海の向こうの“セキュリティ”

USBメモリばらまき実験/セキュリティベンダーの年次報告書

USBメモリばらまき実験

 ソーシャルエンジニアリング攻撃の手法の1つとして、細工を施したUSBメモリを目につくところに置いておき、拾った人が不用意にPCに接続することでマルウェアに感染させるというものがあります。セキュリティの専門家であれば、誰もが「当たり前」のものとしている手法ですが、果たして実際にどれくらいの人が接続してしまうものなのか、また、接続してしまう人にどのような傾向があるのか、さらにどういう理由で接続するのかなど、さまざまなポイントで調査した結果が公開されました。

 これは、GoogleのElie Bursztein氏と、イリノイ大学アーバナ・シャンペーン校およびミシガン大学の研究者らによって行われた実験で、計297個のUSBメモリをイリノイ大学アーバナ・シャンペーン校のキャンパス内のさまざまな場所に落としておいたところ、その48%がPCに接続され、中にあるファイルがクリックされたそうです。しかも、最も早いものでは落としてから6分以内に接続されたとのことです。

 ただし、今回の実験は極めてシンプルなもので、USBメモリ自体に特別な細工は施されていません。実験に使用したUSBメモリに収められているのは、複数のHTMLファイルだけで、そのHTMLファイルにimgタグで埋め込まれた画像データを研究者らのサーバー上に置くことで、クリックして開くと、どのUSBメモリのHTMLファイルが開かれたかが分かるという仕組みになっています。つまり、ネットワークに繋がっていないPCに接続した場合には、ファイルが開かれても分かりませんし、そもそも接続しただけでファイルを開かなければ何も分からないのです。したがって、今回の実験でPCへの接続が確認できたのは48%ですが、実際に接続したケースはもっと多かったと考えるべきでしょう。

 ちなみに、メモリ内のファイルは以下のようなファイル名で.htmlという拡張子を隠すと、.pdfや、.docx、.jpgのファイルに見えるようになっています。

(Elie Bursztein Blogより)

 このように実験自体は決して正確なものとは言えないのですが、それでも、特別なUSBメモリを用意する必要がないので、実施しやすく、普通の企業でも一種の演習や教育の一環として行うことも可能かもしれません。

 USBメモリを落としてからファイルを開くまでの時間を示したのが以下の図です。

(Elie Bursztein Blogより)

 接続が確認できたUSBメモリのうち、20%が1時間以内、50%が7時間以内、ほぼすべてが24時間以内となっています。つまり、このようなUSBメモリを使った攻撃はかなり短い時間で成功することを示しています。

 今回の実験では以下の写真で示すような5種類のUSBメモリが使われています。

(Elie Bursztein Blogより)

 一番右は「Final Exam Solutions(期末試験解答)」、右から2番目は「Confidential(機密)」と書かれたシールが貼られています。中央は物理鍵と返送先住所が書かれたラベル、左から2番目は物理鍵のみが繋がれています。一番左は何も付けられていません。

 これらの違いでファイルを開く割合が変わるかを比較したのが以下の図です。

(Elie Bursztein Blogより)

 鍵と返送先住所が書かれたラベルが付けられたものだけはファイルを開く割合が低いですが、それ以外のメモリに大きな違いはないようです。大学のキャンパス内での実験ということを考えれば、「Final Exam Solutions(期末試験解答)」が多いのではないかと思いましたが、そうではなかったようです。

 次にUSBメモリを落とした場所による違いを比較したのが以下の図です。

(Elie Bursztein Blogより)

 場所による違いはほとんど見られません。つまり、USBメモリを使った攻撃を行う場合には、わざわざターゲットの建物内に侵入する必要はなく、比較的外部の人間でも入りやすい駐車場で十分だということです。

 ところで、今回の実験では、USBメモリ内のHTMLファイルを開くと、実験の趣旨を説明した上で「謝礼としてギフトカードを贈るので、調査に協力して欲しい」との依頼を表示するようになっており、その結果、62名からの協力を得ています(この依頼を素直に受け入れて協力してしまうこと自体も問題かもしれませんが)。

 今回の実験でファイルを開いてしまった人たちにどのような傾向があるかを調べたところ、セキュリティに詳しいか否かによる違いはなく、誰もがこのような攻撃に対して脆弱であると結論付けています。その上で、研究者らはセキュリティに関する教育や訓練の効果について改めて調査する必要があるだろうとしています。

 また、ファイルを開いてしまった理由を調べた結果をまとめたのが以下の図です。

(Elie Bursztein Blogより)

 果たして本当に正直に答えたものかは分かりませんが、返却するために内容を確認したとの回答が7割近くを占めています。

 今回の実験は、かねてから言われていたように、細工を施したUSBメモリを拾わせるという攻撃手法が有効であることを、ある程度証明したものと言えます。改めてこのような攻撃手法があることを利用者に教育するとともに、USBメモリの接続を制限する仕組みも当然ながら実施する必要があるでしょう。

