兵器化されたUSBデバイスによる攻撃

2019年5月1日

「USBデバイスは、マルウェアが産業用制御システムに侵入する主要経路なのです」。Kaspersky Security Analyst Summit(SAS)2019の講演で、Bentley Systemsのルカ・ボンジョルニ(Luca Bongiorni)氏はこのように述べました。何らかの形でセキュリティにかかわっている人ならおそらく、「偶然」落ちていたUSBメモリの話を聞いたことがあるのではないでしょうか。USBメモリの危険性を分かりやすく示す話なので、セキュリティの文脈で繰り返し語られています。

USBメモリについては、こんな話もあります(実話です)。ある産業施設の従業員が『ラ・ラ・ランド』を見たくなり、昼休みにこの映画をUSBメモリにダウンロードしました。原子力発電所のエアギャップで守られた(物理的に隔離された)システムに対する感染は、このようにして始まったのでした(英語記事)。あまりにもありふれた、避けられたはずの重要インフラ感染の物語です。

しかし、人々は、USBメモリだけがUSBデバイスではないということを忘れがちです。キーボードやマウスなどのヒューマンインターフェイスデバイス(HID)をはじめ、スマートフォン用充電ケーブル、プラズマボールや保温機能付きマグカップのような身の回りの物でさえ、産業用制御システムを攻撃するように改竄できるのです。

USB兵器の略歴

これも忘れられがちですが、USBデバイスの兵器化は目新しいものではありません。このようなデバイスについて最初に書かれたのは、2010年のことでした。プログラミング可能な小型のボード「Teensy」をベースに、USBコネクタを備えたこのデバイスは、HIDのように動作し、たとえばキーストロークをPCに送り込むことができました。ハッカーたちはすぐに、このデバイスが侵入テスト(ペネトレーションテスト)に使えることに気付きました。そこで彼らは、新規ユーザーを作成し、バックドアを追加するプログラムを実行し、マルウェアをコピーまたは指定のWebサイトからダウンロードしてインストールするようにプログラムしたバージョンを開発しました。

この改造版Teensyの最初のバージョンは、「PHUKD」(英語記事)と名付けられました。続いて登場したのが「Kautilya」(英語記事)で、さらに人気の高いArduinoボードと互換性がありました。その次が「Rubber Ducky」。アメリカの人気スリラードラマ『Mr. Robot』で取り上げられ、キーストロークをエミュレートするUSBツールとしては、おそらく世界一有名になりましたが、見た目は普通のUSBメモリと変わりません。これよりもさらに強力な「Bash Bunny」は、銀行を狙った攻撃に使われました。

PHUKDを生み出した人物は、ほどなくして新たな着想を得て、トロイの木馬化したマウスを作り出しました。侵入テスト用ボードを内蔵したこのマウスは、普通のマウスとして使えるだけでなく、PHUKDができることは何でも実行できます。ソーシャルエンジニアリングの視点からいうと、このマウスのような本物のHIDを使った方が、USBメモリを使うよりも簡単にシステムへ侵入できるかもしれません。見知らぬUSBメモリをPCに差し込んではいけないと十分承知している人でも、キーボードやマウスについては気にしないものです。

兵器化されたUSBデバイスの第2世代が作られたのは2014~2015年で、ここにはあの悪名高い「BadUSB」を使ったデバイスが含まれます。米国国家安全保障局(NSA)が開発したとされる「TURNIPSCHOOL」と「Cottonmouth」についても、触れておきましょう。これらはUSBケーブルの中に納まるほどの極小デバイスで、コンピューター(ネットワークに一切接続していないものも含む)からデータをこっそり盗み出すために使用されました。見た目はただのケーブルです。誰が気にするでしょうか。

兵器化されたUSBデバイスの現状

USB侵入ツールは、第3世代でまったく新しいレベルに突入しました。その1つ「WHID Injector」は、簡単に言うとWi-Fiに接続できるRubber Duckyです。Wi-Fi機能を持っていますから、すべきことを最初に全部プログラミングする必要はありません。また、遠隔操作できるので、より柔軟性があるだけでなく、別のOSでも動作します。このほか、Raspberry Piをベースにした「P4wnP1」は、Bash Bunnyに似ていますが、無線接続などの追加機能を持っています。

WHID InjectorもBash Bunnyも、キーボードやマウスに仕込めるほど小型です。以下の動画に出てくるノートPCは、USB、イーサネット、Wi-Fiなどによるネットワーク接続はなされていませんが、トロイの木馬化されたキーボードが外付けされているため、攻撃者はこれを使って遠隔地からコマンドやアプリを実行できます。

これらのような極小USBデバイスは、特定タイプのHID製品であるかのようにプログラミングすることも可能です。そうすれば、使用してよいマウスやキーボードのメーカーを指定するセキュリティポリシーに抵触しません。WHID Injectorのようなツールにはマイクを搭載することも可能であるため、盗聴して施設内にいる人々の様子をひそかに探ることができます。さらに悪いことには、ネットワークが適切にセグメント化されていない限り、このようなデバイスが1つあるだけでネットワーク全体のセキュリティが侵害されます。

兵器化されたUSBデバイスからシステムを守るには

トロイの木馬化されたマウスやキーボード、監視機能が仕込まれたケーブルや悪意あるケーブルは、隔離されたシステムであっても感染させることのできる深刻な脅威です。今どきはこのような攻撃に必要なツールが安価で手に入り、プログラミングのスキルがほとんどなくてもプログラミングできますから、この種の脅威にも注意を向ける必要があります。

重要インフラをこのような脅威から守るには、セキュリティの対策を多層的に実施しましょう。

  • 物理的なセキュリティを確保する。権限のない人が産業用制御システムにUSBデバイスを無作為に差し込めないようにしてください。また、使用されていないUSBポートを物理的にブロックすると同時に、すでに接続されているHIDは取り外せないようにしましょう。
  • 兵器化されたUSBデバイスをはじめさまざまなタイプの脅威について知ってもらうため、従業員向けにトレーニングを実施する。
  • ネットワークを適切にセグメント化し、アクセス権を管理して、攻撃者が重要インフラの制御システムに近づけないようにする。
  • 施設にあるすべてのシステムを、あらゆるタイプの脅威を検知可能なセキュリティソリューションで保護する。Kaspersky Endpoint Security for Businessのテクノロジーは、あらかじめ認証されたHIDを使ってコードが入力されない限り、HIDの使用を許可しません。