BadUSB

BadUSBは、悪意のあるソフトウェアが仕組まれているUSBデバイスを用いたコンピュータセキュリティ攻撃である[1]

歴史

[編集]

2014年8月に行われたセキュリティイベント「ブラックハット USA 2014」にて、研究家のカルステン・ノール英語版、ヤコブ・レルらによってこの攻撃方法が明らかにされた。この攻撃は「BadUSB」と名付けられ、実際にデモを行ってみせた[2]。ノールはこの危険性をUSB機器を製造するメーカーに伝えているが、今のところ対応を予定しているメーカーはないという[3]。またUSBの普及率の高さを鑑み[4]、具体的な攻撃コードは公表しなかった[5]

講演の2か月後、別のセキュリティ研究者2名がこの脆弱性を悪用するためのコードをソフトウエア開発プロジェクトホスティングサイトの「GitHub」にて公開した[2][6]。2人はコードを公開した理由を「USBハードウェアメーカーにプレッシャーをかけるため」としている[4]

2015年、ロシアのセキュリティ研究家ダーク・パープルが「USBキラー」というマルウェアを開発した。これは220ボルトの負電荷をUSBポートの信号線に送信することで、数秒でマザーボードが焼き付き破壊されるというものだった[7]

2016年4月、ドイツ核施設スタクスネットというマルウェアを含んだUSBメモリが18本発見された[8]

2022年1月6日、FBIはマルウェアが仕込まれたUSBメモリが、貨物・保険・防衛産業の企業を中心に郵送で送られてくるという事態が発生しているとして警告を行った[9][10]

攻撃の詳細

[編集]

技術的な詳細

[編集]

USB機器には、プログラム可能なマイクロコントローラーが搭載されている[11]。 つまりUSBデバイスはそれぞれが小型コンピューターでもあり、その動作は「ファームウェア」というプログラムで定義されている[12]。これを書き換えることで様々なことができてしまうが、基本的にどのUSB機器もこの攻撃を防ぐことはできない。それはUSBの規格でファームウエアがユーザーの同意なしに書き換えできるためである[12]。これはUSBからPCだけではなく、逆にPCからUSBにも感染できる事も意味し、PC接続に接続されているUSBデバイスにも感染を広げられる[3]。このような仕様はUSBの最大の特長である多用途性を意識したもので[5]、書き換え不能にしてしまうと正規のファームウェアのアップデートも行うことが出来なくなってしまう[13]

PCにUSBデバイスを接続すると、電力供給を受けたUSBコントローラが起動し、プログラムを読み出して実行する[2]。悪意ある挙動であっても、正規のユーザーの操作として認識されるため、振る舞いベースの防御手法でも防ぐことはできない[5]。 例えば送られてきたのがUSBフラッシュドライブ(USBメモリ)だった場合でも、これらはHID(ヒューマン・インタフェース・デバイス)に偽装されているため、リムーバブルストレージデバイスをオフにしていても動作してしまう[10]

ノールは「これはシンプルさとセキュリティのジレンマです。 USBの最大の魅力は、ただ差し込むだけで簡単に使えることです。ですが、このシンプルさがまさにこの攻撃を可能にしてしまっているのです」と述べている[14]

またセキュリティ企業のソフォスによると、ファームウェア内のプログラムはPCのセキュリティソフトではスキャンすることができないという[12]。こうしたマルウェアはUSBのコントローラーに埋め込まれており、一般的なアンチウイルス製品がスキャンする層よりもさらに深い層にいるため、検知することができない[15]カスペルスキーは「一般的なアンチウイルス製品はシステムをハードウェアレベルでスキャンしないため、OSに対する攻撃よりもハードウェアに対する攻撃の方が恐ろしさは上」としている[15]

防御策

[編集]

しかしこの危険性が認知され始めると、サーバ・PC製品の中にはセキュリティチップを搭載しファームウェアの改ざんを検出する製品も登場している[16]。 カスペルスキーは2016年7月にUSBデバイスのふるまいを自動追跡し、不審な振る舞いをするデバイスをブロックする技術を開発し、法人向けセキュリティ製品に実装した[15]

