USBポートという攻撃面がもたらす脅威

USBポートは、現在のPC、サーバーにおいてもっとも標準的な入出力インターフェイスとしてさまざまな入出力機器の接続に利用されている。外部記憶装置としてのUSBメモリや増設ストレージ、キーボードや各種ディスプレイ、マイク、カメラ、バーコードリーダー、センサー・スキャナー、IoT機器、無線モジュールなどのさまざまな周辺装置が考えられる。

しかし、これらの機器にマルウェアが仕込まれていたらどうだろうか。

周辺装置の多くは単純なハードウェアで構成されるため、それ自体に攻撃プログラムやウイルスなどを忍ばせるのは難しい。仮にマルウェアをインストールしたとしても、USB機器自体がそれを起動したり、感染を広げることは難しい。

USBメモリにマルウェアを忍ばせるのは簡単だが、攻撃を実行するには、ユーザーがマルウェアを実行する(クリックする)必要がある。また、USBドライブのたぐいは接続された時点でウイルスチェックプログラムが検査できるので発動前の検知・駆除が可能だ。

一般論として、外部メモリや外部ストレージとして接続されるUSB機器はウイルス感染やマルウェアを拡散させる媒介としての脅威が存在する。この脅威は、ウイルス対策ソフトや接続装置のスクリーニングやサニタイズ処理、機器の接続制限を導入することで抑えることができる。

BadUSBとは

USBデバイスに関する脅威は他にもある。攻撃者は、USBメモリまたはUSB機器を使って、もっと高度な攻撃を考えてくる。たとえば、BadUSBという、2014年にBlackHatで公表された攻撃手法がある。BadUSBとは、見た目は普通のUSBメモリ、あるいはただの充電ケーブルに見えるが、OSやアプリケーションからは別の機器、たとえばキーボードに見えるような細工を施したデバイスだ。

USB機器には、自分がメモリなのかキーボードなのかマウスなのかを識別する情報(記述子)が含まれている。USBメモリが「自分はキーボードだ」と偽装すれば、PCはそれをキーボードとみなして、入力を受け付けてしまう。この脆弱性を利用して、攻撃のためのキー操作情報をコンピュータに流せば、任意のコマンドを実行することができ、用意したマルウェアや攻撃コードを実行させることができる。当然、ユーザー操作や画面操作などは必要ない。ユーザーがUSBポートにBadUSBを挿すだけで攻撃が成功してしまう。

もっと高度なBadUSBによる攻撃手法も公開されている。この攻撃は、Webカメラなど内部にCPUを持ちOS(Linuxなど)が動いているUSB機器を利用する。攻撃者はなんらかの方法で、PCやサーバーに侵入し管理者権限などを奪う。次に、そのコンピュータに接続されたWebカメラの脆弱性を利用してファームウェアを改ざんする。これによってWebカメラにBadUSBの機能を持たせることができる。

それまでのBadUSBによる攻撃は、USBポートにそれを挿入させる(物理アクセス)必要があった。この新しい攻撃は「BadCam」と呼ばれ、PCに侵入できれば遠隔操作で接続された機器をBadUSB化できるというものだ。

USBデバイスの対策の難しさ

BadUSB、BadCamが問題なのは、ウイルス対策ソフトによる検知が困難な点にある。

PCのHDDやSSDなどメインストレージやUSBメモリなど接続された外部記憶装置なら、スキャンソフトによって検知、駆除がしやすい。しかし、BadUSBは、それ自身キーボードなど周辺装置としてOSに認識されている。そのため、スキャンの対象にはならない。

また、インターネットなど外部からの攻撃ではないので、ファイアウォールでも検知できない。USB機器の接続はユーザーが手動で行うため、システム的な防止や対応がとりにくい。運用規定などによる物理対策に依存しがちになるのも対策を難しくする要因になっている。

ネットワーク経由の爆発的な感染はないが、人によるUSBの手渡しによる地味な感染が大きな脅威につながることもある。

その一例を示すものが、6月26日に公表された陸上自衛隊でウイルスが含まれていたUSBメモリが発見された事例だ。このメモリには自己増殖型のウイルスが仕込まれており、隊で使われている複数(6本)のUSBメモリと50台以上のPCで同様な汚染が確認されている。

なお、総務省は陸自の事例を受けて、各自治体でのUSB使用について調査する方針を打ち出している(後述)。

APTや組織的な高度な攻撃に使われやすいUSB

発表によれば陸自で発見された汚染USBは、正規の手続きで導入されたデバイスで、誰かが勝手に持ち込んだものではない。PCやシステムはインターネットから隔離されており、ネット経由の感染は考えにくい。いまのところ、情報漏洩や直接の被害は確認されていない。

2008年、アメリカで今回と類似の事例(Buckshot Yankee作戦)が発生している。中東のアメリカ軍基地でマルウェアが仕込まれたUSBメモリが発見された。報道では基地内に落ちていたUSBメモリだったというが、出所不明のデバイスとなる。経路などは不明だが、そのメモリをある兵士が基地のPCに接続したところ、マルウェア(Agent.BTZ)が発動したという事案も起きている。情報漏洩や具体的な被害は確認されていない。

