このページの本文へ

前へ 1 2 次へ

Black Hat USA 2016/DEF CON 24 ラスベガス現地レポート 第3回

グーグルのセキュリティ担当者がUSBメモリをばらまき実験、Black Hat USA 2016で報告

だって人間だもの…拾ったUSBメモリを開く人は何割いる?調査

2016年08月17日 07時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 人目に付きやすい場所にUSBメモリを落としておき、拾った人がPCに挿してファイルをクリックするのを待つ。実はそれはマルウェアで、感染したPCは攻撃者のC&C(コマンド&コントロール)サーバーに自動接続されてしまう。あとは攻撃者の思うがまま――。そんなサイバー攻撃は、果たして現実的なものなのだろうか。

 落とし主不明のUSBメモリを拾った人の何割が、自分のPCに挿して中身を覗いてしまうのか。それを確かめるため、米グーグルで不正利用や詐欺対策のグループを統括するエリー・ブルツタイン氏が実験を敢行。8月5日に米国ラスベガスで開催されたセキュリティカンファレンス「Black Hat USA 2016」で、その調査結果を詳細に語った。

グーグルのエリー・ブルツタイン氏。講演タイトルは「駐車場にUSBメモリをばらまく手口って本当に通用するの?(Does dropping USB Drives in parking lots and other places really work?)」というもの

297個のUSBメモリを大学キャンパスにばらまいて、実験開始!

 Black Hat開幕直前、同カンファレンスの会場内ネットワークを構築/運営するニール・ワイラー氏は、あるセキュリティニュースサイトにカンファレンス参加者向けの「セキュリティ対策の心得」記事を寄稿した。同氏が注意喚起したポイントの1つに「会場内にUSBメモリが落ちていたら、速やかに捨てろ」というものがある。それは“罠”である可能性が濃厚だからだ。

 「例年、Black Hat会場では“USBメモリばらまき事件”が発生する。USBメモリが落ちているのを発見しても、迷わず近場のゴミ箱に捨ててほしい。ついでにばらまいている奴を見つけたら、そいつもゴミ箱へぶち込んでおいて!」

「Dark Reading」サイトに掲載された、Black Hat参加者が身を守るためのセキュリティ心得集。ほかにも「ドライブは暗号化しろ」「Wi-FiやBluetoothはすべてオフに」など

 セキュリティに興味のある読者ならば、こうした攻撃手法があるという話は聞いたことがあるだろう。だが、そもそもそんな怪しげなUSBメモリを拾って、自分のPCに挿してしまう人がどれくらいいるのだろうか。そう疑問に思ったグーグルのブルツタイン氏は、実態調査に乗り出した。

 実験に際し、ブルツタイン氏はまず297個のUSBメモリを用意した。これらはすべて同じものではなく、見た目が5種類に分かれている。ラベルも何も付いていないUSBメモリ、鍵束付きのUSBメモリ、鍵束と返却先名札(名前とメールアドレスが書いてある)付きのUSBメモリ、「Confidential(機密)」と書かれたラベル付きUSBメモリ、「Final Exam Solutions(期末試験の解答)」ラベル付きUSBメモリ。この5種類だ。

拾った人が中身を見る確率が変わるかどうかを検証するため、5種類のUSBメモリが用意された

 それぞれのUSBメモリには“それっぽい”HTMLファイルも仕込まれた。たとえば「Confidential」のUSBメモリならば、提案書や特許出願申請書、年度計画書といったファイル名のHTMLファイルが保存されていた。

USBメモリの外観に合った内容のHTMLファイルが仕込まれた

 実は、このHTMLファイルはマルウェアの代用品である。拾った人がHTMLファイルを開くと、そこに埋め込まれた画像が実験用サーバーから自動的に読み込まれる。サーバーのアクセスログを見れば、どのファイルがいつ開かれたのかを正確に確認できる仕組みだ。同時に、開いたWebページはアンケートページにリダイレクトされ、調査の種明かしとアンケート協力のお願いが表示される。

 実験場所は、イリノイ大学アーバナシャンペーン校。大学から許可をもらったブルツタイン氏は、キャンパスの屋外、教室、廊下、駐車場、共用スペースの5カ所に「さりげなく」USBメモリを落として、2日間、様子を見た。

ブルツタイン氏は大学のキャンパス全域にUSBメモリをばらまいた

 実際にUSBメモリを落とした様子も写真で紹介されたが、駐車場の片隅、共有スペースのテーブルの上など、いかにも自然な感じでUSBメモリが落ちている。誰でも思わず拾ってしまいそうだ。

