どの家の郵便ポストにも迷惑メールは届きます。送付するものが広告でもクーポンでも、送る側の企業は受け取った人にいい機会だと捉えてもらうことを願っていますが、実際には不要なものに過ぎません。しかしオーストラリアでは、異なるタイプの迷惑メールが郵便ポストに投函されました。そしてそこにはマルウェア(英文)というギフトが含まれていたのです。この悪意のあるギフトはUSB 形式(メモリスティック)(英文) で届けられました。その目的は、好奇心の強いオーストラリア人にこのUSBをコンピュータに挿入させることでした。
そして彼らはその罠にはまりました。
New York Times誌のレポートによると、オーストラリア パケナムの数人の住人がこのUSB経由の攻撃の犠牲者となり、Netflixやその他のストリーミングサービス加入案内が表示されるようになりました。実際このスティックには、最近のサイバー犯罪者に好んで使用されるマルウェアであるランサムウェアが含まれていました。
ランサムウェア(英文)はマルウェアの一種で、名前の通り動作します。犠牲者が攻撃者に身代金(ランサム)を払うまで、犠牲者のコンピュータをロックしてデータにアクセスできないようにするのです。実際ランサムウェアは侮れません。私たちはランサムウェアを使用するサイバー犯罪者によって、市民、病院、学校などが巨額の金を要求されてきた状況を何度も目の当たりにしてきました。実際、FBIの推定によると、ランサムウェアによる米国全土の犠牲者の被害総額は10億ドル(英文)に到達する勢いです。
USB経由で感染したこのマルウェアは、ランサムウェアの効率性とサイバー犯罪者の偽装能力両方を実証した新しい残念な例になってしまいました。この不要なメモリスティックが配布されたことで、不正なプログラムを広めるために攻撃者が定番手法に立ち返っていることも明らかになりました。
実際USBは、長い間マルウェアを配布する一般的な手法として使用されており(英文)、必ずしもランサムウェアを配布するためだけに使用されるわけではありません。ために、サイバー犯罪者が標的のコンピュータを破壊する(英文)そのコンピュータの周囲にUSBスティックを置き去ったケースも発生しています。しかし一般的な攻撃では、攻撃者が意図的にUSBデバイスを置き去り(英文)、好奇心のある社員にコンピュータに挿入させて企業ネットワーク内部に侵入するという方法が取られています。
この策略の犠牲にならないようにするために、次のヒントをご活用ください。
自分で購入したもの以外挿入しない。
自分で注文していない商品が届いたときには、常に疑ってかかるようにしてください。ギフトは魅力的ですが、企業が顧客にギフトを送付するときはもっと安全な方法を行うはずです。何の前触れもなく製品を提供するのではなく、たとえば引き換えコードの形式などで届くでしょう。電子メールで電子ギフトを受信した場合には、その会社のサポートチームに連絡してギフトが正当なものかどうかを再確認してください。
マルウェアにはさまざまな形やサイズがあることを覚えておく。
ユーザーがセキュリティに精通するにつれて、サイバー犯罪者はもっと創造的になります。ですから、プラグに差し込むタイプの魅力的な約束やギフトには用心してください。疑わしいUSBを避けるだけでなく、McAfee LiveSafeなどの包括的なセキュリティスイートを活用すると、監視とスキャンを行い、悪質な意図からデバイスを保護することができます。
そして、もちろん、Twitterで私とマカフィー公式Twitterをフォローして、消費者とモバイルセキュリティに対する最新の脅威を確認してください。合わせて、マカフィー公式Facebookの「いいね!」もお願いします。
※本ページの内容は 2016年9月29日更新のMcAfee Blogの抄訳です。
原文: How USB Drives Were Recently Used to Hand-Deliver Malware
著者: Gary Davis(Chief Consumer Security Evangelist)
