BetaNewsは11月28日(米国時間)、「Why USB cyberattacks are still a persistent threat」において、USBデバイスがもたらすサイバー攻撃と防御策について伝えた。

USBデバイスを悪用したサイバー攻撃は古くからみられるが、現在も進化を続けており、最近確認された悪用の事例が紹介されている。

  • Why USB cyberattacks are still a persistent threat

    Why USB cyberattacks are still a persistent threat

最近のUSBの悪用事例

USBデバイスは個人、企業のみならず、公的機関や政府機関もデータ共有に使用することがある。そのため、サイバー犯罪者にとって魅力的な標的となっており、さまざまな攻撃に悪用されている。

BetaNewsは最近の事例として、「Sogu」マルウェアを取り上げている。Soguは中国に関係しているとみられる脅威グループ「TEMP.Hex(別名: APT23、UNC53)」が使用するマルウェアとされる。

Soguに感染したUSBメモリをコンピュータに接続すると、自動的にコンピュータに侵入して機密情報を窃取する。他にも、ワーム機能(USBメモリを介した自動拡散)、リバースシェル、キーロガーなどの機能があり、日本にも感染が広がっているとみられている(参考:「The Spies Who Loved You: Infected USB Drives to Steal Secrets | Mandiant | Google Cloud Blog」)。

2023年、アフリカ地域に設置された欧州連合(EU: European Union)および米国の出先機関が、Soguを使用したサイバー攻撃の被害に見舞われたという。エジプトやジンバブエなどでは業務にUSBメモリを使用することが一般的で、USBデバイスを悪用するサイバー攻撃が効果的とされる。

USBメモリ以外の脅威

USBデバイスの脅威はUSBメモリだけではない。USBデバイスは複数のインタフェースを内蔵することが可能で、キーボードやマウスを1つのUSBデバイス上に構成することができる。そのため、USBデバイスのファームウェアを開発できる技術者であれば、あらゆるUSBデバイスを武器化することができる(電源利用のみのUSBデバイスは除く)。

BetaNewsは具体的な事例として「USB Rubber Ducky」を取り上げている。このデバイスはUSBメモリの形状をしたUSBキーボードで、あらかじめ設定しておいたキーストロークを再現する。キーストロークに悪意のあるキーボード操作を登録しておくことで、さまざまな攻撃が可能とされる。

対策

BetaNewsはUSBデバイスを悪用する攻撃への防御策として、次の対策の実践を推奨している。

  • リムーバブルメディアを悪用する攻撃への備えに、多層セキュリティ戦略を立案して実践する。セキュリティチームはすべてのデバイスを完全に可視化して制御下に置き、組織または部署の希望に沿った使用状況の把握と追跡を行う
  • 従業員および外部の人員に対して、厳格なポリシーとアクセス制御を確立する。オンプレミスに持ち込まれるデバイスの検査およびサニタイズには、明確なルールを設定しておく必要がある
  • リアルタイム分析による監視システムを導入する。社内システムに接続されるあらゆるUSBデバイスを監視し、攻撃実行前に脅威を排除する

USBデバイスを悪用するサイバー攻撃は現在も進化を続けており、今後も継続した対策が必要と考えられている。業務でUSBデバイスやリムーバブルデバイスを使用する企業および組織は、リアルタイム監視、アクセス制御、データサニタイズ、定期的なトレーニングを組み合わせた包括的な対策の実践が望まれている。