セキュリティベンダーの年次報告書

 いくつかのセキュリティベンダーから2015年のセキュリティに関する報告書が公開されました。その中から今回はDell SecureWorks、F-Secure、Symantec、Trustwave の4つの報告書について簡単に紹介します。

Dell SecureWorks Underground Hacker Markets

 タイトル通り、攻撃者らの「闇市場」について調査した結果をまとめたものですが、調査対象となる市場は「ロシアにある(located on the Russian Underground)」「英語を話す(English-speaking)」ものに限定されています。まず、その点を十分に認識しておく必要があるでしょう。

 この報告書のうち、メディアなどに特に注目されたのは、窃取したメールアカウントの金額です。例えば、米国のメジャーなメールサービス(Gmail、Hotmail、Yahoo)で$129、企業のメールアカウントで$500となっています。

 他にも、DDoS攻撃は1時間で$5~$10、1日で$30~$55、1週間で$200~$555となっており、この金額は2013年や2014年と比べて概ね同レベルです。一方、値崩れしているのは「RAT (Remote Access Trojan)」で、2013年には$50~$250だったのが、2014年には$20~$50、2015年には$5~$10となっています。

F-Secure Threat Report 2015

 非技術的なものも含め、セキュリティに関するさまざまな話題を紹介しながら2015年を振り返る内容となっている報告書で、図や絵を多用して解説しています。また、国や地域ごとに流行したマルウェアを紹介しており、日本については、Downadup、Angler exploit kit、Trojan:W32/Autorunが挙げられています。

 特に興味深いのは「Chain of Compromise」というモデルを導入し、攻撃を以下の4つのフェーズに分け、マルウェアを分類している点です。

1)Inception
the phase where a system or device becomes exposed to a potential threat
例:Njw0rm worm、Trojan.LNK.Gen、Kilim trojan など

2)Intrusion
the phase where an attacker successfully gains access to a system
例:Angler Exploit Kit、Nuclear Exploit Kit、WormLink exploit など

3)Infection
the phase where an attacker successfully installs a malicious payload in an exposed system
例:Dridex trojandownloader、Ramnit bot、Sality bot など

4)Invasion
the phase where a malicious payload persists beyond the initial infection, often escalating the consequences of the attack
例:Downadup worm (Conficker)、Ippedo worm、Dorkbot worm など

Symantec Internet Security Threat Report

 標的型攻撃やスマホに対する脅威、ソーシャルメディアを使った詐欺、IoTの脆弱性など、さまざまな観点で2015年を振り返った報告書で、Executive Summaryでは以下の6つのポイントを紹介しています。

1)A New Zero-Day Vulnerability Was Discovered on Average Each Week in 2015
2)Over Half a Billion Personal Records Were Stolen or Lost in 2015
3)Major Security Vulnerabilities in Three Quarters of Popular Websites Put Us All at Risk
4)Spear-Phishing Campaigns Targeting Employees Increased 55 Percent in 2015
5)Ransomware Increased 35 Percent in 2015
6)Symantec Blocked 100 Million Fake Technical Support Scams in 2015

 この中では、1)に注目するメディアが多かったようです。また、米国の政府系ITコミュニティ「メリトーク」は、今回の報告書から「政府のサイバーセキュリティ」の観点で以下の11のトピックを取り上げて簡潔に解説しています。

1)Public Administration Ranks Fourth in Number of Breaches …
2) … But Ranks Third in Identity Exposure
3)More People Could Be Exposed Than the Numbers Suggest
4)Most Government Breaches Are Accidents
5)Financial Services is the Top Target for Malicious Activity
6)The U.S. is the Top Origin of Cyberattacks
7)Attackers Are Getting More Selective
8)Ransomware is Becoming Increasingly Popular
9)Internet of Things Will Pose Even Greater Risk
10)Web Server Attacks Are the Most Common in Government
11)Public Trust Is a Critical Problem

2016 Trustwave Global Security Report

 本連載でも昨年7月と8月の2回にわたって紹介したTrustwaveの「Global Security Report」の2016年版が早くも公開されました。今回も盛りだくさんの内容で、Executive Summaryを読むだけでも有益な情報が得られると思いますが、中でもインシデント対応の観点で注目したのは、データ侵害のインシデントのうち、自ら検知できた割合が2014年の19%から2015年には41%にまで増えている点です。また、侵害から検知までにかかった時間の中央値は、外部からの通報で認知した場合が168日だったのに対し、自ら検知した場合は15日、さらに検知から抑止までにかかった時間の中央値は、外部からの通報で28日、自らの検知で1日となっています。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。