USBメモリーを紛失する事故がなくならない。2022年は地方自治体の業務委託先が46万人の個人情報を保存したUSBメモリーを紛失して大きな話題になった。この事故では最終的にUSBメモリーを回収できたものの、紛失したままというものも珍しくない。
USBメモリーの代わりにクラウドサービスを使うケースが増えてきた。しかし、インターネットに接続されていない機器とのデータのやりとりには、まだまだUSBメモリーが欠かせない。そこで、USBメモリー利用の危険性を改めて確認し、その代替手法について見ていこう。
USBメモリーによるデータやりとりのリスク
USBメモリーを使ったデータやりとりのリスクは大きく2つある。1つ目は、前述したように紛失によるデータ流出だ。USBメモリーに保存したデータの中に、機密情報や個人情報が含まれていれば、企業のイメージや業績に対するダメージは計り知れない。
もう1つはマルウエア感染のリスクである。攻撃者がマルウエアを仕込んだUSBメモリーをパソコンに差し込むと、USBメモリーの自動再生機能によって、仕込まれたマルウエアが自動起動する。自動起動をオフにしていても、USBメモリー内におとりのファイルを置くなどして、ユーザーにマルウエアを実行させようとする。
マルウエアが仕込まれたUSBメモリーは、さまざまな方法でユーザーの手元に届く。例えば、パソコンのマルウエア感染に気付いていない取引先が、USBメモリーにデータを入れて渡すときだ。ユーザー自身がマルウエア感染に気付かず、社内共有パソコンやサーバーに感染を広げてしまうケースも少なくない。社内のトイレに置き忘れたように見えるUSBメモリーをパソコンに差し込んでマルウエアに感染したという話を聞いたことがある。
米連邦捜査局(FBI)は2022年1月、重要インフラ事業者などに対してUSBメモリーを使ったサイバー攻撃への注意喚起を出した。USBメモリーのファームウエアを書き換えて、マルウエアに感染させる手法で、「BadUSB」などと呼ばれる。マルウエアには、ランサムウエアにも使われた。このときは、USBメモリーを標的となる組織に郵送で送り付けたといわれている。
信頼おける人物から渡されたUSBメモリーでもマルウエアに感染するリスクがある中、所有者不明だったり、送られてきたりするUSBメモリーはパソコンに接続しないようにする。
