このページの本文へ

前へ 1 2 次へ

Black Hat USA 2016/DEF CON 24 ラスベガス現地レポート 第3回

グーグルのセキュリティ担当者がUSBメモリをばらまき実験、Black Hat USA 2016で報告

だって人間だもの…拾ったUSBメモリを開く人は何割いる?調査

2016年08月17日 07時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 人目に付きやすい場所にUSBメモリを落としておき、拾った人がPCに挿してファイルをクリックするのを待つ。実はそれはマルウェアで、感染したPCは攻撃者のC&C(コマンド&コントロール)サーバーに自動接続されてしまう。あとは攻撃者の思うがまま――。そんなサイバー攻撃は、果たして現実的なものなのだろうか。

 落とし主不明のUSBメモリを拾った人の何割が、自分のPCに挿して中身を覗いてしまうのか。それを確かめるため、米グーグルで不正利用や詐欺対策のグループを統括するエリー・ブルツタイン氏が実験を敢行。8月5日に米国ラスベガスで開催されたセキュリティカンファレンス「Black Hat USA 2016」で、その調査結果を詳細に語った。

グーグルのエリー・ブルツタイン氏。講演タイトルは「駐車場にUSBメモリをばらまく手口って本当に通用するの?(Does dropping USB Drives in parking lots and other places really work?)」というもの

297個のUSBメモリを大学キャンパスにばらまいて、実験開始!

 Black Hat開幕直前、同カンファレンスの会場内ネットワークを構築/運営するニール・ワイラー氏は、あるセキュリティニュースサイトにカンファレンス参加者向けの「セキュリティ対策の心得」記事を寄稿した。同氏が注意喚起したポイントの1つに「会場内にUSBメモリが落ちていたら、速やかに捨てろ」というものがある。それは“罠”である可能性が濃厚だからだ。

 「例年、Black Hat会場では“USBメモリばらまき事件”が発生する。USBメモリが落ちているのを発見しても、迷わず近場のゴミ箱に捨ててほしい。ついでにばらまいている奴を見つけたら、そいつもゴミ箱へぶち込んでおいて!」

「Dark Reading」サイトに掲載された、Black Hat参加者が身を守るためのセキュリティ心得集。ほかにも「ドライブは暗号化しろ」「Wi-FiやBluetoothはすべてオフに」など

 セキュリティに興味のある読者ならば、こうした攻撃手法があるという話は聞いたことがあるだろう。だが、そもそもそんな怪しげなUSBメモリを拾って、自分のPCに挿してしまう人がどれくらいいるのだろうか。そう疑問に思ったグーグルのブルツタイン氏は、実態調査に乗り出した。

 実験に際し、ブルツタイン氏はまず297個のUSBメモリを用意した。これらはすべて同じものではなく、見た目が5種類に分かれている。ラベルも何も付いていないUSBメモリ、鍵束付きのUSBメモリ、鍵束と返却先名札(名前とメールアドレスが書いてある)付きのUSBメモリ、「Confidential(機密)」と書かれたラベル付きUSBメモリ、「Final Exam Solutions(期末試験の解答)」ラベル付きUSBメモリ。この5種類だ。

拾った人が中身を見る確率が変わるかどうかを検証するため、5種類のUSBメモリが用意された

 それぞれのUSBメモリには“それっぽい”HTMLファイルも仕込まれた。たとえば「Confidential」のUSBメモリならば、提案書や特許出願申請書、年度計画書といったファイル名のHTMLファイルが保存されていた。

USBメモリの外観に合った内容のHTMLファイルが仕込まれた

 実は、このHTMLファイルはマルウェアの代用品である。拾った人がHTMLファイルを開くと、そこに埋め込まれた画像が実験用サーバーから自動的に読み込まれる。サーバーのアクセスログを見れば、どのファイルがいつ開かれたのかを正確に確認できる仕組みだ。同時に、開いたWebページはアンケートページにリダイレクトされ、調査の種明かしとアンケート協力のお願いが表示される。

 実験場所は、イリノイ大学アーバナシャンペーン校。大学から許可をもらったブルツタイン氏は、キャンパスの屋外、教室、廊下、駐車場、共用スペースの5カ所に「さりげなく」USBメモリを落として、2日間、様子を見た。

ブルツタイン氏は大学のキャンパス全域にUSBメモリをばらまいた

 実際にUSBメモリを落とした様子も写真で紹介されたが、駐車場の片隅、共有スペースのテーブルの上など、いかにも自然な感じでUSBメモリが落ちている。誰でも思わず拾ってしまいそうだ。

実際にUSBメモリが“落ちている”様子。とても自然だ

実験結果:USBメモリを拾った人の「45%」が中身のファイルをクリック

 297個のUSBメモリをばらまいた実験の結果は、次のとおりだ。カッコ内の数字は、297個全体に占める割合である。

拾われたUSBメモリ個数:290個(98%)
ファイルの開封数:135個(45%)
USBメモリの返却数:54個(19%)
アンケート回答数:62件(21%)

 ブルツタイン氏が“落とした”USBメモリのほぼすべてが誰かに拾われ、そのうち約45%の人がそれをPCに挿してHTMLファイルをクリックしてしまった、という結果だ。しかも、ブルツタイン氏によるこの“攻撃”は、極めて短時間で効果を上げたという。

 「残念なことに、USBメモリをばらまいてから1時間もしないうちに20%もの人がHTMLファイルをクリックしている。最初にファイルがクリックされたのは、ばらまいてから6分も経たないタイミングだ」

実験開始(USBメモリばらまき)からの時間経過と、ファイルをクリックした人の割合。ファイルをクリックした人のうち、最初の1時間でクリックした人が20%を占める

 実は実験開始から24時間経ったころ、掲示板サイト「Reddit」に同大学のIT部門スタッフを名乗る人物が、「怪しいUSBメモリがキャンパス内に落ちているから拾うな」という書き込みをした。しかも、それは同大のマイケル・ベイリー教授(同実験の協力者)による実験だとネタばらしまでされてしまった。そんな予定外のことが起きても、ふたを開けてみれば半数近くの人がHTMLファイルをクリックしてしまったのである。

Redditでネタばらしされ、あわや実験中止かと思われたが……

 USBメモリの種類別に見てみると、返却先の名札が付いたUSBメモリはクリック率が29%と低めだったが、その他の4種類は50%前後のクリック率を記録している。アンケート回答者の68%は、USBメモリ内のHTMLファイルをクリックした理由を「USBメモリを持ち主に返すため」だと回答している。名札から返却先がわかるならば、善意で拾った人はUSBメモリの中身をのぞかずに返却しようとするらしい。

USBメモリの種類別に集計したクリック率。クリック率の高い順に、鍵束付き、「期末試験の解答」、「機密」、ラベルなし、鍵と名札付きのUSBメモリとなった

 一方で、「ファイルの内容に興味があったから」HTMLファイルをクリックした、という回答者は18%にとどまっている。ただし、サーバー側のログから実際にクリックされたファイルを調べてみると、興味本位で開いた人は、本当はもう少し多いように思われる。……だって人間だもの。

 「たとえばラベルなしのUSBメモリでは、拾った人のほとんどが、確実に持ち主を特定できる『履歴書』ファイルではなく『冬休み』と書かれた画像ファイルをクリックしていた(笑)」

前へ 1 2 次へ

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード