ニュース

社会

だって人間だもの…拾ったUSBメモリを開く人は何割いる?調査


-拾った人が中身を見る確率が変わるかどうかを検証するため、5種類のUSBメモリが用意された

-本物そっくりに出来上がった。「きれいに作るには、結構練習が必要だった」(ブルツタイン氏)



非常に興味深い実験。
「持ち出し禁止のデータを個人用PCに入れて持ち出し、PCごと盗まれる」という事件が
未だに後を絶たない日本で同じ実験をしたらどうなるのだろう?
同様に大学で実験を行った場合、図書館など学校のPCで中身を見る人や、落とし物として届ける人が
多いのではないかと思うが、どうだろう。

だって人間だもの…拾ったUSBメモリを開く人は何割いる?調査
TECH.ASCII.jp
2016年08月17日 07時00分更新
 人目に付きやすい場所にUSBメモリを落としておき、拾った人がPCに挿してファイルをクリックするのを待つ。実はそれはマルウェアで、感染したPCは攻撃者のC&C(コマンド&コントロール)サーバーに自動接続されてしまう。あとは攻撃者の思うがまま――。そんなサイバー攻撃は、果たして現実的なものなのだろうか。
 落とし主不明のUSBメモリを拾った人の何割が、自分のPCに挿して中身を覗いてしまうのか。それを確かめるため、米グーグルで不正利用や詐欺対策のグループを統括するエリー・ブルツタイン氏が実験を敢行。8月5日に米国ラスベガスで開催されたセキュリティカンファレンス「Black Hat USA 2016」で、その調査結果を詳細に語った。
297個のUSBメモリを大学キャンパスにばらまいて、実験開始!
 Black Hat開幕直前、同カンファレンスの会場内ネットワークを構築/運営するニール・ワイラー氏は、あるセキュリティニュースサイトにカンファレンス参加者向けの「セキュリティ対策の心得」記事を寄稿した。同氏が注意喚起したポイントの1つに「会場内にUSBメモリが落ちていたら、速やかに捨てろ」というものがある。それは“罠”である可能性が濃厚だからだ。
 「例年、Black Hat会場では“USBメモリばらまき事件”が発生する。USBメモリが落ちているのを発見しても、迷わず近場のゴミ箱に捨ててほしい。ついでにばらまいている奴を見つけたら、そいつもゴミ箱へぶち込んでおいて!」
 セキュリティに興味のある読者ならば、こうした攻撃手法があるという話は聞いたことがあるだろう。だが、そもそもそんな怪しげなUSBメモリを拾って、自分のPCに挿してしまう人がどれくらいいるのだろうか。そう疑問に思ったグーグルのブルツタイン氏は、実態調査に乗り出した。
 実験に際し、ブルツタイン氏はまず297個のUSBメモリを用意した。これらはすべて同じものではなく、見た目が5種類に分かれている。ラベルも何も付いていないUSBメモリ、鍵束付きのUSBメモリ、鍵束と返却先名札(名前とメールアドレスが書いてある)付きのUSBメモリ、「Confidential(機密)」と書かれたラベル付きUSBメモリ、「Final Exam Solutions(期末試験の解答)」ラベル付きUSBメモリ。この5種類だ。
 それぞれのUSBメモリには“それっぽい”HTMLファイルも仕込まれた。たとえば「Confidential」のUSBメモリならば、提案書や特許出願申請書、年度計画書といったファイル名のHTMLファイルが保存されていた。
 実は、このHTMLファイルはマルウェアの代用品である。拾った人がHTMLファイルを開くと、そこに埋め込まれた画像が実験用サーバーから自動的に読み込まれる。サーバーのアクセスログを見れば、どのファイルがいつ開かれたのかを正確に確認できる仕組みだ。同時に、開いたWebページはアンケートページにリダイレクトされ、調査の種明かしとアンケート協力のお願いが表示される。
 実験場所は、イリノイ大学アーバナシャンペーン校。大学から許可をもらったブルツタイン氏は、キャンパスの屋外、教室、廊下、駐車場、共用スペースの5カ所に「さりげなく」USBメモリを落として、2日間、様子を見た。
 実際にUSBメモリを落とした様子も写真で紹介されたが、駐車場の片隅、共有スペースのテーブルの上など、いかにも自然な感じでUSBメモリが落ちている。誰でも思わず拾ってしまいそうだ。
実験結果:USBメモリを拾った人の「45%」が中身のファイルをクリック
 297個のUSBメモリをばらまいた実験の結果は、次のとおりだ。カッコ内の数字は、297個全体に占める割合である。

