ある日有名な企業から、郵送でのあなたを名指しした書類が届きました。開封してみると、広報担当者の名前でちょっとした挨拶文と「これを再生してください」と書かれたUSBメモリが入っています。さて、あなたはどう対応するのが正しいでしょうか。すぐにコンピュータに差し込みますか?それとも何かしらの他の手段によって中身を確認しますか?
実はこれは2019年12月に実際に発生した事象でした。多くの報道関係者宛に送付されたUSBメモリ。その送り主はサブスクリプション型音楽再生の雄、Spotifyです。これ自体はただのSpotifyのプロモーションだったのですが、この「USBメモリを送りつけ、再生しろと迫る」という内容について、いかに危険かということが強くセキュリティ専門家から指摘されました。
実際、USB記録媒体(以降、USBメモリと呼称します)を経由したセキュリティインシデントはいまだに絶えることがありません。今回はそのUSBメモリに関して、セキュリティ担当者が気にしなければならないことをご紹介します。
USBメモリを使ったセキュリティインシデント
上記にあげたSpotifyの事例はあくまでプロモーションとしての事象でしたが、USBメモリを経由したセキュリティインシデントには大きく分けて2つの事象があります。
ひとつは、USBメモリによる情報漏洩です。USBメモリに個人情報や機密情報を保管し、それを持って移動している際に紛失したり、廃棄する際にデータを十分に消去せずに廃棄したりしたために、そのデータが復元され利用されてしまうといった事例が確認されています。今年になってからも断続的に続いており1月には千葉県の学校で1,239人分の学生の情報を保管したUSBメモリを紛失するという事件がありました。
また、企業における情報漏洩事故のうち、紛失を原因としたものが大多数を占めています。東京商工リサーチの調査によると、38.6%の割合で紛失が原因とのことです。
もちろん、こういった媒体が入った鞄などが盗難の被害にあうことも少なくなく、情報流出の恐れがある事象が発生したというケースは枚挙にいとまがありません。
情報漏洩だけではなく、マルウェア感染の恐れもあります。USBメモリを経由した感染を試みるマルウェアは古くは2009年頃から目立ち始めていましたが、2016年頃からその検知件数が莫大に増加しています。マルウェアに感染したコンピュータに接続された外部記録媒体を経由し、次々に感染を広げていくというマルウェアの手口において、容易にデータの受け渡しが可能となるUSBメモリは格好の標的なのです。
社外でのUSBメモリの利用実態
実際のところUSBメモリが“どこで”“どのように”使用されているのか調査している例はそれほど多くありません。その少ない例のひとつにトレンドマイクロによる2014年の調査があります。
この調査では「あなたご自身が、お勤め先の企業・団体で、USBメモリを利用する目的をすべてお答えください。」という質問項目がありました。その回答として、6割近くの回答者が社外でもUSBメモリを使用していると答えたそうです。
さらに、USBメモリの利用に関してもっと恐ろしい調査があります。2016年にGoogleおよびイリノイ・ミシガン大学の研究者が共同で実施した研究において、300本のUSBメモリを無作為に配布し、学生らがどのように接続させるか、という調査を行いました。その結果として48%ものユーザが「USBメモリを何の根拠もなく差し込み、自動実行ファイルを実行してしまった」のです。
このように、ほとんどのユーザはUSBメモリの使用において、「社外/社内の区別をしない」「何の根拠もなく自動実行ファイルを再生させる」という実態があることを忘れてはならなりません。
Macではどの程度気にするべきか?
上記の内容はいわゆるWindows PCにおいて顕著なものでしたが、Macにおいてはどうでしょうか?
確かに自動再生における考え方やシステムが異なるので、少々状況は異なります。しかしながら、使用するのはWindowsと同様、ユーザですので安心してはいけません。このサイトでも繰り返し紹介していますが、「○○だから安心」などということはないのです。
ユーザはUSBメモリを使用してデータを交換するわけですから、接続先のコンピュータからどんな情報が持ち出されるのか、その時におかしなものは付属していないかなど、十分に注意を払う必要があります。MacにWindows向けの感染を狙うマルウェアが存在していることも多く、少し昔の分析データになりますが、Macの5台に1台がWindows向けのマルウェアを保管していたという結果も存在しているのです。
ユーザに対するアクションによる対策
それではどうやってUSBメモリに対してセキュリティ対策を検討していくべきなのでしょうか。これには大きく分けて2つの考え方があります。
・ユーザに対する対策
・ハードウェアに対する対策
さらに、ユーザに対する対策は大きく2つに大別されます。
・運用計画・活動の指針の設定
・ユーザのセキュリティ教育・啓蒙の設定
運用計画・活動についてはそれほど難しいものではありません。「USBメモリの使用を一括禁止する」、「ハードウェアからUSBメモリの接続を不可能にしてしまう」、「外部記憶装置へのデータのコピーを防止する」…など、セキュリティ部門とシステム・総務部門が合意することで十分管理が可能な対策が多くなります。
しかしながら、こういった対策ではユーザの利便性が大きく損なわれてしまう可能性が高いのも事実です。そこでもう一方の「セキュリティ教育・啓蒙の設定」が重要になります。どういった場合に問題が発生するのか、自分の取り扱っているデータが何なのかをしっかりと教育し、問題が発生する前にとることのできる対策をしっかりと学習することで、縛り付けるような管理・運用体制を整えなくても、ある程度の安全性が確保することができるようになるのです。
USBメモリ自体の対策
実際に使用される可能性があるUSBメモリ自体にセキュリティ対策を整えるという手段もあります。法人向けに販売されているUSBメモリの中には、それ単体でマルウェア等に対するセキュリティ機能を備えているものも存在しています。
Buffaloから発売されているRUF3-KVシリーズはトレンドマイクロなどと協力して、USBメモリに対してパスワード認証機能を設けました。それと同時に、自動的なウイルスチェック機能などにより感染・拡大を未然に防ぐことが可能となっているのです。
また、USBメモリに対してセキュリティソフトを追加するという選択肢もあります。例としてトレンドマイクロが提供しているTrend Micro USB Security™では、上記同様の機能をUSBメモリに対して使用することが可能となります。
セキュリティソフトによる対策
そもそも接続先のコンピュータ側での対策も重要です。接続先・接続元のコンピュータがマルウェアに感染してしまっていては元も子もありません。基本的なコンピュータに対するセキュリティソフトが整っているだけでも、少なくともUSBメモリを介したマルウェア感染は大きく避けることが可能となります。
情報漏洩を恐れてUSBメモリについて重い制約を課す前に、まず何よりコンピュータのデバイスのセキュリティ環境を整えることが大切です。
まとめ USBメモリの利便性とセキュリティの必要十分条件
USBメモリは2000年台以降、手軽なデータの可搬手段として大きく広がっていきました。その一方でUSBメモリに関わる情報流出やマルウェア感染の被害も拡大する一方です。今こそ基本に立ち返り、ユーザに対するセキュリティ教育と同時に、万全な防御態勢の構築を検討し、現時点での情報資産の棚卸しをするべきでしょう。
どこに何があり、ユーザは何を使用しているのか確認し、それに応じて必要なハードウェア・ソフトウェアを揃えること。それこそが、情報流出事故を未然に防ぐことができる一歩です。