キヤノンMJ/サイバーセキュリティ情報局
パソコンやスマホを物理的に破壊してしまう“USBキラー”とは?
USBキラーという言葉を聞いたことがあるだろうか。USBキラーとはその名のとおり、パソコンのUSBポートに挿し込んでしまうと、パソコンに高圧電流が流れ、パソコンを物理的に破壊してしまうデバイスだ。この記事では、そのUSBキラーの概要に加え、USBの接続で生じ得るリスクと講じるべき対策について解説していく。
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「USBキラー?USBメモリー利用時のリスクと安全な利用方法を考える」を再編集したものです。
USBとは
USBとは「Universal Serial Bus」の略称であり、パソコンやスマートフォン(以下、スマホ)などのデバイスに周辺機器を接続するために用いられるインターフェース規格である。USB自体、本来はデータを転送するためのインターフェース規格であるが、転じて接続口であるUSBポートもUSBと呼ばれるようになっている。USBはデータ転送だけでなく、電力供給もできることが特徴であり、新しい規格では供給可能な電力容量が増えたため、パソコンなどの電源端子として使われることも多くなっている。
誕生当初のUSB1.0では最大転送速度がわずか12Mbpsだったが、技術革新によるバージョンアップごとに、転送速度も大きく向上している。2019年に発表された最新の規格USB4では、標準で最大20Gbps、環境が整えば40Gbpsという高速転送が可能となっており、大容量データも短時間で転送することができる。
USB利用におけるリスク
USBにはさまざまな周辺機器が接続されるため、接続された機器に由来するリスクを抱え込むことになる。中でも、「USBメモリー(USBフラッシュドライブ)」はその利便性から広く使われているため、リスク要因の筆頭格とも言える。登場当初のUSBメモリーの容量は数十MB程度と少なかったが、最近では数TBのものなど、大容量化が進んでいる。大容量化と高速化によって、USBメモリーがポータブルドライブの代用として利用されるケースも増えていることが、被害リスクの増大に拍車をかけている。
USBに関する主なリスクとして、「USBキラー」、「マルウェア感染」、「BadUSB」、「ジュースジャッキング」などが挙げられる。以下、順に説明していく。
USBキラーとは
USBメモリーに類似した外観の機器をUSBポートに挿し込むことで、その挿し込まれたパソコンなどの機器が破壊されてしまう手口がUSBキラーである。
この攻撃はUSBを経由して電力供給が可能という特性を悪用した手法であり、USBから供給された電流を電源としてUSBキラー内部で高圧電流を生成する。その後、生成した高圧電流をUSB経由でパソコンやスマホなどの機器の内部に流し込むことで、接続された機器を物理的に損傷に至らせる。深刻なケースだと、機器内のデータ損失の可能性もある。
USBキラーの開発者は、USBキラーを「サージ(瞬間的な高圧電流が流れること)」に対する機器の耐性を検証するためのツールとして開発しており、実際にAmazonなどで気軽に購入できるため、注意が必要である。米国では、USBキラーを悪用してパソコンが破壊されるという事件が多数発生している。
USBメモリー経由で広まるマルウェア
USBメモリーを利用した攻撃として以前から存在する手口が、USBメモリーの自動実行機能を悪用してマルウェアの感染を狙うというものだ。本来、利便性を高めるために提供された機能が悪用されてしまった例と言える。そのため、最近のセキュリティソフトでは、自動実行の前にUSBメモリーを検査するというプロセスを用意している。また、セキュリティ教育を通じて、拾得したUSBメモリーを安易にUSBポートに挿し込まないことが啓蒙されつつある。
しかし、イリノイ大学で2016年に行った調査では悲観的な結果が出ている。USBメモリーを大学で配布し、その後の学生の行動を調査したところ、48%もの学生がUSBメモリーを自分のパソコンに挿入し、中のファイルをクリックしていたことが判明した。
また、2009年から翌年にかけて、イランでは産業用システムがマルウェアStuxnetに感染し、核燃料施設でウラン濃縮用の遠心分離機が破壊されるという、物理的な損害が生じた。このシステムは、インターネットに接続されていなかったものの、USBメモリー経由で感染・発症したと言われている。
