落ちている USB の約半数がコンピュータに接続されることが明らかに

Lost USB. Image courtesy of Shutterstock.

駐車場に USB メモリが落ちていると、人は拾ってコンピュータに差し込んでしまうことが最新の調査で確認されました。

今回の調査はイリノイ大学によって実施されたものです。昨年、「人は拾った USB メモリをコンピュータに接続する」という説を検証することを目的に同大学のアーバナ・シャンペーン校のキャンパス内に 297 個の USB メモリを放置しました。

結果は予想通りで、もしも本物のマルウェアが放置された USB メモリに含まれていれば、コンピュータに接続したユーザーは感染していました。イリノイ大学の研究者が発表した「Users Really Do Plug in USB Drives They Find (拾った USB メモリを本当にコンピュータ接続してしまうユーザー)」によると、感染の成功率は 45% から 98% の間でした。

調査の結果、USB メモリ経由での感染は非常に短時間で完了することも明らかになっています。研究者に最初の接続通知が送信されてきたのは、キャンパスに放置されてからわずか 6 分以内のことでした。

言うまでもありませんが、人がこのような行動をすることはすでに複数のセキュリティ研究者が把握していました。

最近の実験の 1 つが、CompTIA が実施したものです。この実験では、米国の 4 都市 (シカゴ、クリーブランド、サンフランシスコ、ワシントン D.C.) の人通りの多い公共の場所にノーブランドの細工済みの USB メモリ 200 個を放置し、何人が危険な行為をするのかを検証しました。

CompTIA の調査でメモリを接続したユーザーのほぼ 5 人に 1 人が、その後危険な行動 (テキストファイルを開く、見知らぬ Web リンクをクリックする、記載されているメールアドレスにメッセージを送信する、など) を行っていました。

この数字はイリノイ大学の調査ではさらに悪化します。細工された USB メモリの少なくとも 48% が拾われ、デバイスに接続され、保存されているファイルが開かれていました。

コンピュータに接続されたのは USB メモリの半分強でしたが、ほぼすべて (98%) が元々置き去りにされていた場所から動かされていました。

動かされはしたがファイルは開かれなかった 155 個のメモリが実際にコンピュータに差し込まれたかどうかは不明です。拾った誰かが差し込んだもののファイルは開かなかった可能性も、差し込みさえしなかった可能性もあります。

研究者は、この不明な部分を含めて攻撃の成功率を 45% ~ 98% と判断しています。

大学生ならではの遊び心や、謎の USB メモリを接続してみたいと考える傾向はありますが、USB メモリを接続した大学生および職員に、リスク傾向は特に認められませんでした。

とはいえ、その大半の人 (68%) が拾った USB メモリについて全く警戒心を持っていません。

この点は、メモリ上のファイルを開いた人を対象に実施した簡単な調査からも明らかになっています。少なくとも自分のコンピュータを保護しようとした人は、(研究者によれば効果はないものの) 以下の対策を講じました。

  • 16% の人がウイルス対策ソフトウェアを使用してメモリをスキャンしました。
  • 8% の人が、「自分の MacBook はウイルス対策が万全」というように、使用しているオペレーティングシステムのセキュリティ機能が保護してくれると考えていました。
  • 8% の人が、自分のデバイスを保護するために PC を犠牲にするか、大学のリソースを利用しました。

ソフォスが 2011 年に主要な交通機関が開催した遺失物オークションで購入した 50 個の USB メモリを調査したところ、その 66% (33 個) が感染していたことが確認されました。

遺失物の USB メモリが発見者にとっても企業にとってもリスクがあることは明白です。BYOD (個人所有デバイスの業務利用) が普及した今、細工されたメモリを拾った人が自分のデバイスだけでなく、勤務先の企業システムにまで感染を拡散する可能性があります。

当然ながら、セキュリティ研究者が残して行ったものではない USB メモリには、データが漏洩する危険性もあります。これは、USB メモリはめったに暗号化されないためです。

50 個の USB メモリをソフォスが調査した結果、1 つも暗号化されていませんでした。また、保存されていたファイルはパスワード保護されていませんでした。

では、USB メモリを経由した脅威からデータとシステムを保護するにはどうすればよいのでしょうか。そのヒントを 2 つ以下にご紹介します。

  1. 個人データおよび企業データは暗号化してから USB メモリに保存します。こうすることで、万が一紛失してもアクセスされません。
  2. セキュリティソフトウェアを使用し、常に最新の状態に保っておきます。66% という感染率は、マルウェアを拡散する人が多数存在することを意味しています。

最後になりますが、セキュリティ専門家の Bruce Schneier 氏は、USB メモリを拾ったり、持ち続けたり、接続したりする人に関しては被害者側を責めるのを止めるよう提案しています。

結局のところ、USB メモリを拾った 人は概して、善意からメモリをコンピュータに差し込んでいます。調査の結果、メモリのファイルを開いた人の大半が、メモリを持ち主に返却するために連絡先を見つけようとしていたことが明らかになっています。

また、Schneier 氏が言うように、マルウェアを含んでいる可能性がある USB メモリをコンピュータに接続する人と、そのように危険な USB メモリを設計した人のどちらが愚かなのでしょうか。

USB メモリは非常に普及しています。問題は人が間抜けなことでも、展示会で配布される USB メモリは無害であっても道に落ちている USB メモリはどう考えても有害だと理解していないことでもありません。問題は、オペレーティングシステム (OS) がどのような USB メモリでも信頼してしまうこと、OS が USB メモリからマルウェアをインストールできるプログラムを自動実行してしまうこと、そして、USB メモリをコンピュータに差し込むことが危険であることです。

自分にできることをやっているだけの被害者を責めても仕方がありません。

Image of lost USB drive courtesy of Shutterstock.