BadUSB

BadUSBは、悪意のあるソフトウェアが仕組まれているUSBデバイスを用いたコンピュータセキュリティ攻撃である^[1]。

2014年8月に行われたセキュリティイベント「ブラックハット USA 2014」にて、研究家のカルステン・ノール（英語版）、ヤコブ・レルらによってこの攻撃方法が明らかにされた。この攻撃は「BadUSB」と名付けられ、実際にデモを行ってみせた^[2]。ノールはこの危険性をUSB機器を製造するメーカーに伝えているが、今のところ対応を予定しているメーカーはないという^[3]。またUSBの普及率の高さを鑑み^[4]、具体的な攻撃コードは公表しなかった^[5]。

講演の2か月後、別のセキュリティ研究者2名がこの脆弱性を悪用するためのコードをソフトウエア開発プロジェクトホスティングサイトの「GitHub」にて公開した^[2][6]。2人はコードを公開した理由を「USBハードウェアメーカーにプレッシャーをかけるため」としている^[4]。

2015年、ロシアのセキュリティ研究家ダーク・パープルが「USBキラー」というマルウェアを開発した。これは220ボルトの負電荷をUSBポートの信号線に送信することで、数秒でマザーボードが焼き付き破壊されるというものだった^[7]。

2016年4月、ドイツの核施設でスタクスネットというマルウェアを含んだUSBメモリが18本発見された^[8]

2022年1月6日、FBIはマルウェアが仕込まれたUSBメモリが、貨物・保険・防衛産業の企業を中心に郵送で送られてくるという事態が発生しているとして警告を行った^[9][10]。

USB機器には、プログラム可能なマイクロコントローラーが搭載されている^[11]。 つまりUSBデバイスはそれぞれが小型コンピューターでもあり、その動作は「ファームウェア」というプログラムで定義されている^[12]。これを書き換えることで様々なことができてしまうが、基本的にどのUSB機器もこの攻撃を防ぐことはできない。それはUSBの規格でファームウエアがユーザーの同意なしに書き換えできるためである^[12]。これはUSBからPCだけではなく、逆にPCからUSBにも感染できる事も意味し、PC接続に接続されているUSBデバイスにも感染を広げられる^[3]。このような仕様はUSBの最大の特長である多用途性を意識したもので^[5]、書き換え不能にしてしまうと正規のファームウェアのアップデートも行うことが出来なくなってしまう^[13]。

PCにUSBデバイスを接続すると、電力供給を受けたUSBコントローラが起動し、プログラムを読み出して実行する^[2]。悪意ある挙動であっても、正規のユーザーの操作として認識されるため、振る舞いベースの防御手法でも防ぐことはできない^[5]。 例えば送られてきたのがUSBフラッシュドライブ（USBメモリ）だった場合でも、これらはHID（ヒューマン・インタフェース・デバイス）に偽装されているため、リムーバブルストレージデバイスをオフにしていても動作してしまう^[10]。

ノールは「これはシンプルさとセキュリティのジレンマです。 USBの最大の魅力は、ただ差し込むだけで簡単に使えることです。ですが、このシンプルさがまさにこの攻撃を可能にしてしまっているのです」と述べている^[14]。

またセキュリティ企業のソフォスによると、ファームウェア内のプログラムはPCのセキュリティソフトではスキャンすることができないという^[12]。こうしたマルウェアはUSBのコントローラーに埋め込まれており、一般的なアンチウイルス製品がスキャンする層よりもさらに深い層にいるため、検知することができない^[15]。カスペルスキーは｢一般的なアンチウイルス製品はシステムをハードウェアレベルでスキャンしないため、OSに対する攻撃よりもハードウェアに対する攻撃の方が恐ろしさは上｣としている^[15]。

しかしこの危険性が認知され始めると、サーバ・PC製品の中にはセキュリティチップを搭載しファームウェアの改ざんを検出する製品も登場している^[16]。 カスペルスキーは2016年7月にUSBデバイスのふるまいを自動追跡し、不審な振る舞いをするデバイスをブロックする技術を開発し、法人向けセキュリティ製品に実装した^[15]。

