USBメモリを介してマルウェアがコンピューターに侵入するケースは、かねてより指摘されてきたことですが、最近、改めてUSBを使用したサイバー攻撃が増えているということです。どういうことなのでしょうか?
マンディアント「2023年上半期に3倍増加」
NTTセキュリティの7月のレポートは「USBメモリを利用するAPT攻撃の増加」という項目を設けて解説しています。これはマンディアントが7月に発表したブログに基づいた内容となっており、マンディアントのブログによると、2023年上半期はUSBドライブを使用して機密を盗む攻撃が3倍に増えたということです。マンディアントはこの増加についてUSBベースのキャンペーンに起因する可能性があると指摘しており、実例としてUSBフラッシュドライブを使用してSOGUマルウェアを投下して機密情報を窃取する攻撃、USBフラッシュドライブを使用してSNOWYDRIVEマルウェアを配信してバッグドアを作成する2つの攻撃をあげています。
マンディアントによると、SOGUマルウェアを投下して機密情報を窃取する攻撃は中国と関連のあるサイバースパイ活動者であるTEMP.Hexによるものとみられるということで、中国の国家安全保障と経済的な利益を支援するための情報収集が目的の可能性があるということです。また、SNOWYDRIVEマルウェアを配信するキャンペーンはアジアの石油・ガス企業等を標的としているUNC4698によるものと考えられるということです。
強化されたセキュリティの間隙を突く?!
NTTセキュリティの7月レポートは、マンディアントのブログの内容に加え、NTTセキュリティのテクニカルブログ「USBメモリを起点としたFlowCloudを用いた攻撃について」やチェックポイントリサーチ、シマンテックのブログの内容等からUSBメモリがサイバー攻撃で使用されるケースとして以下の3パターンを指摘しています。
①外部からシステムにマルウェアを送り込むためにUSBを利用する。
②感染したシステムから他のシステムへ感染を拡大させるためにUSBを利用する。
③窃取した情報の外部への持ち出しにUSBを利用する。
①は標的とするシステムの利用者に不正なUSBを渡すなどして感染させる手法であり、②はシステムに感染したマルウェアがUSB接続を認識して自身を接続されたUSBにコピーして感染を拡大させるものであり、③は通信によるデータの移動が不可能な場合にUSBを使って外部に持ち出す手法を言っていると思われます。
なぜ、今、USBが使われているのかについてNTTセキュリティは、ネットワーク分離や多層防御、標的型メールのフィルタリング等の対策により外部から侵入するハードルがあがっていることに加え、セキュリティが強固なシステムではメンテナンス時の外部システムのやりとり等にオンラインを避けてUSBが使われることが多いことから、攻撃者が防御の裏を狙ってUSBを使用しているとの見解を示しています。そして、「外部から持ち込まれるUSBメモリは警戒されてきたが、今後は組織内でのみ使用するUSBメモリについても警戒し、マルウェアに感染している可能性があるという前提で運用する必要がある」と指摘しています。
USBで増殖したスタックスネット
USBメモリを使ってコンピューターに感染するケースというと史上初のサイバー兵器と言われたスタックスネットがあります。2010年ころにイラン・ナタンズの核燃料施設を攻撃したスタックスネットは、USBメモリを使ってコンピューターに侵入した後、USBを介して他のコンピューターに増殖し、最終的にターゲットの核燃料施設のシステムにたどり着いて攻撃を行ったとされています。アメリカとイスラエルによるとみられる10年以上も前のサイバー攻撃ですが、同様の手法が今日のサイバー攻撃でも行われているというのは少し意外です。しかも強化されているセキュリティをかいくぐるためにUSBメモリが使われているということですからUSBメモリに伴う感染リスクは今も昔も変わらないということなのかもしれません。
【出典】
https://jp.security.ntt/insights_resources/cyber_security_report
https://www.mandiant.com/resources/blog/infected-usb-steal-secrets