BadUSB

BadUSBとは

BadUSBとは、悪意のあるプログラムが組み込まれたUSBデバイスを用いるコンピュータセキュリティ攻撃の形態です。この攻撃手法は、2014年8月に行われたセキュリティイベント「ブラックハット USA 2014」で、研究者のカルステン・ノール氏やヤコブ・レル氏によって初めて公表され、「BadUSB」と名付けられました。

彼らはこの攻撃方法のデモを行い、USB機器を製造する企業に対し、その危険性を伝えましたが、現在のところ、対応を検討しているメーカーは存在しません。USBが広く普及していることを考慮し、具体的な攻撃コードは公開されませんでした。

その後、セキュリティ研究者たちがこの脆弱性を悪用するコードを公開し、USBハードウェアメーカーに対応を促す動きも見られました。ロシアのダーク・パープル氏による「USBキラー」など、新たなマルウェアが開発されるなど、この攻撃のリスクは高まっています。

技術的な詳細

BadUSBの原理は、USBデバイスに内蔵されているプログラム可能なマイクロコントローラーが関係しています。このため、USBデバイスは小型のコンピュータに等しく、動作は「ファームウェア」プログラムに基づいています。このファームウェアが書き換えられることにより、さまざまな攻撃が可能となります。

USBの規格によると、ファームウェアはユーザーの同意なしに書き換えが可能であるため、それが唯一の防衛策となります。USBデバイスはPCに接続されることで電力を供給され、プログラムが実行されますが、悪意のあるコードでも正規の操作として認識されるため、従来の振る舞いベースのセキュリティ対策では防ぎきれません。

例えば、USBフラッシュドライブがHID（ヒューマン・インタフェース・デバイス）に偽装されている場合、リムーバブルストレージデバイスが無効でも動作してしまいます。ノール氏は「シンプルさとセキュリティのジレンマ」として、この攻撃が可能である理由を説明しています。

さらに、一般的なアンチウイルスはファームウェア内のプログラムをスキャンできないことが多く、悪意のあるコードがUSBコントローラー内部に隠されているため、従来のセキュリティ対策では無力です。

防御策

このような危険性が認知されつつあり、一部の製品にはセキュリティチップ搭載のものも登場しています。例えば、カスペルスキーは異常な振る舞いを検出する技術を開発し、法人向けに提供しています。また、Robert Fisk氏が開発したUSBアダプタ「USG」は、USBデバイスとの間に介在し、不審な命令を阻止する役割を果たします。

ただし、USGにはウイルススキャン機能がなく、転送速度も遅いため、大容量転送には不向きです。USBデバイスにパスワードロック機能やウイルス対策機能を考慮したセキュリティUSBメモリも存在しますが、サイバー犯罪者はそれらの機能を悪用するケースが報告されています。最も効果的な防御策は、出所不明のUSBデバイスをPCに接続しないことです。

不審なUSBを使用してしまう心理

過去の事例では、ロシアの工作員が悪意あるマルウェアを仕込んだUSBを米軍基地に放置する事件がありました。このUSBを拾った兵士が感染したPCに接続し、機密情報が漏洩する事態を引き起こしました。また、Googleと大学による調査では、約48％の学生が獲得したUSBメモリを挿入したと報告されています。

被害に遭う確率と事例

BadUSB攻撃の遭遇率は低いとされていますが、特定の場合には実際に被害が確認されています。例えば、2020年には特定のホスピタリティプロバイダーが偽のギフトカードを用いた攻撃を受けました。また、ロシアのハッカー集団FIN7が、USBメモリを使用して企業に対する攻撃を行った事例もあります。これらの情報から、USBデバイスに対する慎重な取り扱いが求められます。

もう一度検索