郵便でUSBメモリが届いたら

ある日突然、USBメモリが郵送されてきても、PCに差し込んではいけません。中身が気になるかもしれませんが、いろいろな危険が潜んでいるはずです。

malicious-usb-mail-featured

皆さんがどうかは知りませんが、私はメールボックスを開けて、頼んでもいないメールが入っていると超うれしくなります。そう、迷惑メールというやつです(皮肉です。念のため)。

私も!という方は、いらっしゃいますか。

さて、冗談はこのくらいにして、メールの受信トレイや自宅の郵便受けに欲しくもないものが入っているのは気持ちのいいものではありません。とはいえ、マーケティングの専門家によると、(無差別にばらまいただけの)ダイレクトメールでも、中には顧客となって、お金を払ってくれる人がいるのです。

ところで、セキュリティ関連のブログでマーケティングの話をしているのは、なぜでしょうか?

その質問を待っていました。実は先ごろ、オーストラリアのメルボルンにある警察が、郵便受けに届いたUSBメモリをコンピューターに挿さないようにと警告を出しました(英語記事)。

警察は「こうしたUSBメモリは、きわめて有害と考えられるため、コンピューターなどのデバイスに挿入しないようご注意ください」と呼び掛けています。

察するに、犯罪者は昔ながらのサイバー犯罪の手法を使わずにマルウェアをコンピューターにインストールさせる戦略を検討するとき、「おい、ダイレクトメールは上手くいっていたじゃないか!」と思ったのではないでしょうか。

かなり古臭い戦術な気はしますが、駐車場に落ちていた悪意あるUSBを経由してマルウェアに感染し、企業への標的型攻撃の入り口を作ってしまうのは、特に荒唐無稽な話ではありません。先日、このブログでエリー・バーステイン(Elie Bursztein)氏が大学のキャンパスにUSBメモリが落ちていたらどうなるかを観察した結果について報告しました。驚いたことに、ばらまかれたメモリの48%がコンピューターに挿されたのです。

下手な鉄砲でも撃ちまくれば、犯罪の成功率がアップする可能性があります。警察の警告(英語記事)が手遅れにならないことを願っています。

これはオーストラリアの都会で起きた話ですが、個人のセキュリティにおいても、折に触れて意識すべき教訓を与えてくれます。要は、知らないデバイスをコンピューターに挿してはいけません。

こんなデバイスを挿してしまうのは知識のない人か、高齢者か、ネット常識力のない人だろうと決め付けるのは簡単かもしれませんが、単純にそうとも言えません。バーステイン氏のテストでは、小さい頃からコンピューターやネットに親しんでいる大学生でさえ、何の問題もなさそうなデバイスにだまされて、PCに差し込んでしまうことが示されています。

自動実行が設定されていると、USBを媒介とするマルウェアを、さらに次の段階へと進めてしまう可能性があります。USBデバイス上のプログラムを自動実行するように設定されていると、USBデバイスをポートに挿すだけで連鎖反応が始まります。これがたとえばランサムウェアだったとすると、ファイルが自動的にロックされてしまい、ランサムウェアの復号ツールを探すか犯罪者に身代金を払うかしかなくなります。

他にも、キー入力を記録して機密情報を盗んだり、アドウェアを大量にばらまいたりするマルウェアもあれば、システムを破壊するプログラムも存在します。

これだけではありません。拾ったデバイスを挿したためにコンピューターが壊れてしまい、多額の損害に至る可能性もあります。

フィクションのように聞こえるかもしれませんが、本当です。USBデバイスはポートを経由してコンピューターを破壊できるのです。今月、コンピューターの物理的破壊をもたらすUSB Killer 2.0(英語記事)について報じられました。原理上、このデバイスはUSBポート経由で電力を取り込み、その電流をコンピューターに撃ち返して、電気回路を破壊します。コンピューターの価格は機種や性能によってさまざまですが、すぐに新しいコンピューターを買い直したい人などいないでしょう。

でも、アンチウイルス製品がインストールされていれば、デバイスが最初にスキャンされるのでは

確かに、アンチウイルス製品はマルウェアに対する重要な防御層です。しかし、USBデバイスが抱えるもう1つの問題について、お伝えしなければなりません。USBメモリに潜む危険は、マルウェアだけではないかもしれないのです。

「占有は九分の利」(英語記事)ということわざがあります。USBを拾った場合、発見者にとって重大な意味を持つかもしれません。リムーバブルメディアには、不法に手に入れた文書、いかがわしい画像、銀行の口座情報などが記録されている可能性があります。発見者は単に中身を見ただけかもしれませんが、見なかったことにはできません。ある種のファイルを持っているだけで、犯罪の共犯者になりかねません。

それでは、ここで質問です。迷惑メールを開けるのが好きな人、いらっしゃいますか。拾ったメディアの謎にわくわくする人は?

いえ、本当の問いは、こうです。「それだけの価値があるのでしょうか?」

もし、友人や家族、同僚で身元不明なUSBメモリを挿しそうな人がいたら、この記事を見せてあげてください。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?