こんなシーンを想像してみてください。あなたはぶらぶらと歩いています。ポケモンを探しながら、気分転換のために、人間観察しつつ、犬の散歩がてら、シチュエーションは何でも構いません。歩いていると、何かが目に留まりました。USBメモリです。USBメモリが道の真ん中に落ちています。
ラッキー!思いがけない拾いもの!さて、このメモリには何が入っていると思いますか?誰かの家族写真?世界征服に向けた不穏な計画?大学生のレポート?何だかわかりませんよね、中を見てみなければ…
You found a USB in your hotel lobby in #Vegas Do you plug it into your computer? #KLBH #BlackHat2016
— Kaspersky (@kaspersky) August 4, 2016
ここでストップ。本当にUSBメモリを拾ったら、あなたはどうしますか?USBポートに差し込んでみますか?それとも、近くにあるゴミ箱に放り込む?ポートに差し込むと答えたのは、あなただけではありません。絶対にやってはいけないことなのですが。
先日開催されたBlack Hatで、エリー・バーステイン(Elie Bursztein)氏は、ちょっとした社会実験の結果をプレゼンテーションしました。同氏のチームは、イリノイ大学のキャンパスに297本のUSBメモリを落として回ったのです(もちろん、大学側の許可を得た上で)。このメモリに入っていたのは人畜無害なスクリプトのみ。誰かがこのメモリをコンピューターに挿入したら、調査チームへアラートを送信し、その時刻と場所を知らせるだけのシンプルなものでした。
実に考えさせられる結果になりました。USBメモリの48%がコンピューターに差し込まれたのです。しかも、その大半が拾われてから10時間以内に。驚いたことに、メモリを拾って差し込んだ人の68%が、(実験後の調査で)本来の持ち主にメモリを返そうと思っていたと答えています。なんと善意に満ちた行動でしょう!(この善意が地獄への第一歩かもしれないのですが)。
さて、ここで結論を。今回のイリノイ大学の学生と同じようにUSBメモリが落ちているのを見つけても、拾ってはなりません。中に入っているのは誰かのきわどい写真や確定申告書かもしれませんが、犯罪者の仕掛けた罠である可能性もあるからです。
バーステイン氏は調査を行っただけで、何か悪いことをしようとしたわけではありませんでした。USBメモリに入っていたスクリプトも無害で、実験は責任をもって実施されました。しかし、あなたの目の前に落ちているUSBメモリもそうだとは言えません。
メモリを挿入したら、大変なことになるかもしれないのです(英語記事)。攻撃者があなたのコンピューターにアクセス可能となり、キーボードで入力された内容を(パスワードも含めて)抜き取るかもしれません。コンピューターをランサムウェアに感染させる恐れもあります。
Webをきっかけとする脅威が喧伝される中、「オフラインの脅威」のことを忘れがちではありませんか?USBドライブにご注意を…http://t.co/3cB9c5auud
— カスペルスキー 公式 (@kaspersky_japan) August 16, 2013
サイバー犯罪者から見ると、かなり割のいい作戦です。キーロガーを使ってクレジットカードから盗み出せる金額や、暗号化プログラムを使って要求する身代金は、まず間違いなく、USBメモリの調達にかかるコストを上回ります。落ちているUSBを48%の人が拾うとなれば、相当うま味のあるビジネスのように見えます。
それでは、記事の初めに戻って…
あなたは歩道に落ちているUSBメモリを見つけました。USBポートに挿入しますか?
もっと端的にお聞きしましょう。あなたはどのくらい危険を冒す覚悟ができていますか?