拾ったUSBメモリをPCに挿す人は何割いる?
あるお客様のドキュメントを翻訳している中で「USB drop」という用語があったので、「なんだこれ?」と思って調べてみたら、いろいろ面白いものが見つかりました。
「USB drop」について定まった日本語訳は無いようですが、「マルウェアを仕込んだUSBメモリを落としておいて、拾った人がPCに挿したら、感染してしまう」という「サイバー攻撃」のことです。それを実際に実験してみた結果が上の記事です。
ビデオもあります。
こんなもんにひっかかる人がいるのか? というのが実験の主旨ですが、衝撃の結果が待っていました。
"落とした"USBメモリのほぼすべてが誰かに拾われ、そのうち約45%の人がそれをPCに挿してHTMLファイルをクリックしてしまった、という結果
だったそうです。実験は2016年ですから、少し古いとはいえ、アメリカ人(それも大学生)といえどITリテラシーはその程度なのか、ということです。日本で実験したら、おそらくもっと多くの人がクリックしそうな気がします。
実はこれ、手口としてはものすごく古いもので、USBの前はDVD-ROMとかCD-ROM、その前はフロッピーで全く同じ事が行われていました。ウイルスを仕込んでおいて、会議室や食堂、会社の前の公園のベンチなんかに置いておくんですね。表に「社外秘」とか「xx年度人事考課」なんて書いておくと効果てきめん、なんて話もありました。
こういった、システムをハッキングしないで人間を狙う手口を「ソーシャルエンジニアリング」と言います。総務省のサイトにまとめられていますが、電話で聞き出す、PCを操作している人の後ろに立ってパスワードを盗む、ゴミ箱を漁るなどの手法があります。
セキュリティ対策が進んだ結果、再び人間が狙われるように
こうしたソーシャルエンジニアリングは近年増えているそうですが、その理由について、企業のセキュリティ対策が進んだからだという指摘があります。システムをハッキングするのが難しくなったので、相対的に狙うのが簡単になってきた人間を狙った、ということでしょうね。なんとも皮肉なことではありますが、攻撃する側は最も脆弱な部分を狙うのが最も効率的なわけですから、ある意味自然なことなのでしょう。こちらのサイトには、USBデバイスを使った攻撃が29種類もあることが紹介されています。
Here's a List of 29 Different Types of USB Attacks
人間が一番脆弱?
それにしても、CD-ROMとかフロッピーの時代はさておき、これだけインターネットが普及し、日常的にモバイルデバイスを使い、マルウェアの危険も叫ばれている時代に、拾ったUSBをそのまま挿してしまう人がこれほど多いのは驚きです。「拾った物は食べちゃ駄目です」レベルの話ですが、ある程度わかっていても「中を見てみたい」という好奇心に駆られるのが人間というものなのでしょう。
システムと違って、人間を直すのは容易ではありません。すぐに思いつくのは従業員へのセキュリティ教育の強化ですが、これもなかなか難物なようです。人を騙す手口は多様化していますし、1回や2回教育しても、数ヶ月経てば忘れてしまいます。
USBメモリ(外部ストレージ)だけの問題であれば、IBMのようにUSBメモリを全面禁止してクラウドストレージへ移行、という対策もありでしょう。
「禁止」だけでは話は進まない
しかし、こういった「禁止」による対策は、個人的には危険を感じます。何かを禁止すると、その分利用者の利便性が失われるからです。日本でも「ノートPCを電車に置き忘れると困るので、ノートPCの持ち運び禁止」などという、笑うに笑えない話を聞きます。IBMのような代替案無しに様々な「禁止項目」を増やすことは、全体の生産性を下げてしまうことになりがちです。「羮に懲りて膾を吹く」ということにならないよう、対策は慎重に考えなければなりません。その意味では、クラウドをもっとうまく使っていくという方向で知恵を絞るのが正解ではないかと思います。