BadUSBとは何? わかりやすく解説 Weblio辞書 (original) (raw)

BadUSBは、悪意のあるソフトウェアが仕組まれているUSBデバイスを用いたコンピュータセキュリティ攻撃である[1]

歴史

2014年8月に行われたセキュリティイベント「ブラックハット USA 2014」にて、研究家のカルステン・ノール(英語版)、ヤコブ・レルらによってこの攻撃方法が明らかにされた。この攻撃は「BadUSB」と名付けられ、実際にデモを行ってみせた[2]。ノールはこの危険性をUSB機器を製造するメーカーに伝えているが、今のところ対応を予定しているメーカーはないという[3]。またUSBの普及率の高さを鑑み[4]、具体的な攻撃コードは公表しなかった[5]

講演の2か月後、別のセキュリティ研究者2名がこの脆弱性を悪用するためのコードをソフトウエア開発プロジェクトホスティングサイトの「GitHub」にて公開した[2][6]。2人はコードを公開した理由を「USBハードウェアメーカーにプレッシャーをかけるため」としている[4]

2015年、ロシアのセキュリティ研究家ダーク・パープルが「USBキラー」というマルウェアを開発した。これは220ボルトの負電荷をUSBポートの信号線に送信することで、数秒でマザーボードが焼き付き破壊されるというものだった[7]

2016年4月、ドイツ核施設スタクスネットというマルウェアを含んだUSBメモリが18本発見された[8]

2022年1月6日、FBIはマルウェアが仕込まれたUSBメモリが、貨物・保険・防衛産業の企業を中心に郵送で送られてくるという事態が発生しているとして警告を行った[9][10]

攻撃の詳細

技術的な詳細

USB機器には、プログラム可能なマイクロコントローラーが搭載されている[11]。 つまりUSBデバイスはそれぞれが小型コンピューターでもあり、その動作は「ファームウェア」というプログラムで定義されている[12]。これを書き換えることで様々なことができてしまうが、基本的にどのUSB機器もこの攻撃を防ぐことはできない。それはUSBの規格でファームウエアがユーザーの同意なしに書き換えできるためである[12]。これはUSBからPCだけではなく、逆にPCからUSBにも感染できる事も意味し、PC接続に接続されているUSBデバイスにも感染を広げられる[3]。このような仕様はUSBの最大の特長である多用途性を意識したもので[5]、書き換え不能にしてしまうと正規のファームウェアのアップデートも行うことが出来なくなってしまう[13]

PCにUSBデバイスを接続すると、電力供給を受けたUSBコントローラが起動し、プログラムを読み出して実行する[2]。悪意ある挙動であっても、正規のユーザーの操作として認識されるため、振る舞いベースの防御手法でも防ぐことはできない[5]。 例えば送られてきたのがUSBフラッシュドライブ(USBメモリ)だった場合でも、これらはHID(ヒューマン・インタフェース・デバイス)に偽装されているため、リムーバブルストレージデバイスをオフにしていても動作してしまう[10]

ノールは「これはシンプルさとセキュリティのジレンマです。 USBの最大の魅力は、ただ差し込むだけで簡単に使えることです。ですが、このシンプルさがまさにこの攻撃を可能にしてしまっているのです」と述べている[14]

またセキュリティ企業のソフォスによると、ファームウェア内のプログラムはPCのセキュリティソフトではスキャンすることができないという[12]。こうしたマルウェアはUSBのコントローラーに埋め込まれており、一般的なアンチウイルス製品がスキャンする層よりもさらに深い層にいるため、検知することができない[15]カスペルスキーは「一般的なアンチウイルス製品はシステムをハードウェアレベルでスキャンしないため、OSに対する攻撃よりもハードウェアに対する攻撃の方が恐ろしさは上」としている[15]

防御策

しかしこの危険性が認知され始めると、サーバ・PC製品の中にはセキュリティチップを搭載しファームウェアの改ざんを検出する製品も登場している[16]。 カスペルスキーは2016年7月にUSBデバイスのふるまいを自動追跡し、不審な振る舞いをするデバイスをブロックする技術を開発し、法人向けセキュリティ製品に実装した[15]

