三重県は7月8日、庁内業務用のUSBメモリ1万本超を一斉点検した結果、47本からマルウェアを検知したと発表した。背景には陸上自衛隊のUSBメモリ紛失に関する報道があり、危機感を持った三重県が独自調査を実施した形だ。検知されたマルウェアはいずれも非活動の古典的なもので、実際の感染・情報漏えいは確認されていないという。
1万本に眠っていた47個のウイルス #
三重県は陸自の報道を受けて庁内USBメモリを一斉回収・スキャン。47本(全数の約0.47%)からマルウェアが検出された。「活動していない古典的なもの」という説明は、2000年代〜2010年代に猛威を振るったAutorun型ウイルスやUSBワームを指すとみられる。こうした旧世代のウイルスは現代のOSでは自動実行できない。しかし「動かないから無害」という評価には二つの大きな落とし穴がある。
ハッカー視点で見る「古典的ウイルス」の落とし穴 #
一つ目はシグネチャ検知の限界だ。スキャンで「古典的」と判定されても、ドロッパー型マルウェアであれば本体ペイロードは後からネット経由でダウンロードされる設計になっており、スキャン時点では無害に見えることがある。休眠コードがリモートC2サーバへの接続トリガーを持っている可能性もゼロではない。
二つ目はBadUSBの死角だ。2014年以降に確立されたBadUSB攻撃は、USBファームウェアを書き換えてHIDデバイス(キーボード等)として振る舞わせる手法で、ウイルス対策ソフトでは検知不能だ。今回の調査がファームウェアレベルの検査を含んでいたかは不明であり、「マルウェアなし」の証明は通常のAVスキャンだけでは不十分だ。
ファームウェアを書き換えたUSBデバイスは通常のウイルススキャンをすり抜ける。「スキャンで問題なし」は「安全」と同義ではない。
組織が今すぐ見直すべき三つの対策 #
このインシデントが示す教訓は明確だ。①エンドポイントでのUSBポート制限(EDRやグループポリシーで認可済みデバイスのみ接続許可)、②私物・外来USBの完全禁止(ポリシーの形骸化が汚染元の特定を不可能にした)、③定期的なデバイス棚卸し(1万本の存在を把握できていなかった事実は資産管理の穴を示す)——この三点は公的機関に限らず、あらゆる組織に当てはまる基本事項だ。
外部からの衝撃がなければ組織は動かない。次のウェイクアップコールを待つ前に、自組織のUSBデバイス管理を今日見直しておくことを勧める。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。