的型BadUSB攻撃では、攻撃者は事前に標的について詳細な調査を行います。標的となる人物の職業、趣味、関心事、日常的な行動パターンなどを徹底的に調べ上げ、その情報を基に攻撃計画を立てます。例えば、IT関連の企業で働く管理者をターゲットにする場合、攻撃者は技術系の展示会や会議において、企業のロゴが入ったUSBデバイスを配布品として偽装することがあります。

さらに進化した手法として、「ギフト攻撃」と呼ばれる手法があります。これは、標的となる人物に対して贈り物としてUSBデバイスを送付する攻撃です。攻撃者は標的の興味を引くような包装や説明書を用意し、受け取った人が自発的にデバイスを使用するよう誘導します。例えば、写真が保存されていると思わせるUSBメモリを送り付けたり、新しいソフトウェアのデモ版が入っていると偽装したりします。
この種の攻撃では、ソーシャルエンジニアリングの要素が強く、攻撃者は標的の心理的な弱点を巧妙に突いてきます。信頼できる取引先や知人を装ったメールとともにUSBデバイスを送付することで、受け取った人の警戒心を大幅に低下させることができます。また、時期やタイミングも計算されており、標的が忙しい時期や判断力が低下しやすい状況を狙って攻撃を仕掛けることが多いです。

企業を狙った高度な標的型攻撃

企業に対する標的型BadUSB攻撃は、特に巧妙な手法が用いられています。攻撃者は、まず標的企業の組織構造や業務プロセスを詳細に調査します。そして、最も効果的な攻撃対象となる役職や部署を特定し、その人物に対して個別にカスタマイズされた攻撃を仕掛けます。
例えば、経理部門の管理者をターゲットにする場合、攻撃者は会計ソフトウェアのアップデートや税務関連の資料が入っていると偽装したUSBデバイスを送付します。システム管理者が標的の場合は、最新のセキュリティツールや診断ソフトウェアが含まれていると装います。このように、各職種の業務内容に応じて攻撃手法を変更することで、成功率を大幅に向上させています。

また、企業の重要なプロジェクトやイベントに合わせて攻撃を仕掛けることも増えています。新製品の発表前や大型契約の締結時期など、従業員が多忙で注意力が散漫になりがちな時期を狙って攻撃を実行します。このタイミングでの攻撃は、機密情報の窃取や競合他社への情報漏洩など、深刻な被害をもたらす可能性があります。

個人を狙った標的型攻撃の手法

個人を対象とした標的型BadUSB攻撃では、攻撃者は、ソーシャルメディアやオンラインプロフィールから標的の個人情報を収集し、その人の興味や関心事に合わせて攻撃を仕掛けます。
例えば、写真撮影が趣味の人には、カメラ関連のソフトウェアやRAW現像ツールが入っていると偽装したUSBデバイスを送付します。ゲーム好きの人には、人気ゲームの限定版や未発表のベータ版が含まれていると装います。このように、標的の趣味や興味に直接関連する内容で攻撃を仕掛けることで、警戒心を大幅に低下させることができます。 また、家族や友人を装った攻撃も増えています。攻撃者は標的の人間関係を調査し、信頼できる人物になりすましてUSBデバイスを送付します。例えば、海外旅行の写真が入っていると偽装したUSBメモリを、旅行中の友人からの贈り物として送付するといった手法が用いられています。

配送業者を悪用した攻撃

最近の標的型BadUSB攻撃では、正規の配送業者を悪用した手法も確認されています。攻撃者は、実在する企業や組織を装って標的にUSBデバイスを送付し、配送業者を通じて確実に標的の手元に届けます。
この手法の巧妙な点は、配送業者の信頼性を悪用することで、受け取った人の警戒心を大幅に低下させることです。正規の配送業者から届いた荷物は、多くの人が安全なものと認識してしまいます。また、配送業者のトラッキングシステムを悪用することで、荷物が確実に配達されたかどうかを攻撃者が確認できるという利点もあります。 さらに、配送業者の制服を着用した偽の配達員による直接的な攻撃も報告されています。この場合、攻撃者は配達員を装って標的の自宅や職場を訪問し、緊急の配達物としてUSBデバイスを手渡します。受け取った人は、配達員の存在により信頼性を感じ、警戒心を持たずにデバイスを使用してしまいます。

標的型攻撃に対する対策

標的型BadUSB攻撃の増加に伴い、従来の対策に加えて新たな防御策が必要となっています。まず、不審な郵便物や宅配便に対する警戒心を持つことが重要です。予期しない送付物、特にUSBデバイスが含まれている可能性のある小包には細心の注意を払う必要があります。

企業においては、従業員への教育を強化し、標的型攻撃の手法について具体的な事例を交えて説明することが重要です。また、外部から送付されたUSBデバイスを業務で使用する前に、必ず上司やセキュリティ部門に報告するプロセスを確立することも効果的です。

さらに、物理的なセキュリティ対策として、受付や警備員による荷物の検査を強化することも考慮すべきです。特に、技術的な機器が含まれている可能性のある小包については、開封前に送付者の確認を徹底的に行う必要があります。

個人レベルでは、ソーシャルメディアでの個人情報の公開を最小限に抑えることが重要です。趣味や興味、日常的な活動について詳細な情報を公開することで、攻撃者に攻撃の糸口を与えてしまう可能性があります。また、知人からの贈り物であっても、事前に連絡がなかったUSBデバイスについては、本人に確認を取ることを習慣化することが大切です。

最新の技術的対策

標的型BadUSB攻撃に対抗するため、最新の技術的対策も開発されています。AIを活用した行動分析システムは、USBデバイスの接続パターンや使用状況を継続的に監視し、異常な活動を検出することができます。これらのシステムは、標的型攻撃特有の不自然な使用パターンを識別し、早期に脅威を発見することが可能です。
また、ハードウェアレベルでの認証技術も進歩しており、USBデバイスの製造時に埋め込まれた固有の認証情報を確認することで、偽装されたデバイスを検出できるようになっています。さらに、量子暗号技術を応用した超高度なセキュリティシステムも研究されており、将来的にはより強固な防御が可能になると期待されています。

ネットワーク監視技術の向上も重要な要素です。BadUSBデバイスが接続された際のマルウェアの通信パターンを詳細に分析し、正常な通信と異常な通信を区別することで、攻撃の早期発見が可能になります。機械学習アルゴリズムを活用することで、新しい攻撃手法にも対応できる柔軟な監視システムが構築されています。

物理ペネトレーションテスト

ALSOKでは攻撃者の視点で建物に侵入し、BadUSB攻撃を疑似的に行うALSOK 物理ペネトレーションテストを展開しております。実際の攻撃手法を模倣してBadUSBの脆弱性を特定し、効果的な対策を提案いたします。組織のセキュリティ強化のため、ぜひご検討ください。

まとめ