2017年には、ニュージーランドの電子技術者Robert FiskはUSBアダプタ「USG」のバージョン1.0を開発。USBデバイスはこのUSGを仲介してPCに接続され、ファイアウォールのような役目を果たす[17]。ただこのドングルは、ローレベルでのUSBデバイスとPCとのやり取りを遮断し、不審な命令を実行させないことで安全性を確保しているだけで、ウイルスのスキャン機能は備わっていない。さらに1MB/s程度しか転送速度が出せず、大容量転送には向かないという欠点もある[18]

他にパスワードロック機能やウイルス対策機能が搭載されている「セキュリティUSBメモリ」も発売されているが、セキュリティ企業Palo Alto Networksは2018年6月に「Tick」と呼ばれるハッカーグループによるセキュアUSBを悪用するマルウェアを報告するなど、イタチごっこが続いている[16]

また過去の実例から攻撃者は既に悪意のあるプログラムが仕込まれたUSB機器を配布して攻撃してくることが多いため、差出人のはっきりしない郵便物、無料で配られたUSB機器、拾ったUSBメモリなどを不用意にPCに挿入しないのが最大の防御策となる[5][19]

不審なUSBを使用してしまう心理

2008年、ロシアの工作員とみられる人物が、アフガニスタンに駐留している米軍基地の駐車場に「agent.btz」という悪意あるマルウェアが仕込まれたUSBを意図的に置いていった。するとロシア側の思惑通りに米軍関係者がそれを拾い、基地のPCに差し込んでしまった。そして感染したPCから機密情報などの内部情報が盗まれていた[9]

2016年5月、Googleイリノイ大学ミシガン大学の合同チームがセキュリティ研究のために、イリノイ大学のキャンパス内のあちこちに300本のUSBメモリを意図的にばらまいた。そして拾った大学生たちの何人がPCに挿入するかを調査した[8]。その結果、約半数の48%が配布されたUSBメモリを挿入し、中にあったファイルをクリックしていた。怪しんでウィルス対策ソフトでスキャンした学生はわずか16%に過ぎなかった[8]

2018年6月12日に行われた米朝首脳会談のために集まった約3000人プレス関係者に配られたノベルティの中に入っていたUSBで給電できる扇風機について、あるジャーナリストが「暑いシンガポールではありがたい」とつぶやいたが、すぐに「安易につなぐべきではない」と注意が方々から行われた[16]

この他、アメリカ国家安全保障局(NSA)がUSB接続ケーブルにマルウェアを埋め込むサイバー攻撃ツール「コットンマウスI」を開発していたことも内部資料から判明している[9]

被害に遭う確率

ZDNetの作者Catalin Cimpanuは、BadUSB攻撃に遭う確率は「非常にまれ」であると語っている。しかし2020年に、ホスピタリティプロバイダーが偽のギフトカードを使用した攻撃を受けたことが確認されている。この攻撃は、USBメモリにプログラムされたキー操作によってPowerShellコマンドが実行されマルウェアがPC上にダウンロードされてしまった[20]

FIN7によるBadUSB攻撃

2020年、ロシアのハッカー集団FIN7がアメリカの家電量販店を装い、USBメモリと偽のギフトカードを送りつけた。同封のメッセージにはUSBメモリにこのギフトカードで引き換えられる商品のリストが入っていると書かれていた[21]。標的の警戒心を解くためにテディベアなどのぬいぐるみが含まれていることもあった[22]

2021年8月にアメリカの運輸業界と保険業界、11月には防衛企業にUSBメモリが郵送されてきた[10]。郵便物は2パターンあり、1つは保険福祉省を装ったもので「新型コロナ感染症対策のガイドライン」と書かれた手紙とUSBメモリが同封されている。もう1つは、Amazonのプレゼント用のパッケージで偽装され、感謝を記した手紙と、偽のギフトカード、そしてやはりUSBメモリが同封されていた[9]。これらのUSBメモリはUSB接続のHIDキーボードに偽装しており、侵入したシステムにマルウェアのペイロードをインストールするために、キーストロークの注入を開始する[9]。侵入者サイドの最終目標は、被害者のネットワークにアクセスし、Metasploit、Cobalt Strike、Carbanakマルウェア、Griffonバックドア、PowerShellスクリプトなど、さまざまなツールを使用して、侵入したネットワーク内にBlackMatterやREvilなどのランサムウェアを配備することである[22]。 これらの一連の攻撃を行ったのもFIN7だったと考えられている[21]