拾われたUSBメモリ個数:290個(98%)
ファイルの開封数:135個(45%)
USBメモリの返却数:54個(19%)
アンケート回答数:62件(21%)
 ブルツタイン氏が“落とした”USBメモリのほぼすべてが誰かに拾われ、そのうち約45%の人がそれをPCに挿してHTMLファイルをクリックしてしまった、という結果だ。しかも、ブルツタイン氏によるこの“攻撃”は、極めて短時間で効果を上げたという。
 「残念なことに、USBメモリをばらまいてから1時間もしないうちに20%もの人がHTMLファイルをクリックしている。最初にファイルがクリックされたのは、ばらまいてから6分も経たないタイミングだ」
 実は実験開始から24時間経ったころ、掲示板サイト「Reddit」に同大学のIT部門スタッフを名乗る人物が、「怪しいUSBメモリがキャンパス内に落ちているから拾うな」という書き込みをした。しかも、それは同大のマイケル・ベイリー教授(同実験の協力者)による実験だとネタばらしまでされてしまった。そんな予定外のことが起きても、ふたを開けてみれば半数近くの人がHTMLファイルをクリックしてしまったのである。
 USBメモリの種類別に見てみると、返却先の名札が付いたUSBメモリはクリック率が29%と低めだったが、その他の4種類は50%前後のクリック率を記録している。アンケート回答者の68%は、USBメモリ内のHTMLファイルをクリックした理由を「USBメモリを持ち主に返すため」だと回答している。名札から返却先がわかるならば、善意で拾った人はUSBメモリの中身をのぞかずに返却しようとするらしい。
 一方で、「ファイルの内容に興味があったから」HTMLファイルをクリックした、という回答者は18%にとどまっている。ただし、サーバー側のログから実際にクリックされたファイルを調べてみると、興味本位で開いた人は、本当はもう少し多いように思われる。……だって人間だもの。
 「たとえばラベルなしのUSBメモリでは、拾った人のほとんどが、確実に持ち主を特定できる『履歴書』ファイルではなく『冬休み』と書かれた画像ファイルをクリックしていた(笑)」
USBメモリに似せた攻撃デバイスを自作し、瞬時にPCを乗っ取る攻撃デモ
 実験に協力した大学側の要請で、今回の実験ではマルウェア的な動作をする仕掛けは盛り込まれていない。しかし、実際にUSBメモリを使った攻撃は想像以上に容易で、しかも相手にバレることなくPCを乗っ取ることも可能だと、ブルツタイン氏は指摘する。
 同氏はUSBメモリを使った攻撃手法として、今回のようにHTMLファイルをクリックさせてフィッシングサイトなどに誘導する方法のほか、OSのゼロデイ脆弱性を突く高度な方法、さらに、見た目がUSBメモリそっくりの攻撃デバイスを作る方法という3種類を紹介した。
 「1つめについては、拾った人がHTMLファイルをクリックする可能性に賭けなければならず、確実性は若干下がる。ゼロデイ脆弱性を狙う方法は、実現できれば成功率は高いが、その脆弱性を発見するまでに時間とコストがかかるのでハードルも高い」
 しかし、3つめの“USBメモリ風の攻撃デバイス”を作る方法の場合は、ケースを自作するなど労力と根気こそ必要なものの、「PCを感染させる仕掛けは、ユーザーが気付かないほど鮮やか」だという。ブルツタイン氏が自作した攻撃デバイスは、見た目はUSBメモリそっくりだが、PCに接続すると「HIDキーボード(USBキーボード)」と認識され、あらかじめ用意されている攻撃コードを自動的に“キー入力”してしまう。
 まずは、合成樹脂で作ったUSBメモリそっくりのカバーに、ARMの32ビットマイコンボード「Teensy 3.2」ベースのデバイスを組み込む。ブルツタイン氏によれば、このデバイスは「コネクタなど含めて40ドル以下で作れた」。あとは、接続された際にWindowsMacLinuxなどOSを識別して、攻撃者サーバーとの接続を自動的に確立するリバースTCPシェルを書くだけだ。
 最近のアンチウイルス製品(PCセキュリティ製品)では、こうした攻撃を検知する仕組みも用意されている。しかしブルツタイン氏は、「(自動キー入力のスピードを)毎秒最大62.5キーストローク程度に抑えることで、アンチウイルス製品に検知されにくくなる」と指摘する。
 「この“USBメモリ風の攻撃デバイス”をPCに挿した瞬間、そのPCは攻撃者の手に堕ちたと思っていい」
 さて、こうした攻撃にはどう対策すればよいのだろうか。ブルツタイン氏は、3つのポイントを挙げる。
 1つは、拾ったUSBメモリなどを安易にPCに挿さないよう、ユーザーのセキュリティ意識向上を図ること。2つめは、機密情報を取り扱うような重要なPCではUSBポートを物理的にふさいでしまうこと。そして3つめは、デバイスの取り扱いポリシーを徹底し、あらかじめ許可された(ホワイトリストに登録された)USBメモリ/USBデバイス以外が接続された場合にはPCをシャットダウンする「USBKill」ツールを使うことだ(ただしUSBデバイスのIDは偽装可能なので100%の対策とは言えない)。
 今回ブルツタイン氏が行った実験では、攻撃の成功率が比較的低いと思われる「HTMLファイルをクリックさせる」方法でも、45%が成功してしまうことがわかった。「USBメモリをPCに挿す」だけで攻撃が自動実行されるならば、その成功率はさらに高くなるだろう。
 「攻撃用のUSBメモリ(あるいはUSBメモリ風デバイス)を作るのは難しくない。誰にでもすぐに実行できてしまう。被害に遭わないためにも、ユーザーの意識向上やツールでの対策は必要不可欠だ」