実際にUSBメモリが“落ちている”様子。とても自然だ

実験結果:USBメモリを拾った人の「45%」が中身のファイルをクリック

 297個のUSBメモリをばらまいた実験の結果は、次のとおりだ。カッコ内の数字は、297個全体に占める割合である。

拾われたUSBメモリ個数:290個(98%)
ファイルの開封数:135個(45%)
USBメモリの返却数:54個(19%)
アンケート回答数:62件(21%)

 ブルツタイン氏が“落とした”USBメモリのほぼすべてが誰かに拾われ、そのうち約45%の人がそれをPCに挿してHTMLファイルをクリックしてしまった、という結果だ。しかも、ブルツタイン氏によるこの“攻撃”は、極めて短時間で効果を上げたという。

 「残念なことに、USBメモリをばらまいてから1時間もしないうちに20%もの人がHTMLファイルをクリックしている。最初にファイルがクリックされたのは、ばらまいてから6分も経たないタイミングだ」

実験開始(USBメモリばらまき)からの時間経過と、ファイルをクリックした人の割合。ファイルをクリックした人のうち、最初の1時間でクリックした人が20%を占める

 実は実験開始から24時間経ったころ、掲示板サイト「Reddit」に同大学のIT部門スタッフを名乗る人物が、「怪しいUSBメモリがキャンパス内に落ちているから拾うな」という書き込みをした。しかも、それは同大のマイケル・ベイリー教授(同実験の協力者)による実験だとネタばらしまでされてしまった。そんな予定外のことが起きても、ふたを開けてみれば半数近くの人がHTMLファイルをクリックしてしまったのである。

Redditでネタばらしされ、あわや実験中止かと思われたが……

 USBメモリの種類別に見てみると、返却先の名札が付いたUSBメモリはクリック率が29%と低めだったが、その他の4種類は50%前後のクリック率を記録している。アンケート回答者の68%は、USBメモリ内のHTMLファイルをクリックした理由を「USBメモリを持ち主に返すため」だと回答している。名札から返却先がわかるならば、善意で拾った人はUSBメモリの中身をのぞかずに返却しようとするらしい。

USBメモリの種類別に集計したクリック率。クリック率の高い順に、鍵束付き、「期末試験の解答」、「機密」、ラベルなし、鍵と名札付きのUSBメモリとなった

 一方で、「ファイルの内容に興味があったから」HTMLファイルをクリックした、という回答者は18%にとどまっている。ただし、サーバー側のログから実際にクリックされたファイルを調べてみると、興味本位で開いた人は、本当はもう少し多いように思われる。……だって人間だもの。

 「たとえばラベルなしのUSBメモリでは、拾った人のほとんどが、確実に持ち主を特定できる『履歴書』ファイルではなく『冬休み』と書かれた画像ファイルをクリックしていた(笑)」

前へ 1 2 次へ

カテゴリートップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります

この連載の記事

アクセスランキング

  1. 1位

    ITトピック

    実用化が楽しみすぎるスマート技術たち 「長距離ワイヤレス給電」から「室内向け太陽電池」「超音波センサー」まで

  2. 2位

    ITトピック

    IT技術者の約半数が「AIの進化で転職を意識」/これから起きるのは「SaaSの死ではなく変容」/バックアップ市場は堅調に成長、ほか

  3. 3位

    sponsored

    AIインフラ市場“一強体制”を崩せるか AMDが「Helios」で体現するオープン戦略とフィジカルAIのラストマイル

  4. 4位

    デジタル

    kintone MCP Server とは?現在提供されている3つの選択肢をフラットに比較

  5. 5位

    データセンター

    IOWNによるGPU分散インフラ「GPU over APN」実証環境を開放 NTTドコビジが全国8拠点をつなぎ提供

  6. 6位

    デジタル

    買い切り型クラウド「pCloud」がDX総合EXPOへ CEO来日で日本展開を加速

  7. 7位

    sponsored

    「IT機器が高すぎる」「熟練メンバー不在で分からない」… 情シスさんの“現場の悩み”をエンジニア3人に聞いてみた

  8. 8位

    Team Leaders

    「SaaSの死」現場の8割が実感も、半数が“年間10%以上成長”と危機感先行

  9. 9位

    Team Leaders

    AIエージェントが顧客対応から“恋愛相談”まで マッチングアプリwithのCSを変えたチャネルトーク

  10. 10位

    クラウド

    顧客企業のビジネスを動かす「基幹系AI」を実現する 日本オラクルの2027年度戦略

集計期間:
2026年07月11日~2026年07月17日
  • 角川アスキー総合研究所