脚注

[脚注の使い方]

  1. ^ Greenberg, Andy (2014年7月31日). “Why the Security of USB Is Fundamentally Broken” (英語). Wired. ISSN 1059-1028. https://www.wired.com/2014/07/usb-security/ 2021年9月7日閲覧。
  2. ^ a b cファームウエアを勝手に書き換える、USBの危険すぎる脆弱性「BadUSB」”. 日経コンピュータ (2014年11月10日). 2022年1月13日閲覧。
  3. ^ a bUSBデバイスに深刻な欠点、マルウエア拡散に悪用される可能性”. TECH+ (2014年8月1日). 2022年1月18日閲覧。
  4. ^ a bUSBに設計上の致命的な脆弱性が発見され、そのコードが公開される”. GIGAZINE (2014年10月6日). 2022年1月13日閲覧。
  5. ^ a b c d脆弱性を衝かない攻撃BadUSB”. 三和コムテック (2014年10月24日). 2022年1月13日閲覧。
  6. ^ Greenberg, Andy (2014年10月2日). “The Unpatchable Malware That Infects USBs Is Now on the Loose” (英語). Wired. ISSN 1059-1028. https://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/ 2021年9月7日閲覧。
  7. ^New USB killer ‘destroys computer within seconds’”. welivesecurity (2015年10月14日). 2022年1月13日閲覧。
  8. ^ a b cUSBメモリーとセキュリティの危うい関係”. キヤノン (2016年6月22日). 2022年1月13日閲覧。
  9. ^ a b c d e見知らぬUSBはどうすればいいのか 会社のPCに差し込んではいけないワケ”. ITmedia ビジネスオンライン (2022年1月13日). 2022年1月13日閲覧。
  10. ^ a b c身に覚えのないUSBメモリに注意、挿すだけでサイバー攻撃受ける恐れ”. マイナビニュースマイナビニュース (2022年1月13日). 2022年1月13日閲覧。
  11. ^ Nohl. “BadUSB - On accessories that turn evil”. 2016年10月19日時点のオリジナルよりアーカイブ。2022年1月13日閲覧。
  12. ^ a b c3分でわかる「BadUSB」”. 日経XTECH (2015年1月28日). 2022年1月13日閲覧。
  13. ^[Black Hat USA 2014 レポートファームウェア書き換えでUSBに機能追加]”. ScanNetSecurity (2014年8月11日). 2022年1月18日閲覧。
  14. ^ Goodin (2014年7月31日). “This thumbdrive hacks computers. 'BadUSB' exploit makes devices turn 'evil'” (英語). Ars Technica. 2021年9月7日閲覧。
  15. ^ a b cKaspersky Lab流BadUSB対策”. カスペルスキー (2016年7月20日). 2022年1月13日閲覧。
  16. ^ a b c小さな親切、大きなお世話? 無償で配られるUSBデバイスやメモリのリスク”. ITmedia NEWS (2018年6月29日). 2022年1月13日閲覧。
  17. ^ Doctorow (2017年3月2日). “USG: an open source anti-BadUSB hardware firewall for your USB port” (英語). Boing Boing. 2021年9月7日閲覧。
  18. ^悪意あるソフトが潜むUSBメモリからPCを守る自作可能なUSBアダプタ”. PC Watch (2017年3月13日). 2022年1月13日閲覧。
  19. ^USBキラー?USBメモリー利用時のリスクと安全な利用方法を考える”. キヤノン (2021年6月3日). 2022年1月13日閲覧。