2017年には、ニュージーランドの電子技術者Robert FiskはUSBアダプタ「USG」のバージョン1.0を開発。USBデバイスはこのUSGを仲介してPCに接続され、ファイアウォールのような役目を果たす[17]。ただこのドングルは、ローレベルでのUSBデバイスとPCとのやり取りを遮断し、不審な命令を実行させないことで安全性を確保しているだけで、ウイルスのスキャン機能は備わっていない。さらに1MB/s程度しか転送速度が出せず、大容量転送には向かないという欠点もある[18]

他にパスワードロック機能やウイルス対策機能が搭載されている「セキュリティUSBメモリ」も発売されているが、セキュリティ企業Palo Alto Networksは2018年6月に「Tick」と呼ばれるハッカーグループによるセキュアUSBを悪用するマルウェアを報告するなど、イタチごっこが続いている[16]

また過去の実例から攻撃者は既に悪意のあるプログラムが仕込まれたUSB機器を配布して攻撃してくることが多いため、差出人のはっきりしない郵便物、無料で配られたUSB機器、拾ったUSBメモリなどを不用意にPCに挿入しないのが最大の防御策となる[5][19]

不審なUSBを使用してしまう心理

[編集]

2008年、ロシアの工作員とみられる人物が、アフガニスタンに駐留している米軍基地の駐車場に「agent.btz」という悪意あるマルウェアが仕込まれたUSBを意図的に置いていった。するとロシア側の思惑通りに米軍関係者がそれを拾い、基地のPCに差し込んでしまった。そして感染したPCから機密情報などの内部情報が盗まれていた[9]

2016年5月、Googleイリノイ大学ミシガン大学の合同チームがセキュリティ研究のために、イリノイ大学のキャンパス内のあちこちに300本のUSBメモリを意図的にばらまいた。そして拾った大学生たちの何人がPCに挿入するかを調査した[8]。その結果、約半数の48%が配布されたUSBメモリを挿入し、中にあったファイルをクリックしていた。怪しんでウィルス対策ソフトでスキャンした学生はわずか16%に過ぎなかった[8]

2018年6月12日に行われた米朝首脳会談のために集まった約3000人プレス関係者に配られたノベルティの中に入っていたUSBで給電できる扇風機について、あるジャーナリストが「暑いシンガポールではありがたい」とつぶやいたが、すぐに「安易につなぐべきではない」と注意が方々から行われた[16]

この他、アメリカ国家安全保障局(NSA)がUSB接続ケーブルにマルウェアを埋め込むサイバー攻撃ツール「コットンマウスI」を開発していたことも内部資料から判明している[9]

被害に遭う確率

[編集]

ZDNetの作者Catalin Cimpanuは、BadUSB攻撃に遭う確率は「非常にまれ」であると語っている。しかし2020年に、ホスピタリティプロバイダーが偽のギフトカードを使用した攻撃を受けたことが確認されている。この攻撃は、USBメモリにプログラムされたキー操作によってPowerShellコマンドが実行されマルウェアがPC上にダウンロードされてしまった[20]

FIN7によるBadUSB攻撃

[編集]

2020年、ロシアのハッカー集団FIN7がアメリカの家電量販店を装い、USBメモリと偽のギフトカードを送りつけた。同封のメッセージにはUSBメモリにこのギフトカードで引き換えられる商品のリストが入っていると書かれていた[21]。標的の警戒心を解くためにテディベアなどのぬいぐるみが含まれていることもあった[22]

2021年8月にアメリカの運輸業界と保険業界、11月には防衛企業にUSBメモリが郵送されてきた[10]。郵便物は2パターンあり、1つは保険福祉省を装ったもので「新型コロナ感染症対策のガイドライン」と書かれた手紙とUSBメモリが同封されている。もう1つは、Amazonのプレゼント用のパッケージで偽装され、感謝を記した手紙と、偽のギフトカード、そしてやはりUSBメモリが同封されていた[9]。これらのUSBメモリはUSB接続のHIDキーボードに偽装しており、侵入したシステムにマルウェアのペイロードをインストールするために、キーストロークの注入を開始する[9]。侵入者サイドの最終目標は、被害者のネットワークにアクセスし、Metasploit、Cobalt Strike、Carbanakマルウェア、Griffonバックドア、PowerShellスクリプトなど、さまざまなツールを使用して、侵入したネットワーク内にBlackMatterやREvilなどのランサムウェアを配備することである[22]。 これらの一連の攻撃を行ったのもFIN7だった考えられている[21]

