だって人間だもの…拾ったUSBメモリを開く人は何割いる？調査

2016年08月17日 07時00分更新

文● 谷崎朋子　編集● 大塚／TECH.ASCII.jp

　人目に付きやすい場所にUSBメモリを落としておき、拾った人がPCに挿してファイルをクリックするのを待つ。実はそれはマルウェアで、感染したPCは攻撃者のC＆C（コマンド＆コントロール）サーバーに自動接続されてしまう。あとは攻撃者の思うがまま――。そんなサイバー攻撃は、果たして現実的なものなのだろうか。

　落とし主不明のUSBメモリを拾った人の何割が、自分のPCに挿して中身を覗いてしまうのか。それを確かめるため、米グーグルで不正利用や詐欺対策のグループを統括するエリー・ブルツタイン氏が実験を敢行。8月5日に米国ラスベガスで開催されたセキュリティカンファレンス「Black Hat USA 2016」で、その調査結果を詳細に語った。

グーグルのエリー・ブルツタイン氏。講演タイトルは「駐車場にUSBメモリをばらまく手口って本当に通用するの？（Does dropping USB Drives in parking lots and other places really work?）」というもの

297個のUSBメモリを大学キャンパスにばらまいて、実験開始！

　Black Hat開幕直前、同カンファレンスの会場内ネットワークを構築／運営するニール・ワイラー氏は、あるセキュリティニュースサイトにカンファレンス参加者向けの「セキュリティ対策の心得」記事を寄稿した。同氏が注意喚起したポイントの1つに「会場内にUSBメモリが落ちていたら、速やかに捨てろ」というものがある。それは“罠”である可能性が濃厚だからだ。

　「例年、Black Hat会場では“USBメモリばらまき事件”が発生する。USBメモリが落ちているのを発見しても、迷わず近場のゴミ箱に捨ててほしい。ついでにばらまいている奴を見つけたら、そいつもゴミ箱へぶち込んでおいて！」

「Dark Reading」サイトに掲載された、Black Hat参加者が身を守るためのセキュリティ心得集。ほかにも「ドライブは暗号化しろ」「Wi-FiやBluetoothはすべてオフに」など

　セキュリティに興味のある読者ならば、こうした攻撃手法があるという話は聞いたことがあるだろう。だが、そもそもそんな怪しげなUSBメモリを拾って、自分のPCに挿してしまう人がどれくらいいるのだろうか。そう疑問に思ったグーグルのブルツタイン氏は、実態調査に乗り出した。

　実験に際し、ブルツタイン氏はまず297個のUSBメモリを用意した。これらはすべて同じものではなく、見た目が5種類に分かれている。ラベルも何も付いていないUSBメモリ、鍵束付きのUSBメモリ、鍵束と返却先名札（名前とメールアドレスが書いてある）付きのUSBメモリ、「Confidential（機密）」と書かれたラベル付きUSBメモリ、「Final Exam Solutions（期末試験の解答）」ラベル付きUSBメモリ。この5種類だ。

拾った人が中身を見る確率が変わるかどうかを検証するため、5種類のUSBメモリが用意された

　それぞれのUSBメモリには“それっぽい”HTMLファイルも仕込まれた。たとえば「Confidential」のUSBメモリならば、提案書や特許出願申請書、年度計画書といったファイル名のHTMLファイルが保存されていた。

USBメモリの外観に合った内容のHTMLファイルが仕込まれた

　実は、このHTMLファイルはマルウェアの代用品である。拾った人がHTMLファイルを開くと、そこに埋め込まれた画像が実験用サーバーから自動的に読み込まれる。サーバーのアクセスログを見れば、どのファイルがいつ開かれたのかを正確に確認できる仕組みだ。同時に、開いたWebページはアンケートページにリダイレクトされ、調査の種明かしとアンケート協力のお願いが表示される。

　実験場所は、イリノイ大学アーバナシャンペーン校。大学から許可をもらったブルツタイン氏は、キャンパスの屋外、教室、廊下、駐車場、共用スペースの5カ所に「さりげなく」USBメモリを落として、2日間、様子を見た。

ブルツタイン氏は大学のキャンパス全域にUSBメモリをばらまいた

　実際にUSBメモリを落とした様子も写真で紹介されたが、駐車場の片隅、共有スペースのテーブルの上など、いかにも自然な感じでUSBメモリが落ちている。誰でも思わず拾ってしまいそうだ。

実際にUSBメモリが“落ちている”様子。とても自然だ

実験結果：USBメモリを拾った人の「45％」が中身のファイルをクリック

　297個のUSBメモリをばらまいた実験の結果は、次のとおりだ。カッコ内の数字は、297個全体に占める割合である。

拾われたUSBメモリ個数：290個（98％）
ファイルの開封数：135個（45％）
USBメモリの返却数：54個（19％）
アンケート回答数：62件（21％）

　ブルツタイン氏が“落とした”USBメモリのほぼすべてが誰かに拾われ、そのうち約45％の人がそれをPCに挿してHTMLファイルをクリックしてしまった、という結果だ。しかも、ブルツタイン氏によるこの“攻撃”は、極めて短時間で効果を上げたという。

　「残念なことに、USBメモリをばらまいてから1時間もしないうちに20％もの人がHTMLファイルをクリックしている。最初にファイルがクリックされたのは、ばらまいてから6分も経たないタイミングだ」

実験開始（USBメモリばらまき）からの時間経過と、ファイルをクリックした人の割合。ファイルをクリックした人のうち、最初の1時間でクリックした人が20％を占める

　実は実験開始から24時間経ったころ、掲示板サイト「Reddit」に同大学のIT部門スタッフを名乗る人物が、「怪しいUSBメモリがキャンパス内に落ちているから拾うな」という書き込みをした。しかも、それは同大のマイケル・ベイリー教授（同実験の協力者）による実験だとネタばらしまでされてしまった。そんな予定外のことが起きても、ふたを開けてみれば半数近くの人がHTMLファイルをクリックしてしまったのである。

Redditでネタばらしされ、あわや実験中止かと思われたが……

　USBメモリの種類別に見てみると、返却先の名札が付いたUSBメモリはクリック率が29％と低めだったが、その他の4種類は50％前後のクリック率を記録している。アンケート回答者の68％は、USBメモリ内のHTMLファイルをクリックした理由を「USBメモリを持ち主に返すため」だと回答している。名札から返却先がわかるならば、善意で拾った人はUSBメモリの中身をのぞかずに返却しようとするらしい。