自衛隊の事例でも、機密情報の外部送信は確認されていない。発動した自己増殖プログラムの目的や機能もはっきりしない。しかし、次のような攻撃シナリオが想定可能だ。

  • 攻撃者はインターネットに接続しない機密ネットワークへの攻撃を計画
  • BadUSBに仕込むマルウェアは自己増殖機能のほか、情報収集機能も持っている
  • BadUSBの手渡しによって標的内に感染PCをひそかに増やしておく(第1段階)
  • 攻撃者が軍、または機密ネットワークへの侵入を果たす
  • BadUSBで仕込んでおいたマルウェアによって情報収集等を行う(第2段階)
  • 機密情報を持ち出す(攻撃成功)

イランの核施設が標的とされたStuxnet(2010年:重要インフラの制御システムに対する初のサイバー攻撃として有名)の事例も、遠心分離機を誤作動させたマルウェアはUSBメモリによって施設内のシステムにインストールされた。2020年3月には、FBIがロシア系とされる犯罪集団「FIN7」が、郵送でBadUSBを企業に送付し、管理者権限を奪取したうえランサムウェアを展開する攻撃も確認されている。

USBを使った攻撃は、綿密に計画された組織的、国家的な攻撃にも利用されるので、注意が必要である。

情報漏洩:USBの出口対策

USB関連の対策で、もうひとつ注意しなければならない視点は、リムーバブルメディア(USBドライブ)としてのリスクだ。USBポートは、外部からの侵入口、攻撃面として機能するだけでなく、情報の出口としての機能(リスク)が存在する。

施設への侵入や物理接続を伴うサイバー攻撃では、PCから直接データを抜き出すためにUSBポートおよびUSBメモリは手軽で効果的だ。だが、侵入や物理攻撃は一般的に攻撃ハードルが高い。

したがってUSBポートの出口対策で重点をおきたいのは、不用意なデータの外部持ち出しと、USBメモリや外部ストレージの紛失・盗難対策となる。

しかしこれは、前述したように技術的な禁止が難しい。このデータは外部メモリにコピーしない、USBメモリは使わない、重要データの持ち出しは履歴の管理およびトラッキングを可能にするなど、主に運用ルールによって制限するしかない。

接続機器に認証による制御を行う場合も、OSレベルでの制御はグループポリシーやレジストリで行うことができる。だが、USB規格には、BadUSBの対策になるようなデバイス記述子の厳密な認証機構は規定されていない。したがって、細かいアクセス制御はできない。結局、ポートにキャップをかぶせたり、テープで封印するといった物理対策が確実となる。

USBセキュリティの対策ポイント

以上のようなリスクや脅威を防ぐため、USB禁止というポリシーを導入している企業(部署)は少なくない。だが、業務上の理由でシステム要件として禁止できないこともある。

なんらかの対策が必要だが、運用ルールによる対策、ポートを塞ぐ物理的対策では、ユーザーが自覚したうえでのUSB利用は防ぎようがない。勘違いや思い込み、ソーシャルエンジニアリングで騙されて行う場合、ルールや物理的封印(接着剤でソケットを埋めないかぎり)の効果は限定的となる。

対策に限界があることは、対策をしなくてもいいという理由にはならない。前述したとおり、総務省は各自治体のUSB利用実態の調査を7月より開始する。具体的な検査内容は原稿執筆時点で不明だが、組織的なBadUSB攻撃・ソーシャルエンジニアリングによる攻撃、従業員の不注意によるUSB紛失、置き忘れなどには、以下の対策が有効である。

運用ルール:

  • USBポートを封印・無効化する
  • 出所不明のデバイス、ケーブルはPCに接続しない
  • USBの自動再生機能を無効化する
  • PC画面のパスワードロックを設定する
  • 離席時にPC画面をオープンにしない

技術的な対策:

  • EDRによるBadUSB挙動の検知・遮断
  • データ漏洩対策(DLP)でUSBポート・外部ドライブへの出力の監視
  • USB記述子・ベンダーID・プロダクトIDによるデバイス管理ソリューションの利用

ポイントは、物理対策とシステム的な対策ソリューションを業務や要件に応じて組み合わせる多重防御を実践することだ。

参考:
2008: Operation Buckshot Yankee—the Breach That Shook the Pentagon and Shaped Cybersecurity
https://blog.gigamon.com/2025/03/05/2008-operation-buckshot-yankee-the-breach-that-shook-the-pentagon-and-shaped-cybersecurity/

Defending a New Domain: The Pentagon’s Cyberstrategy
https://apps.dtic.mil/sti/pdfs/ADA527707.pdf

BleepingComputer「FBI: Hackers Sending Malicious USB Drives & Teddy Bears via USPS」
https://www.bleepingcomputer.com/news/security/fbi-hackers-sending-malicious-usb-drives-and-teddy-bears-via-usps/