脚注

[編集]
  1. ^ Greenberg, Andy (July 31, 2014). “Why the Security of USB Is Fundamentally Broken” (英語). Wired. ISSN 1059-1028. https://www.wired.com/2014/07/usb-security/ 2021年9月7日閲覧。 
  2. ^ a b c ファームウエアを勝手に書き換える、USBの危険すぎる脆弱性「BadUSB」”. 日経コンピュータ (2014年11月10日). 2022年1月13日閲覧。
  3. ^ a b USBデバイスに深刻な欠点、マルウエア拡散に悪用される可能性”. TECH+ (2014年8月1日). 2022年1月18日閲覧。
  4. ^ a b USBに設計上の致命的な脆弱性が発見され、そのコードが公開される”. GIGAZINE (2014年10月6日). 2022年1月13日閲覧。
  5. ^ a b c d 脆弱性を衝かない攻撃BadUSB”. 三和コムテック (2014年10月24日). 2022年1月13日閲覧。
  6. ^ Greenberg, Andy (October 2, 2014). “The Unpatchable Malware That Infects USBs Is Now on the Loose” (英語). Wired. ISSN 1059-1028. https://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/ 2021年9月7日閲覧。 
  7. ^ New USB killer ‘destroys computer within seconds’”. welivesecurity (14 Oct 2015). 2022年1月13日閲覧。
  8. ^ a b c USBメモリーとセキュリティの危うい関係”. キヤノン (2016年6月22日). 2022年1月13日閲覧。
  9. ^ a b c d e 見知らぬUSBはどうすればいいのか 会社のPCに差し込んではいけないワケ”. ITmedia ビジネスオンライン (2022年1月13日). 2022年1月13日閲覧。
  10. ^ a b c 身に覚えのないUSBメモリに注意、挿すだけでサイバー攻撃受ける恐れ”. マイナビニュースマイナビニュース (2022年1月13日). 2022年1月13日閲覧。
  11. ^ Nohl. “BadUSB - On accessories that turn evil”. 2016年10月19日時点のオリジナルよりアーカイブ。2022年1月13日閲覧。
  12. ^ a b c 3分でわかる「BadUSB」”. 日経XTECH (2015年1月28日). 2022年1月13日閲覧。
  13. ^ [Black Hat USA 2014 レポートファームウェア書き換えでUSBに機能追加]”. ScanNetSecurity (2014年8月11日). 2022年1月18日閲覧。
  14. ^ Goodin (July 31, 2014). “This thumbdrive hacks computers. 'BadUSB' exploit makes devices turn 'evil'” (英語). Ars Technica. 2021年9月7日閲覧。
  15. ^ a b c Kaspersky Lab流BadUSB対策”. カスペルスキー (2016年7月20日). 2022年1月13日閲覧。
  16. ^ a b c 小さな親切、大きなお世話? 無償で配られるUSBデバイスやメモリのリスク”. ITmedia NEWS (2018年6月29日). 2022年1月13日閲覧。
  17. ^ Doctorow (March 2, 2017). “USG: an open source anti-BadUSB hardware firewall for your USB port” (英語). Boing Boing. 2021年9月7日閲覧。
  18. ^ 悪意あるソフトが潜むUSBメモリからPCを守る自作可能なUSBアダプタ”. PC Watch (2017年3月13日). 2022年1月13日閲覧。
  19. ^ USBキラー?USBメモリー利用時のリスクと安全な利用方法を考える”. キヤノン (2021年6月3日). 2022年1月13日閲覧。
  20. ^ Cimpanu (March 26, 2020). “Rare BadUSB attack detected in the wild against US hospitality provider” (英語). ZDNet. 2021年9月7日閲覧。
  21. ^ a b USBメモリーを標的に送りつけて攻撃--挿入されたPCにランサムウェアをインストール”. ZDNet Japan (2022年1月11日). 2022年1月13日閲覧。
  22. ^ a b FBI: Hackers use BadUSB to target defense firms with ransomware”. Bleeping Computer (January 7, 2022). 2022年1月13日閲覧。