少し前の記事になりますが、IBMがUSBメモリ全面禁止に踏み出したという記事を見て、ほほぅどんな理由なんだ?と思い、色々調べてみました。

TechTargetJapan:IBMが「USBメモリ全面禁止」に踏み切った理由
http://techtarget.itmedia.co.jp/tt/spv/1811/07/news04.html(外部リンク)

USBメモリは2000年頃から普及していき、一時期、一人一つ持っているような時代があったんじゃないかと思いますが、2018年現在、セキュリティ強化の観点からあまり使われることがなくなってきました。

IBMがUSBの利用を全面禁止にした訳として、マルウェア感染などの攻撃に使われることがあるからとのこと。

そこで、今回はUSBメモリによってどんな被害が発生しうるのかまとめていきたいと思います。

なぜUSBメモリが危険?

USBメモリによるセキュリテイ被害について調べてみると、出てくる出てくる。

直接聞いたことはないですが、やはり多いみたいですね。

例えば不正コードが入ったUSBをパソコンに指したことによって、自分のパソコンに知らぬ間にインストールされ、接続された他のコンピュータにも感染していくということがある。

ファイルを書き換えたり開けなくしたり、コンピュータのマザーボードを焼きつかせるといったことまで可能らしいです。

サイバー犯罪者の中では、USBを使うことで簡単にパソコンに侵入できるということがわかりきっているようで、ポピュラーなようです。

以前、テレビをぼーっとみていた時、USBについて興味深い話題を取り上げていました。

それは、USBメモリをパソコンにさして数秒でパソコン内のデータをコピーして、さっと抜いていくという被害があるといった話です。

それはカフェなんかで自分が席を外したわずか数秒のうちに起きてしまう被害のようです。

Windowsを使ったことがある人ならみたことあるこの画面。

パソコンを起動して最初に起動する画面。

ここでアカウント名とパスワードを入れてログインするのは誰でもやっておいてほしいセキュリティ対策な訳ですが、そのログインした後の状態って要は無防備な状態な訳です。

その状態のパソコンに対してUSBを指すことで、サクッとパソコンのデータを盗むことができてしまうという話でした。

あっ

という間みたいです。

ですので、外ではパソコンを肌身離さず持っていなければなりませんね。

ということはですよ?

自分の会社に取引先の人がやってきて、商談中にちょっとお手洗いにと席を外し、社内をふらふら〜っとして、離席している社員のパソコンにサクツ

あっちのパソコンにもサクっ

数秒でデータが盗まれますね。

それを検知するセキュリティソフトが入っているとしてもデータは抜き取られてしまうことでしょう。

そして、トイレから戻って商談を再開し、そのままUSBを持って会社を去っていく。。。

そんなこともありうる訳です。

参考ページ
キャノンITソリューションズ株式会社:USBメモリーとセキュリティの危うい関係
https://eset-info.canon-its.jp/malware_info/special/detail/160622.html(外部リンク)

USBの紛失リスク

皆さんはUSBメモリに対してパスワードを設定していますか?

USBメモリは小さくて軽いので、失くしてしまうというリスクもはらんでいます。

意外にも、USBメモリに対して鍵をかける人は多くないので、拾って悪用されてしまうケースもあります。

逆に、落ちているUSBメモリを使ってしまうという話もあるようです。

それについて面白い記事がありました。

アメリカのいくつかの都市で、人通りの多い公共の場所にUSBメモリ200個を放置したところ、40個も拾われ、自分のパソコンに差して中身を見てみたり、リンクをクリックしたりしたようです。

ITmedia エンタープライズ:街中に落ちているUSBメモリ、拾って使う人多数と判明
http://www.itmedia.co.jp/enterprise/articles/1510/29/news055.html(外部リンク)

これはアメリカでの話ですが、日本もある程度その傾向はあると考えていいんじゃないかと思います。

つまり、世の中の人は、USBメモリという記憶媒体をあまり怪しんでいないということです。

ただデータが入っているモノ程度に捉えていることが多く、「無くさなければ問題ない」「共有サーバーに保管するよりUSBメモリの方が安全」「メールでデータを送る方がむしろ危険だ」「中にはただのデータが入ってるだけ」という認識の人がまだまだいるので、その利用者の隙を突いたサイバー犯罪が起こっているということです。

USBメモリは、個人のセキュリティリテラシーのレベルによって被害の発生割合、深刻さに開きがあるので「いっそ使うことを辞めよう」という判断があって、IBMは全面禁止に踏み切ったのかなと感じました。

皆さんもUSBメモリを使うときは、下記の点に注意しましょう!

  • USBメモリにパスワードをかける(できれば中身の暗号化も)
  • 自分の知ってるUSB以外は安易に使用しない

犯罪に巻き込まれないよう、ユーザー一人一人のセキュリティリテラシーを高めていく必要があるわけですね〜