新規格USB-Cの登場で再浮上、USBデバイスに潜在的に存在したBADUSB脆弱性の闇

昨年、USBデバイスの“BADUSB”と呼ばれる脆弱性を利用してPCを乗っ取るマルウェアがセキュリティ研究者のKarsten Nohl氏らによって発表され、世界のセキュリティを震撼させていたのをご存知でしょうか？このBADUSBを利用したマルウェアは、いわゆるUSBメモリに感染するウィルスプログラムとは異なり、USBデバイスのファームウェアに書き込まれているため、通常のセキュリティソフトでは検知できません。汚染されたUSBデバイスをPCに接続するとPCはマルウェアに汚染されてしまいます。

更に双方向性を持つため、接続されている他のUSBデバイスに感染を広げ、Android端末やプリンター、キーボード、マウスなどのあらゆるUSBデバイスが知らず知らずのうちに感染してしまいます。根本的な解決をするためには、USBデバイスの設計自体を見直す必要があるとされています。しかしUSBデバイスは全世界に普及しているため、全てを早急に変更することは事実上不可能に近いでしょう。

昨年から話題の新規格USB-TypeCもこの潜在的な脆弱性が残っていると考えられ、万が一悪意のあるクラッカーによってマルウェアが組み込まれた場合、防ぐ手段が殆どないというのが現状です。当初は非公開だったマルウェアのソースは、全ての脆弱性は公開されるべきであると考える研究者Adam Caudill氏とBrandon Wilson氏によって公開されていますが、対処法はまだ確立されていません。

ファームウェアが持つ潜在的な脆弱性

ファームウェアは、善意のアップデートのみが行われるという性善説によって、現在ほとんどのUSBデバイスは書き込みの制限がされていません。しかし、BADUSB脆弱性は、このファームウェア自体を全て書き換えることができます。対抗手段はいくつか示唆されましたが、ファームウェアへの防御機構が備わっていないため、根本的な解決手段に至るものは今のところ存在していません。

今後、脆弱性を克服したUSBデバイスを開発されても、現在すでに存在するUSBデバイスを技術的に保護する方法は今のところありません。新たに開発されたUSBにおいてこの脆弱性を克服したものが出るのを待つ他ないのです。

現時点で出来る具体的な対策とは？

USB－Cを使ってちょっとスマホの充電ケーブルを接続したら感染して、社内情報が流出、ということも簡単に起こり得るようになりました。ではセキュリティソフトでも検知できないマルウェアを防ぐには、どうすればよいのでしょうか？

現時点では、非常にアナログな方法しかありません。信用出来ないUSBデバイスを接続しない、信用出来ないパソコンにUSBデバイスを接続しない、という非常に単純なことですが、現在、これが最も安全かつ確実な防御方法です。

・社用のデバイスは外部に持ち出して接続しない

・社外で不特定多数が接続するUSBポートに接続させない

・私用のUSBデバイスはたとえ充電ケーブルであっても持ち込ませない

・顧客のものでも社外のUSBデバイスを接続する場合は特定のPCのみに限る

・USBデバイスのセーフリストを作成する

基本的なことですが、社内セキュリティの保護のために以上の点を徹底し、感染しない、させない、を水際で行うことが重要です。