USBメモリばらまき実験

ソーシャルエンジニアリング攻撃の手法の1つとして、細工を施したUSBメモリを目につくところに置いておき、拾った人が不用意にPCに接続することでマルウェアに感染させるというものがあります。セキュリティの専門家であれば、誰もが「当たり前」のものとしている手法ですが、果たして実際にどれくらいの人が接続してしまうものなのか、また、接続してしまう人にどのような傾向があるのか、さらにどういう理由で接続するのかなど、さまざまなポイントで調査した結果が公開されました。

これは、GoogleのElie Bursztein氏と、イリノイ大学アーバナ・シャンペーン校およびミシガン大学の研究者らによって行われた実験で、計297個のUSBメモリをイリノイ大学アーバナ・シャンペーン校のキャンパス内のさまざまな場所に落としておいたところ、その48％がPCに接続され、中にあるファイルがクリックされたそうです。しかも、最も早いものでは落としてから6分以内に接続されたとのことです。

ただし、今回の実験は極めてシンプルなもので、USBメモリ自体に特別な細工は施されていません。実験に使用したUSBメモリに収められているのは、複数のHTMLファイルだけで、そのHTMLファイルにimgタグで埋め込まれた画像データを研究者らのサーバー上に置くことで、クリックして開くと、どのUSBメモリのHTMLファイルが開かれたかが分かるという仕組みになっています。つまり、ネットワークに繋がっていないPCに接続した場合には、ファイルが開かれても分かりませんし、そもそも接続しただけでファイルを開かなければ何も分からないのです。したがって、今回の実験でPCへの接続が確認できたのは48％ですが、実際に接続したケースはもっと多かったと考えるべきでしょう。

ちなみに、メモリ内のファイルは以下のようなファイル名で.htmlという拡張子を隠すと、.pdfや、.docx、.jpgのファイルに見えるようになっています。

このように実験自体は決して正確なものとは言えないのですが、それでも、特別なUSBメモリを用意する必要がないので、実施しやすく、普通の企業でも一種の演習や教育の一環として行うことも可能かもしれません。

USBメモリを落としてからファイルを開くまでの時間を示したのが以下の図です。

接続が確認できたUSBメモリのうち、20％が1時間以内、50％が7時間以内、ほぼすべてが24時間以内となっています。つまり、このようなUSBメモリを使った攻撃はかなり短い時間で成功することを示しています。

今回の実験では以下の写真で示すような5種類のUSBメモリが使われています。

一番右は「Final Exam Solutions（期末試験解答）」、右から2番目は「Confidential（機密）」と書かれたシールが貼られています。中央は物理鍵と返送先住所が書かれたラベル、左から2番目は物理鍵のみが繋がれています。一番左は何も付けられていません。

これらの違いでファイルを開く割合が変わるかを比較したのが以下の図です。

鍵と返送先住所が書かれたラベルが付けられたものだけはファイルを開く割合が低いですが、それ以外のメモリに大きな違いはないようです。大学のキャンパス内での実験ということを考えれば、「Final Exam Solutions（期末試験解答）」が多いのではないかと思いましたが、そうではなかったようです。

次にUSBメモリを落とした場所による違いを比較したのが以下の図です。

場所による違いはほとんど見られません。つまり、USBメモリを使った攻撃を行う場合には、わざわざターゲットの建物内に侵入する必要はなく、比較的外部の人間でも入りやすい駐車場で十分だということです。

ところで、今回の実験では、USBメモリ内のHTMLファイルを開くと、実験の趣旨を説明した上で「謝礼としてギフトカードを贈るので、調査に協力して欲しい」との依頼を表示するようになっており、その結果、62名からの協力を得ています（この依頼を素直に受け入れて協力してしまうこと自体も問題かもしれませんが）。

今回の実験でファイルを開いてしまった人たちにどのような傾向があるかを調べたところ、セキュリティに詳しいか否かによる違いはなく、誰もがこのような攻撃に対して脆弱であると結論付けています。その上で、研究者らはセキュリティに関する教育や訓練の効果について改めて調査する必要があるだろうとしています。

また、ファイルを開いてしまった理由を調べた結果をまとめたのが以下の図です。

果たして本当に正直に答えたものかは分かりませんが、返却するために内容を確認したとの回答が7割近くを占めています。

今回の実験は、かねてから言われていたように、細工を施したUSBメモリを拾わせるという攻撃手法が有効であることを、ある程度証明したものと言えます。改めてこのような攻撃手法があることを利用者に教育するとともに、USBメモリの接続を制限する仕組みも当然ながら実施する必要があるでしょう。