BadUSBの脅威

USBはもはや我々の生活になくてはならないモノで、最初はパソコンから普及し、現在では家電からスマートフォン、果てはクルマまで、ありとあらゆる製品に利用されている。

そんなUSBにはハードウェア的な欠陥が存在し、この欠陥を利用すると簡単にマルウェアを忍び込ませ、USBを持つ機器を乗っ取ったり、情報を奪う事が可能だという。

この問題は現在の所USBの規格そのものを作り直す以外に根本的な解決方法は無いという。

つまり対症療法的な対策しか出来ないわけで、対策をしたとしても常にいたちごっこに陥る事を示している。

この問題には「BadUSB」という名が付けられているそうな。


USBの各種機器には、ホストとなるコンピュータ（USB OTGを用いれば、対応する機器ならばパソコン以外でもホストに成り得る）に対して自分がどういったモノであるかを示して、ホスト側にどのような挙動を取るべきかというような通信を行い、また自らの挙動を操作している。このため一定規模のCPUとメモリに加えてフラッシュメモリなどで構成された書き換え可能なストレージを備える、一台のコンピュータが備わっている事が多い。

BadUSBはこうしたUSB機器に存在するコンピュータに、任意の動作をさせるためのプログラムを書き込む事が可能な脆弱性で、USBの仕様上防ぐ方法は無い。

最近はパソコンのUSBポートに差し込む様々な小物が非常に安価に売られているが、もしこれらの小物にBadUSBを利用した悪意のあるプログラムが仕込まれていたとするなら、それを差し込んだ瞬間にパソコンは乗っ取られる。スマートフォン充電用のUSBケーブルやUSBの扇風機などがこれに該当し、実際に100円ショップ等に並んでいてもおかしくはない。

或いはイベント等で配られる記念品にBadUSBを利用したUSBメモリが紛れ込んでいて、標的となる企業の技術者や重役の手に渡る事も考えられる。

USBケーブルやUSB扇風機にコンピュータなんか存在しない、と思っている方は、その考えは正しい。しかし悪意のある者はその正しい常識を利用して、USB扇風機にゴマ粒ほどの大きさのコンピュータを仕込む事で簡単に常識的な人たちのコンピュータを乗っ取る事が可能なのだ。
やろうと思えばUSBのコネクタにそれを仕込んで、単にUSB機器を組み立てているだけの工場に部品として売り込み、“悪意のあるUSB扇風機”を完成させることだって出来る。


さらに、やろうと思えばマルウェアに感染したパソコンにUSBメモリやスマートフォン等を接続しただけで、これらの機器がBadUSBを利用してマルウェアをばら撒く機器に変貌させる事も可能だと思う。

以前私は「Type-Cケーブルはクラック出来るのか」という記事を書いたが、当時はBadUSBを知らなかった。だが。BadUSBの存在によってその話も一気に現実味を帯びてきた。



まあ、こんな話をしたところで、私を含めてほとんど全ての人は対策らしい対策を取る事は不可能だ。

出来る事といえば、不審なUSB機器を安易にUSBポートを持つ機器に接続しないこと。

例えば知り合いに「写真が入っている」と言われて手渡されたUSBメモリを、パソコンやプリンターに差し込んでUSBメモリ内の写真を印刷するという事はやめた方がいい、という事になる。

さらにいえば、新品のUSBを備えた機器(例えばUSBメモリ)でも、製造段階でBadUSBを利用するマルウェアが仕込まれている可能性もある。

なにしろBadUSBは2014年に、誰でも利用可能なプログラムのソースコードが公表されているからだ。このような状況でBadUSBを利用しない犯罪者や国家などは存在しないだろう。だから、規模の大小を問わなければよくこうした問題で疑われる事が多い中国に限らず世界中の国で、BadUSBを利用した悪意のあるUSB機器を製造(或いは市販品の改造)している可能性がある。

ちなみに、個人で興味本位や勉強目的でBadUSBの機能を再現する実験などがすでに数多く行われていると思われる。

こうした行為のほとんどは実験や勉強が終わった後、BadUSBの実験に用いられた機器が出回る事など無いが、中には最初から犯罪目的の実験もある事は間違いない。例えそれが実行不可能な計画だったとしても。

こうした中から、世の中に大きな影響を与える問題が出てくる可能性を否定は出来ない。


USBに設計上の致命的な脆弱性が発見され、そのコードが公開される
https://gigazine.net/news/20141006-badusb/

Kaspersky Lab流BadUSB対策
https://blog.kaspersky.co.jp/badusb-solved/11955/