USBメモリ(リムーバブルディスク)が使われるようになってから20年が経とうとしています。小さく安価なUSBデバイスが、同時にマルウェアを拡散し、密かにデータを盗み取るサイバー犯罪に使用されている懸念が示され始めました。今どき、普通の人なら、「誰のかわからないUSBドライブを自分のパソコンに差し込んでみたりはしないだろう」と思っているのではないでしょうか。しかし、必ずしもそれが正しいとは言えないことが問題なのです。情報セキュリティの専門家やメディアが警告しているにもかかわらず、エンドユーザーのごく当たり前の好奇心やそのほかの感情が、USBを用いたソーシャルエンジニアリングに対する脆弱性をもたらしています。
ワイヤレスキーボード、外付けWEBカメラから安価なノベルティグッズなどのリムーバブルドライブは、コンピュータに危険をもたらすUSB周辺機器にすぎません。USB接続はIoT (Internet of Things:モノのインターネット) でも一般的です。延長コードと同じように無害に見えるUSBケーブルやスマートフォンの充電器でさえ、悪用される可能性があります。実際に、イスラエル、ネゲブのベン・グリオン大学の研究者は、最近コンピューターを危険にさらした、攻撃者がUSBデバイスを使っていた29通りの手口を特定しました。
USBによる攻撃は確かに有効です − では何をすべきでしょうか?
どのような手口を使うにしても、USBを介した攻撃には、不審なデバイスをコンピュータに接続するような無防備な人が必要です。たとえば、「USBデバイス置き去りの手法」では、攻撃者はマルウェアの入ったUSBメモリを標的の身近にある駐車場や共用スペースに置きます。そして誰かが、その紛失したかのように見えるUSBメモリを、好奇心で拾い上げて接続してくれるのを待ちます。この戦略は無謀なように見えるかもしれませんが、テクノロジーとソーシャルエンジニアリングの組み合わせは実に効果的です。
2016年の調査研究では、実際に「USBデバイス置き去りの手法」の推定成功率が45〜98%であると明らかにされています。研究者らは、300個近くのUSBメモリをイリノイ大学アーバナ・シャンペーン校のキャンパス周辺に置き去りにして対照実験を行いました。そのドライブには、開いたときに通知を生成する.htmlファイルが組み込んでありました。
結果は想定通りでした。USBメモリの98%は誰かに拾い上げられ、45%はいずれかのファイルが開かれていました。言い換えると、シミュレーションしたうちの約半数近くの攻撃が明らかに成功しています。USBメモリを見つけ接続はしたものの、ファイルは開かなかったという可能性もありますが、ファイルを開かなくても重大なセキュリティリスクを引き起こします。
では、攻撃者が10個のUSBメモリを会社付近に置いたとすると、そのうちいくつが接続されてしまうと思いますか?研究結果が示す通り、4〜5個のファイルが開かれるのでしょうか?
親切心や興味が悪用されてしまう仕組み
USBメモリを接続してしまった生徒やスタッフは、セキュリティに疎かったと思われがちですが、そうではありません。Security Behavior Intentions Scale (SeBIS) への回答からは、USBメモリを接続した人と一般の人との間に有意差は見られませんでした。結果として、USBを使った攻撃が「ほとんどの人に対して有効であり、普通の人は周辺機器をパソコンに接続する危険性を理解していない」と研究者は結論付けました。
この調査によると、そうした人たちは、最初は親切心からUSBメモリを拾いドライブに差し込んでいました。「USBメモリを持ち主に返せると良い」と思っていたのです。ところが一度接続すると、半数の人は「好奇心がまさって、「旅行の写真」と名付けられた興味そそられるファイルを開いてしまいました。USBメモリの持ち主を探すことも忘れてしまっているのです。」攻撃者は、好奇心をそそるファイル名をつけて、強力なソーシャルエンジニアリング手法として、USBメモリで攻撃を仕掛けてきます。
「ここでの証明されたことから、現実社会には技術的な攻撃に対する脅威がほとんどなく、正しく防御する方法が理解されていないのだということを、セキュリティコミュニティーに注意喚起しています。」と研究者は話しました。「ソーシャルエンジニアリングによる攻撃の種類をもっと理解し、攻撃に対する技術的な防御を開発し、エンドユーザーにそのリスクを効果的に教えることが必要です。」
USB使用のリスクに先回りするアプローチ
それでは、USBによる会社や組織への攻撃のリスクを減らすためには、何をすればいいでしょうか?Proofpointは、先回りのアプローチをおすすめします。攻撃に対するユーザーの脆弱性を評価し、悪質なUSBデバイスがシステムの感染やデータ損失を引き起こすことをユーザーに知ってもらう必要があります。そして、どのように脅威を回避すべきかを教えます。弊社のThreatSim® USB Simulationsは、どこかで拾った未知のUSBデバイスを使ったエンドユーザーを特定できます。さらにUSBデバイスの置き去り手法による攻撃への会社や組織の脆弱性に対処できるデータを提供します。施設内外に設置したどのUSBメモリが閲覧されたか、セキュリティ教育プラットフォームから追跡が可能です。
USBを介した攻撃のシミュレーションは脅威への意識を即座に高め、今後のソーシャルエンジニアリングによる攻撃やデータ保護に関するトレーニングを受け入れやすくするのに優れた方法です。シミュレーションでの攻撃に騙され引っかかってしまったユーザーには、最適な知識を学ぶトレーニングを実施し、USBデバイスの安全を提供しています。
この度、USBシミュレーション用の製品を改良し、セルフサービス機能と拡張性を追加しました。お客様はいつでも、いくつでもUSBデバイスを読み込み、キャンペーンを始めることができます。無制限での使用が可能になったことにより、配布するUSB数やキャンペーン数に制限がなくなりました。
USBメモリの根強い人気とIoTに接続したデバイスの増加からみて、USBを介した攻撃のリスクを下げることは、組織のサイバーセキュリティにとって大切です。Proofpointのセキュリティ意識向上トレーニングをお試しになりませんか。数千社のお客様にご利用いただいている、企業や組織に結果をもたらす当社の対策をご覧ください。