たぷるとぽちっと|ITに関するお役立ち情報サイト > 新規格USB-Cの登場で再浮上、USBデバイスに潜在的に存在したBADUSB脆弱性の闇
ITお役立ち情報
2015/03/20

新規格USB-Cの登場で再浮上、USBデバイスに潜在的に存在したBADUSB脆弱性の闇

たぷるとぽちっと|ITに関するお役立ち情報サイト

昨年、USBデバイスの“BADUSB”と呼ばれる脆弱性を利用してPCを乗っ取るマルウェアがセキュリティ研究者のKarsten Nohl氏らによって発表され、世界のセキュリティを震撼させていたのをご存知でしょうか?このBADUSBを利用したマルウェアは、いわゆるUSBメモリに感染するウィルスプログラムとは異なり、USBデバイスのファームウェアに書き込まれているため、通常のセキュリティソフトでは検知できません。汚染されたUSBデバイスをPCに接続するとPCはマルウェアに汚染されてしまいます。

 

更に双方向性を持つため、接続されている他のUSBデバイスに感染を広げ、Android端末やプリンター、キーボード、マウスなどのあらゆるUSBデバイスが知らず知らずのうちに感染してしまいます。根本的な解決をするためには、USBデバイスの設計自体を見直す必要があるとされています。しかしUSBデバイスは全世界に普及しているため、全てを早急に変更することは事実上不可能に近いでしょう。

 

昨年から話題の新規格USB-TypeCもこの潜在的な脆弱性が残っていると考えられ、万が一悪意のあるクラッカーによってマルウェアが組み込まれた場合、防ぐ手段が殆どないというのが現状です。当初は非公開だったマルウェアのソースは、全ての脆弱性は公開されるべきであると考える研究者Adam Caudill氏とBrandon Wilson氏によって公開されていますが、対処法はまだ確立されていません。

 

 

ファームウェアが持つ潜在的な脆弱性

 

ファームウェアは、善意のアップデートのみが行われるという性善説によって、現在ほとんどのUSBデバイスは書き込みの制限がされていません。しかし、BADUSB脆弱性は、このファームウェア自体を全て書き換えることができます。対抗手段はいくつか示唆されましたが、ファームウェアへの防御機構が備わっていないため、根本的な解決手段に至るものは今のところ存在していません。

 

今後、脆弱性を克服したUSBデバイスを開発されても、現在すでに存在するUSBデバイスを技術的に保護する方法は今のところありません。新たに開発されたUSBにおいてこの脆弱性を克服したものが出るのを待つ他ないのです。

 

 

現時点で出来る具体的な対策とは?

 

USB-Cを使ってちょっとスマホの充電ケーブルを接続したら感染して、社内情報が流出、ということも簡単に起こり得るようになりました。ではセキュリティソフトでも検知できないマルウェアを防ぐには、どうすればよいのでしょうか?

 

現時点では、非常にアナログな方法しかありません。信用出来ないUSBデバイスを接続しない、信用出来ないパソコンにUSBデバイスを接続しない、という非常に単純なことですが、現在、これが最も安全かつ確実な防御方法です。

 

・社用のデバイスは外部に持ち出して接続しない
・社外で不特定多数が接続するUSBポートに接続させない
・私用のUSBデバイスはたとえ充電ケーブルであっても持ち込ませない
・顧客のものでも社外のUSBデバイスを接続する場合は特定のPCのみに限る
・USBデバイスのセーフリストを作成する

 

 

基本的なことですが、社内セキュリティの保護のために以上の点を徹底し、感染しない、させない、を水際で行うことが重要です。