USB自体の脆弱性を悪用するBadUSB
USBが原因となる被害の中でも、2014年に発見されたBadUSBは巧妙な手口であり、USB規格自体が抱える脆弱性を悪用してマルウェア感染を狙う。USBメモリーなどすべてのUSBデバイスには制御チップとファームウェアが内蔵されており、そのファームウェアによって、パソコンからUSBデバイスとして認識される。USBデバイスの中には書き換え可能なファームウェアを搭載するものがあるが、BadUSBはこのような仕様を悪用する。BadUSBはファームウェアを不正なプログラムに書き換え、マルウェアなどへの感染や、キーロガーの埋め込みなどを行うのだ。
BadUSBをさらに進化させた手口として、USB Ninja Cableと呼ばれるものもある。USB Ninja Cableの見た目は普通のUSBケーブルとなんら変わりがない。しかし、ケーブル自体に制御チップが仕込まれ、遠隔からマルウェアに感染させるためのコマンドを実行できる点が大きな違いとなる。
注意すべき「ジュースジャッキング」
スマホなどのモバイルデバイスの普及で、スマホやタブレットなどの充電用として空港などの公共施設にもUSBポートが設置されるようになった。このような公共施設のUSBポートを悪用した手口がジュースジャッキングだ。
ジュースジャッキングでは、悪意を持った第三者がUSBポートに細工し、不正なプログラムを仕込む。ユーザーが充電のために、細工されたUSBポートにデバイスを接続することで攻撃に遭ってしまうのだ。マルウェアへの感染や、デバイス内の情報を窃取されるといった事件も過去には起こっている。安易に公共施設やホテルのロビーなどにあるUSBポートに機器を接続し、充電を行うのは極力回避するようにしたい。
USB利用時のリスクへの有効な対処とは
USBは利便性が高いインターフェースであり、多くの機器で使われている。しかしその反面、さまざまなリスクを抱えているのはここまで伝えてきたとおりだ。ただし、以下の対策を講じることにより、USB経由でのマルウェア感染や、情報漏えいのリスクは軽減できる。
・自分の把握していないUSBデバイスの利用は控える
自分の所有物ではない、拾得あるいは貸し借りしたUSBデバイス(USBメモリーやUSBケーブル)を不用意に自分のパソコンのUSBポートに挿すべきではない。素性の知れないUSBデバイスをパソコンのUSBポートに挿してしまうことで、マルウェアなどに感染するリスクがあるからだ。
・信頼できるメーカーのUSBデバイスを利用する
国際的なECサービスなどが普及した結果、得体が知れない海外メーカーの機器が多数出回っている。そのように流通する製品の中には、セキュリティリスクがあるもの、危険なものが紛れ込んでいるという認識を持ちたい。巧妙な例としては、信頼できるメーカー製であると偽装するケースもあるため、少しでも不審な点があれば、無闇にパソコンのUSBポートに挿し込むことは避けるべきだ。
・パソコンのOSやアプリケーションのアップデートを定期的に行う
最近のOSではUSBに関するリスクへの対策も進んでいる。リスクが明らかになるや否や、すぐに修正パッチがあてられることも少なくない。こうした被害に遭遇しないためには、パソコンのOSやアプリケーションソフトなどの脆弱性が報告されたら、速やかにアップデートを適用していくことが重要となる。
・セキュリティソフトの導入
セキュリティ専門のメーカーが提供する統合型セキュリティソフトは、世の中で起こっている状況に逐一対応しているものだ。例えば、「ESET インターネット セキュリティ」は、マルウェアなどからの保護はもちろんのこと、USBに関するリスクについても、USBデバイス接続時にマルウェア検査を実施してくれる。
USBは利便性の高いインターフェースであり、近年普及しているUSB Type-Cでは高速充電やディスプレイ投影のための通信機能など、数多くの機能が提供されるようになった。デジタル機器間の接続については、今後も当面、USBが主流となることはほぼ確実視されている。しかし、利便性が高いUSBを活用することで、かえってリスクを招いてしまうのでは本末転倒でしかない。くれぐれも安全に利用するために、講じるべき対策を適切に行うことを心掛けてほしい。