  20. ^ Cimpanu (2020年3月26日). “Rare BadUSB attack detected in the wild against US hospitality provider” (英語). ZDNet. 2021年9月7日閲覧。
  21. ^ a bUSBメモリーを標的に送りつけて攻撃--挿入されたPCにランサムウェアをインストール”. ZDNet Japan (2022年1月11日). 2022年1月13日閲覧。
  22. ^ a bFBI: Hackers use BadUSB to target defense firms with ransomware”. Bleeping Computer (2022年1月7日). 2022年1月13日閲覧。
ハッキング
事件・事象 2010年以前 1980年代一覧(英語記事) 1990年代一覧(英語記事) 2000年代一覧(英語記事) 2010年代(英語版2010年オーロラ作戦 2010年オーストラリアサイバー攻撃 2010年ペイバック作戦 2011年デジノター事件 2011年PSN個人情報流出事件 2011年衆議院サーバーハッキング事件 2011年アンチセック作戦 2012–13年ストラトフォー社 2012年北朝鮮による韓国大統領選世論操作 2013年韓国サイバー攻撃 2013年ロシアでのスパイチップ発見 2013年スナップチャット事件 2014年トーヴァー作戦 2014年著名人プライベート写真大量流出事件 2014年ハートブリード脆弱性 2014年シェルショック脆弱性 2014年プードル脆弱性 2014年ソニーピクチャーズ社 2015年日本年金機構 2015年ハッキングチーム社 2015年アシュレイマディソン事件 2016年アメリカ合衆国大統領選挙におけるロシアの干渉 2017年SHA-1強衝突耐性の突破 2017年WannaCryによるサイバー攻撃 2020年代(英語版2020年EncroChat利用者大規模逮捕事件 2020年米国連邦政府へのハッキング(英語版2020年電子決済サービス不正引き出し事件 2021年コロニアル・パイプライン攻撃 2022年LastPass不正アクセス 2022年GTA VI資料情報流出 2023年大英図書館 2024年XZ Utilsのバックドア 2024年KADOKAWA・ニコニコ動画 2024年インターネットアーカイブ 2025年4chanデータ漏洩 2025年証券口座乗っ取り事件
政府系機関 サイバー軍 アメリカサイバー軍 中国サイバー軍 北朝鮮サイバー軍 シリア電子軍 自衛隊サイバー防衛隊 警察庁サイバー警察局 対サイバーテロ国際多国間提携 米国インターネット犯罪苦情センター 欧州サイバー犯罪センター
ハッカー集団 ロシア サンドワーム ファンシーベア ウィザード・スパイダー FIN7 シャドー・ブローカーズ REvilソディノキビダークサイド Killnet Royal アメリカ カルト オブ ザ デッド カウ L0pht イクエーション・グループ ラルズセック UGナチ 中国 中国紅客連盟 ナイトドラゴン Tick ハフニウム 北朝鮮 ラザルス キムスキー その他 カオス コンピュータ クラブ アノニマス サイバーベルクート リージョンズ オブ ザ アンダーグラウンド リザードスクワッド ハッキングチーム sutegoma2 VANK シケイダ3301 Lapsus$ サイバー・パルチザン ウクライナIT軍
個人 ジョン・T・ドレーパー ケビン・ミトニック 下村努 ロバート・T・モリス ケビン・ポールセン エイドリアン・ラモ ジェレミー・ハモンド(英語版ジョージ・ホッツ グッチファー(英語版アルバート・ゴンザレス Sabu ザ・ジェスター(英語版ゲイリー・マッキノン クリストファー・フォン・ハッセル ジュリアン・アサンジ 西尾素己 Cheena
マルウェア CryptoLocker Flame Gameover ZeuS Mirai R2D2 Stuxnet Sasser 携帯電話ウイルス
概念・思想 サイバー戦争 サイバーテロ ハクティビズム ハッカー クラッカー ハッキング サイバー犯罪 クラッキング ハッカーの良心 ハッカー宣言
手段・技術 標的型攻撃水飲み場型攻撃APT攻撃ゼロデイ攻撃 踏み台攻撃 DNS偽装 バッファオーバーフロー ブルートフォースアタック XSS エクスプロイト ドライブバイダウンロード SQLインジェクション攻撃 中間者攻撃 ハッカーコンテスト サプライチェーン攻撃(英語版) BadUSB クリプトジャッキング