「USBメモリからのウイルス感染」では、Windows のオートラン機能を悪用し、USBメモリからウイルスに感染する事例を取り上げました。その後、USB機器のファームウェアに不正プログラムを仕込んだBadUSB(バッドUSB)が登場し、2016年(平成28年)に問題となりました。
BadUSBとは何か
BadUSBは、2014年(平成26年)8月に開催された開発者会議 Black Hat 2014 USA で発表されました。
USBメモリを含む、すべてのUSBデバイスには専用チップとファームウェアが内蔵されており、このファームウェアによってパソコンにUSBデバイスとして認識されるようになっています。ところが、ファームウェアの書き換えが可能な一部のUSBデバイスについて、それを不正なプログラムに書き換えることで、不正プログラムを導入することが可能であることが示されました。
USBメモリを含む、すべてのUSBデバイスには専用チップとファームウェアが内蔵されており、このファームウェアによってパソコンにUSBデバイスとして認識されるようになっています。ところが、ファームウェアの書き換えが可能な一部のUSBデバイスについて、それを不正なプログラムに書き換えることで、不正プログラムを導入することが可能であることが示されました。
9月に開催されたセキュリティ会議Derbyconでは、研究者が、USBキーボードのファームウェアを改造し、自動的にキー入力を行うデモを行いました。これは、あたかもユーザーがコマンドを入力したかのように見せかけ、パソコン内のデータを奪取できることを示唆しています。
デジカメや外付けSSDなどは、大規模なファームウェアを内蔵しており、複雑な不正プログラムを内蔵できる可能性があります。
デジカメや外付けSSDなどは、大規模なファームウェアを内蔵しており、複雑な不正プログラムを内蔵できる可能性があります。
USB Ninja Cable
BadUSB を進化させた手口として、USB Ninja Cable と呼ばれるものが販売されています。
見た目は普通のUSBケーブルですが、ケーブル内部に制御チップが搭載されており、Bluetoothなどを経由して遠隔でマルウェアに感染させるためのコマンドを実行できます。
出所不明のUSBケーブルを挿さないようにしたいものです。
見た目は普通のUSBケーブルですが、ケーブル内部に制御チップが搭載されており、Bluetoothなどを経由して遠隔でマルウェアに感染させるためのコマンドを実行できます。
出所不明のUSBケーブルを挿さないようにしたいものです。
O.MG Cable
2019年(平成31年)2月に発表された O.MG Cable は BadUSB の一種で、Wi-Fiモジュールをコネクタ内に内蔵することで、遠隔操作で O.MG Cable を挿しているPCを遠隔操作することが出来ます。さらに、PCのキーボードに打ち込んだ内容を保存するキーロガー機能を内蔵しています。
さらに、コネクタ部分にストレージが追加され、約65万回分のキーストロークが保存できるようになりました。専用アプリを導入したスマホを O.MG Cable に近づけることで、パスワードやクレジットカードの番号を含め、保存されたキー入力の内容をすべて盗み出すことができます。
USBメモリに対するセキュリティ意識
2016年(平成28年)5月、米イリノイ大学でUSBメモリに対するセキュリティ意識調査が行われました。300本のUSBメモリを学生に配り、そのうちのどのくらいが学生たちのマシンに挿入されたのかを調べました。
結果は、48%の学生がUSBメモリを受け取るとすぐにパソコンに挿し、ファイルをクリックしたといいます。ウイルス対策ソフトを使ってUSBメモリをスキャンしたのは、16%にとどまりました。
結果は、48%の学生がUSBメモリを受け取るとすぐにパソコンに挿し、ファイルをクリックしたといいます。ウイルス対策ソフトを使ってUSBメモリをスキャンしたのは、16%にとどまりました。
BadUSB対策
USB規格の性質上、パソコン側からUSBデバイスのファームウェアを見ることができません。つまり、原理的に、セキュリティ対策ソフトでは BadUSB を検知することができません。ただ、カスペルスキー社は、USBデバイスのふるまいを自動追跡し、不審なふるまいをするデバイスをブロックする技術を開発し、特許を取得したとしています。
BadUSBプログラムは、それが動作する専用チップに限られています。したがって、コンピュータ・ウイルスのようにネットワークを経由した爆発的な感染力は無いとみられていますが、不特定多数が使い回すようなUSBメモリがBadUSBになっていると、人手によって感染が広まる危険があります。
BadUSB対策ですが、USB規格が簡単に変わるものではないこと、メーカーからUSBデバイス・ファームウェアの検査プログラムが提供されていないという状況ですので、信頼のおけるメーカーから購入したUSBデバイス以外は使わないという受け身の対策しかありません。
イベントなどで配布されたUSBメモリや、オークションで落札したデジカメや外付けストレージなどは要注意です。
BadUSBプログラムは、それが動作する専用チップに限られています。したがって、コンピュータ・ウイルスのようにネットワークを経由した爆発的な感染力は無いとみられていますが、不特定多数が使い回すようなUSBメモリがBadUSBになっていると、人手によって感染が広まる危険があります。
BadUSB対策ですが、USB規格が簡単に変わるものではないこと、メーカーからUSBデバイス・ファームウェアの検査プログラムが提供されていないという状況ですので、信頼のおけるメーカーから購入したUSBデバイス以外は使わないという受け身の対策しかありません。
イベントなどで配布されたUSBメモリや、オークションで落札したデジカメや外付けストレージなどは要注意です。
参考サイト
- BadUSB:NTTPCコミュニケーションズ
- USBメモリからのウイルス感染:ぱふぅ家のホームページ
- 「BadUSB」をやってみた:JH1LHVの雑記帳
- 悪性 USB デバイスに対する対策技術の研究:サイバーセキュリティ研究所-Kaspersky Lab流BadUSB対策:カスペルスキー公式ブログ
(この項おわり)
