JPCERT/CCは30日、USBメモリやUSB接続HDD/SSDなど、USBストレージ内のデータを詐取するサイバー攻撃に注意を喚起した。

USBストレージ内のデータを盗むマルウェアの例(図:JPCERT/CC)

攻撃者は、USBの挿し先となる、オープンなネットワークに繋がった端末をマルウェアに感染させる。感染した端末に、機密情報が保存されたUSBストレージを接続した場合、USBストレージ内のファイルリストが自動的に生成され、攻撃者は情報を選んで詐取することが可能となる。実際に報告があった例では、自動生成されたファイルリストに基づき、標的となるファイルを圧縮状態で感染端末内に保存。マルウエアに感染させた別の端末から、圧縮ファイルを細分化した上で、情報を外部へ送信させていたという。

USBストレージ内のファイルを一覧表示するマルウエアでは、「C:\intel\logs」や、「C:\Windows\system32」フォルダの配下に、次のようなファイルが設置される。

  • 正規の実行ファイルに類似した名前の実行ファイル(intelUPD.exe, intelu.exe, IgfxService.exe)
  • 生成されたファイルリスト(interad.log, slog.log)
  • 詐取のために圧縮されたファイル

インターネットにアクセス可能な端末が、USBストレージで情報を取り扱っている場合に注意が必要となる。仮に機密情報の取り扱いをクローズドなネットワークで行っていたとしても、USBストレージを使い、機密情報をオープンなネットワークに移した場合、こういった脅威が起こりうる。

JPCERT/CCでは、管理者に対し、組織内の端末に不正なプログラムが稼働していないか確認することや、USBストレージでの情報取り扱いの見直し、暗号化の実施などを推奨している。