米連邦捜査局(FBI▼)は2022年1月6日(米国時間)、重要インフラ事業者などに対して、USBメモリーなどのUSBデバイスを使ったサイバー攻撃が確認されているとして注意を呼びかけた。
攻撃者は、米保健福祉省(HHS▼)や米アマゾン・ドット・コムなどを装って、細工を施したUSBデバイスを企業や組織に郵送している。2021年8月には運輸および保険業界の企業、11月には防衛産業企業に送られてきた。
受け取った人がそのUSBデバイスをパソコンに接続すると、ランサムウエアなどのマルウエアに感染する。ポイントは、パソコンに接続するだけで被害に遭うこと。USBデバイス自体に細工が施されているためだ。
しかも、思わず接続してしまうような工夫も凝らされている。一体、どのような手口なのだろうか。
USBデバイスの動作を書き換える
今回警告されたような、細工を施したUSBデバイスを使うサイバー攻撃は「BadUSB」などと呼ばれる。攻撃に使用するUSBデバイスをBadUSBと呼ぶ場合もある。
USBデバイスはいわば小さなコンピューターであり、USBデバイスに搭載されたプログラム(ファームウエア)を書き換えれば、本来の用途とは異なる動作が可能になる(図1)。
例えばUSBメモリーのファームウエアを書き換えて、パソコンからはUSB接続のキーボードに見えるようにできる。さらに、パソコンに接続されたら任意のコマンドを送り込み、パソコン上で実行させるといったことが可能になる。実際、今回警告されたBadUSBではこの手口が使われている。
具体的には次の通り(図2)。細工が施されたUSBデバイスをパソコンに接続すると、キーボードとして認識される。次に、USBデバイスは一連のキー入力をパソコンに送信してPowerShellコマンドを実行。攻撃者が管理するサーバーからマルウエアをダウンロードして実行する。
マルウエアは攻撃者のサーバーと通信し、攻撃者の意のままに動作する。FBIによると、攻撃者は攻撃対象のネットワークを動き回って管理者権限を奪取。さらに様々なツールをダウンロードおよび使用して、ランサムウエアを感染させようとする。
