ある日突然パソコンの動作が重くなり挙動がおかしくなった、急にブラウザがいろいろなサイトにアクセスしだした、意図しない外部通信をしている、画面がロックされ身代金を要求された、ビジネスシーンにおいてはこのような「ゾッとする体験」が時に訪れます。おそらく、このような現象が起きた場合にはマルウェアの感染が疑われます。自身のパソコンがマルウェアに感染することで、機密情報などが外部に漏洩するなどの危険性が高まるのです。
その中でも、最近増えているUSBメモリの危険性について取り上げたいと思います。
USBメモリ紛失によるセキュリティインシデントの件数
2019年4月、近畿地方・関東地方を中心にスーパーマーケットチェーンを展開する大手企業にて、同社職員が社内規定に反してUSBメモリを社外に持ち出し、紛失するというセキュリティ事故が発生しました。首都圏2店舗分の個人情報約1万4,000人分の情報が流出した可能性があるという事件に発展してしまいました。
同社はホームページで経緯を説明し、USBメモリには厳重なパスワード設定と暗号化が施されていることから個人情報が第三者の手に渡る可能性は低いとコメントしています。個人情報流出による被害は明るみに出ていませんが、実際の被害は定かではありません。
JNSA(日本ネットワークセキュリティ協会)が2019年6月に発表した「2018年 情報セキュリティインシデントに関する調査結果 ~個人情報漏えい編~ (速報版)」によれば、2018年1月~12月の間で発生した情報漏洩事件のうち、原因として最も多かったのは「紛失・置き忘れ」であり全体の26.2%を占めています。前年から4.9ポイント増加しており、企業におけるUSBメモリやパソコンなどの置き忘れが情報漏洩の大きな原因になっています。
怖いのはUSBメモリの紛失だけではない
USBメモリが原因によって起こる情報漏洩は何も紛失だけではありません。実は近年、USBメモリを経由したマルウェア感染が増えています。
例えば、オフィス近辺に落ちていたUSBメモリを拾い、中身の確認のためパソコンに挿入したらマルウェアに感染したと言うケースです。
USBメモリ経由でのマルウェア感染に関する興味深い調査が2つあります。
1つ目は英セキュリティ会社のSophos(https://www.sophos.com/ja-jp.aspx)がブログに発表した調査結果です。同社によると、電車内に置き忘れられていたUSBメモリをまとめて入手し調べたところ、約2/3のUSBメモリがマルウェアに感染していたとのことです。
もう1つの調査は非営利団体CompTIA(https://www.comptia.jp/)が行ったもので、公共の場所に放置した200個のUSBメモリのうち、5個に1個の割合で誰かに拾われ、拾った人はUSBメモリを端末に挿入してテキストファイルを開いたり、内容不明のリンクをクリックしたことがあると報告しています。
つまり、サイバー犯罪者はマルウェアを組み込んだUSBメモリをビジネスパーソンが集まりやすい公共の場所やオフィス近辺にそれとなく置くことで、サイバー攻撃を仕掛けていることを意味します。拾ったUSBメモリはつい中身を確かめてみたくなるという人の心理をついており、そこには悪意があるのです。
USBメモリを挿入した瞬間に感染するの?
USBメモリを介して端末がマルウェアに感染するタイミングはいつでしょうか?
ファイルを実行した際でしょうか?それともUSBメモリをパソコンが認識した瞬間でしょうか?実は後者のケースが多いことにも注意する必要があります。
USBメモリを挿入した際に、パソコンで自動実行されるautorun.infファイルがマルウェア本体の実行ファイルを自動起動することができます。つまり、USBメモリを認識した瞬間に感染に至るのです。さらには、パソコンがマルウェアに感染した時点で社内ネットワークへ侵入し、重要なシステムへマルウェアが到達することもあります。USBメモリに組み込まれたマルウェアがもしも「ランサムウェア」と呼ばれるタイプなら、システムがロックされ、暗号解除のために身代金を要求されることになるでしょう。
USBメモリ経由でのマルウェア感染を防ぐ方法
当然のことながら、それがどこであっても、落ちているUSBメモリを拾って端末に挿入するなどは絶対にしてはいけません。真っ先にできるセキュリティ対策は従業員全員がセキュリティ意識を高め、少しでもリスクのある行動を控えることです。しかし、会社がセキュリティに関する啓蒙活動に積極的でも、規範を無視して行動する従業員が存在することもあるでしょう。その場合、物理的なセキュリティ対策も重要となります。今すぐできることは、USBメモリが挿入された際にautorun.infファイルが自動的に実行されないようPCの設定を変更することです。万が一USBメモリが挿入されても、autorun.infファイル実行前に確認のためのポップアップが開くようになるので、マルウェア感染を防ぐことができます。
その一方でサイバー攻撃も年々高度化していることは理解する必要があります。USBメモリ内に保存されているファイルが業務関連のものに偽装されているケースも増えています。それを見て「社内の誰かが落としたのかな?」と持ち主を特定しようとファイルを開こうとすると、マルウェアに感染してしまいます。もっと手の込んだサイバー攻撃では、マルウェアに感染したことすら気付きません。
[SMART_CONTENT]
そもそもUSBで持ち運ぶ必要があるのか?を考える
USBメモリは持ち運びやすく非常に便利な記憶媒体です。しかし、そもそも情報を複製して持ち運べる環境であること自体が問題かもしれません。
機密情報などは記憶媒体にコピーできるように管理するのではなく、クラウドストレージなどでしっかりと権限管理を行っておけば、必要最低限の人しかアクセスできない、しかし許された必要な人はどこからでもアクセスできるという管理が可能です。もちろん、全てのアクセスがログに保存されますから、いつ、どこで、誰がアクセスしたのかを確認することも可能です。
そもそも、機密情報は持ち出し、持ち運びを厳禁にして、クラウドストレージ経由でのアクセスのみにすることで紛失を防ぐことが可能になります。ニューノーマルのように、リモートワークやテレワークから重要情報にアクセスする必要がある時代には、情報へのアクセスに加えて情報セキュリティや情報ガバナンスを意識した管理を行わないと企業としてリスク回避ができません。
企業や組織は、このようなUSBメモリの危険性とそれによる大きなリスクを認識することが重要です。
こうしたリスクを排除するには、企業としてセキュリティポリシーを徹底しながら情報管理の規定をしっかりと行うことがポイントです。USBメモリ経由でのマルウェア感染は年々増えていることやニューノーマルの働き方が必要な今、自社にとって可能な限り取れる対策を考えてみるべきではないでしょうか。
