少し前のデータですが、米国でセキュリティカンファレンス「Black Hat USA 2016」が開催され、そこで、297個のUSBメモリを大学内にばらまいて、何個開封されるかを実験したElie Bursztein氏が発表をされました。
発表の原文は、Elie氏のブログに公開されています。
Elie氏が大学キャンパスにばらまいたUSBメモリは、ラベルも何も付いていないもの、鍵束付きのもの、鍵束と返却先名札(名前とメールアドレスが書いてある)付きのもの、「Confidential(機密)」と書かれたラベル付きのもの、「Final Exam Solutions(期末試験の解答)」ラベル付きのものの5種類だったそうです。USBメモリの中にはマルウェアが仕込まれており、開封するとどのファイルがいつどこで開封したかがわかる仕組みになっていたそうです。
ばらまいた場所は以下の図に示された場所です。
-
資料:Elie Bursztein氏のブログより引用
-
Teensyを埋め込んだUSBを作成している様子 資料:Elie Bursztein氏のブログより引用
結果は以下の通りでした。
- 拾われたUSBメモリの数:290個(98%)
- 開封されたファイルの数:135個(45%)
- 返却されたUSBメモリの数:54個(19%)
名札が付いていたUSBの開封率は30%を切っており、名前が書いてあると申し訳ないと思う気持ちがあり、開封率は低かったようですね。それにしても、拾ったUSBメモリを開封してしまう人が45%もいるのは驚きです。
セキュリティの教育を受けていない学生なので、仕方がないのかもしれません。しかし、多くの大学ではパソコンの所有を必須にしていたり、配布をしていたりするはずです。したがって、学生のセキュリティに関する認識が低ければ教育するべきですし、学生のPCもセキュリティソリューションで保護するべきだと思いました。大学でもセキュリティに関する講習を行ってみるのはいかがでしょうか?(そのような試みをしている大学はまだ少ないと思います)
一方で、日本の企業はいかがでしょうか? USBメモリの使用を禁止していたり、貸与しているPCでUSBメモリを使えないようにしている企業も多いです。
USBメモリのインタフェースを閉じたとして、HDMIはいかがでしょうか? HDMIはプレゼンテーションの際にモニタに映し出すことが多いため、口が空いていることが多いのではないでしょうか? HDMIとUSBの変換コネクタを使えば、USBメモリを使用できるのではないでしょうか?
以前、ある企業で調査をしたことがあります。「業務上の緊急時などに、会社から禁止されている手段でファイル共有をしたことがある」という質問に対し、多くの人がチェックをつけていました。しかし、業務上の緊急時だとしても、会社が禁止している方法でファイル共有はしてはいけないと思います。
また、よくある話なのですが、セミナーが開催される直前にプレゼンテーションのファイルの差し替えが必要になったところ、プレゼン用のマシンがネットにつながっておらず、USBメモリで渡すしかない時があります。そのような時、個人マシンからUSBメモリで提供している光景を見かけたことがあります。つまり、100%の防御はできないということなのです。
ちなみに、ノートPCの紛失は50歳を超えた社員が約半数を占めているそうです。なんとなく、想像できるのは部長クラスが酔っ払って、PCをカバンごと電車に忘れてくるパターンのような気がしますね。
飲酒運転はなぜいけないのでしょうか? 危機意識が薄らぎ、反応が遅れ、事故になりやすいからですよね。繁華街で美しい女性が忘れたUSBメモリが悪意のあるものだった場合、結構な割合で機密情報を盗めてしまうのではないでしょうか。
何を言いたいかというと、セキュリティには万全がなく、それゆえ、できる限りの対策を取っておく必要があるということです。皆さんのデバイスは万全でしょうか?
どの角度から攻撃されるかわからない状況ですので、デバイスはアンチウイルスで保護し、ネットワークはネットワーク系のセキュリティで保護するなど、複合的に防御しないと守れないようになってきたと思います。
著者プロフィール
|
吉政忠志
吉政創成株式会社を2010年に創業し、月額20万円~のマーケティングアウトソーシングを国内大手IT企業向けに提供。教育分野では、Linux試験、XML試験などを立ち上げ、過去に文部科学省の専門委員も担当。現在、PHP試験、Python試験、Ruby on Rails試験を主宰する。DoctorWeb Pacific マーケティングアドバイザーを兼任。