2017年には、ニュージーランドの電子技術者Robert FiskはUSBアダプタ「USG」のバージョン1.0を開発。USBデバイスはこのUSGを仲介してPCに接続され、ファイアウォールのような役目を果たす^[17]。ただこのドングルは、ローレベルでのUSBデバイスとPCとのやり取りを遮断し、不審な命令を実行させないことで安全性を確保しているだけで、ウイルスのスキャン機能は備わっていない。さらに1MB/s程度しか転送速度が出せず、大容量転送には向かないという欠点もある^[18]。

他にパスワードロック機能やウイルス対策機能が搭載されている｢セキュリティUSBメモリ｣も発売されているが、セキュリティ企業Palo Alto Networksは2018年6月に「Tick」と呼ばれるハッカーグループによるセキュアUSBを悪用するマルウェアを報告するなど、イタチごっこが続いている^[16]。

また過去の実例から攻撃者は既に悪意のあるプログラムが仕込まれたUSB機器を配布して攻撃してくることが多いため、差出人のはっきりしない郵便物、無料で配られたUSB機器、拾ったUSBメモリなどを不用意にPCに挿入しないのが最大の防御策となる^[5][19]。

2008年、ロシアの工作員とみられる人物が、アフガニスタンに駐留している米軍基地の駐車場に「agent.btz」という悪意あるマルウェアが仕込まれたUSBを意図的に置いていった。するとロシア側の思惑通りに米軍関係者がそれを拾い、基地のPCに差し込んでしまった。そして感染したPCから機密情報などの内部情報が盗まれていた^[9]。

2016年5月、Google・イリノイ大学・ミシガン大学の合同チームがセキュリティ研究のために、イリノイ大学のキャンパス内のあちこちに300本のUSBメモリを意図的にばらまいた。そして拾った大学生たちの何人がPCに挿入するかを調査した^[8]。その結果、約半数の48％が配布されたUSBメモリを挿入し、中にあったファイルをクリックしていた。怪しんでウィルス対策ソフトでスキャンした学生はわずか16％に過ぎなかった^[8]。

2018年6月12日に行われた米朝首脳会談のために集まった約3000人プレス関係者に配られたノベルティの中に入っていたUSBで給電できる扇風機について、あるジャーナリストが「暑いシンガポールではありがたい」とつぶやいたが、すぐに「安易につなぐべきではない」と注意が方々から行われた^[16]。

この他、アメリカ国家安全保障局(NSA)がUSB接続ケーブルにマルウェアを埋め込むサイバー攻撃ツール「コットンマウスI」を開発していたことも内部資料から判明している^[9]。

ZDNetの作者Catalin Cimpanuは、BadUSB攻撃に遭う確率は「非常にまれ」であると語っている。しかし2020年に、ホスピタリティプロバイダーが偽のギフトカードを使用した攻撃を受けたことが確認されている。この攻撃は、USBメモリにプログラムされたキー操作によってPowerShellコマンドが実行されマルウェアがPC上にダウンロードされてしまった^[20]。

2020年、ロシアのハッカー集団FIN7がアメリカの家電量販店を装い、USBメモリと偽のギフトカードを送りつけた。同封のメッセージにはUSBメモリにこのギフトカードで引き換えられる商品のリストが入っていると書かれていた^[21]。標的の警戒心を解くためにテディベアなどのぬいぐるみが含まれていることもあった^[22]。

2021年8月にアメリカの運輸業界と保険業界、11月には防衛企業にUSBメモリが郵送されてきた^[10]。郵便物は2パターンあり、1つは保険福祉省を装ったもので「新型コロナ感染症対策のガイドライン」と書かれた手紙とUSBメモリが同封されている。もう1つは、Amazonのプレゼント用のパッケージで偽装され、感謝を記した手紙と、偽のギフトカード、そしてやはりUSBメモリが同封されていた^[9]。これらのUSBメモリはUSB接続のHIDキーボードに偽装しており、侵入したシステムにマルウェアのペイロードをインストールするために、キーストロークの注入を開始する^[9]。侵入者サイドの最終目標は、被害者のネットワークにアクセスし、Metasploit、Cobalt Strike、Carbanakマルウェア、Griffonバックドア、PowerShellスクリプトなど、さまざまなツールを使用して、侵入したネットワーク内にBlackMatterやREvilなどのランサムウェアを配備することである^[22]。 これらの一連の攻撃を行ったのもFIN7だった考えられている^[21]。