米連邦捜査局(FBI)は2022年1月6日(米国時間)、重要インフラ事業者などに対して、USBメモリーなどのUSBデバイスを使ったサイバー攻撃が確認されているとして注意を呼びかけた。
攻撃者は、米保健福祉省(HHS)や米Amazon.com(アマゾン・ドット・コム)などを装って、細工を施したUSBデバイスを企業や組織に郵送している。2021年8月には運輸および保険業界の企業、11月には防衛産業企業に送られてきた。
受け取った人がそのUSBデバイスをパソコンに接続すると、ランサムウエアなどのマルウエアに感染する。ポイントは、パソコンに接続するだけで被害に遭うこと。USBデバイス自体に細工が施されているためだ。
しかも、思わず接続してしまうような工夫も凝らされている。一体、どのような手口なのだろうか。
USBデバイスの動作を書き換える
今回警告されたような、細工を施したUSBデバイスを使うサイバー攻撃は「BadUSB」などと呼ばれる。攻撃に使用するUSBデバイスをBadUSBと呼ぶ場合もある。
USBデバイスはいわば小さなコンピューターであり、USBデバイスに搭載されたプログラム(ファームウエア)を書き換えれば、本来の用途とは異なる動作が可能になる。
例えばUSBメモリーのファームウエアを書き換えれば、パソコンからはUSB接続のキーボードに見えるようにできる。さらに、パソコンに接続されたら任意のコマンドを送り込み、パソコン上で実行させるといったことが可能になる。実際、今回警告されたBadUSBではこの手口が使われている。
具体的には次の通り。郵送されてきたUSBデバイスをパソコンに接続すると、キーボードとして認識される。次に、USBデバイスは一連のキー入力をパソコンに送信することでPowerShellコマンドを実行。攻撃者が管理するサーバーからマルウエアをダウンロードして実行する。
マルウエアは攻撃者のサーバーと通信し、攻撃者の意のままに動作する。FBIによると、攻撃者は攻撃対象のネットワークを動き回って管理者権限を奪取。様々なツールをダウンロードおよび使用して、攻撃対象のネットワークにBlackMatterやREvilなどのランサムウエアを感染させようとする。
BadUSBでは、ファームウエアが書き換え可能であるというUSBデバイスの仕様が悪用されている。また前述の例では、パソコンからはキーボードに見えるので、取り外し可能なストレージデバイス(USBメモリー)をパソコンで無効にしていても被害を防げない。
2年前に悪用例が登場
BadUSBは2014年8月、米国で開催されたセキュリティーイベント「Black Hat USA 2014」でセキュリティー研究者によって発表され大きな話題となった。当時の報道を覚えている方は多いだろう。
同年10月には別の研究者によって、BadUSBを実現するためのプログラムがインターネットで公開された。以降、具体的な実装例が個人のブログなどに紹介されるようになったものの、実際の悪用はほとんど報告されていなかった。
ところがおよそ2年前の2020年2月、悪用例が報告された。細工が施されたUSBメモリーが、ホテルやレストラン、小売店などに家電量販店の米Best Buy(ベストバイ)をかたって郵送されたのだ。
