USBメモリーのセキュリティについて
普段から、仕事でもデータ保存を行う際に使用するUSBメモリー。保存したデータを使って他の場所で作業する際や他のパソコン同士を使ってデータのやり取りを行う際にUSBメモリーは非常に便利なツールです。
しかし、このUSBメモリーには、セキュリティ面で注意点がいくつかあります。USBメモリーを通じて行われたセキュリティ事件やマルウェアの解説も含めながらUSBメモリーを取り扱う際のセキュリティ対策を解説していきます。
USBメモリーによるセキュティ事件の海外での事例
アメリカのAP通信によると、2016年9月22日にフランスのソフトウェアエンジニア男性の自宅に切手も宛名も記載されていない不審なUSBメモリーが自宅ポストに投函されていたとの報道がありました。(AUS便り2016年10月3日号にも掲載)
この報道によると、USBメモリーを受け取った男性は、SNSで「この様なプレゼントは絶対に差し込んではいけない」と投稿し、そのまま処分したとのことです。
また、9月21日には、オーストラリア・ビクトリア州警察が「メルボルンの南東約60キロに位置するパケナムにおいて『極めて有害』なUSBメモリーが郵便受けに入れられる事例が相次いでいる」と地域住民に注意を促しています。 この端末には、動画配信クーポンを装ったマルウェアが仕組まれていたとの事です。数件被害が発生しているようです。
Stuxnet(スタックスネット)について
USBメモリーを媒介して感染するマルウェアといえばStuxnet(スタックスネット)が有名です。
Stuxnet(スタックスネット)とは、中東のイランを中心に2010年に世界各地で発見されたマルウェアの一種です。
これは、制御装置システムに感染するマルウェアで、イランの核関連施設の制御システムの物理的な破損・稼働停止を引き起こしたことで知られています。
Stuxnetの特徴は、インターネットまたは、USBメモリーなどを媒介して感染活動を行うとされ、Windowsの未知の脆弱性を複数利用しており、Windowsエクスプローラーで表示しただけで感染するという非常に高度な技術で作られていました。
USBメモリーを媒介して感染が可能なStuxnetの強力な感染機能は、それまで比較的安全と信じられていた、産業用制御装置システムなどのネットワークに接続されていないクローズしたシステムに感染し、被害をもたらすことから世界に衝撃を与えました。
USBメモリー持ち出しの危険性
USBメモリーからのマルウェア感染だけではなく、業務内でデータの移行や保存時に使用しているUSBメモリーの紛失も情報漏洩の一つとして危険性があります。
今年8月10日に大阪市の小学校で小学校児童の個人情報を含むデータが入ったUSBメモリーを紛失したとの発表がありました。
大阪市によると、大阪市小学生スポーツ交流大会陸上運動の部に参加していた市内小学校児童の学校名や児童名、100メートル走の記録が保存されており、紛失したUSBメモリーには暗号化の措置がなされていなかったとの事です。
USBメモリーのセキュリティ対策について
USBメモリーのセキュリティ対策は、まずUSBメモリー自体を暗号化し、PCに接続した際にパスワードを入力しないと中が見られないようにすること。 または、データそのものを暗号化した上で、パスワードロックをかける方法もあります。
置き忘れなどの紛失対策については、USBメモリーの入った入れ物にストラップをつけたり、社内に保管する際には鍵のついた入れ物に保管し、管理するなどし、安易に記録媒体を持ち出さないなど厳重な管理を行いましょう。
さいごに、今回のフランスやオーストラリアで起こった不審なUSBメモリー投函事件の様に、身に覚えのない記録媒体は安易に接続しないようにすることやアンチウイルスやUTMによる出口対策でUSB端末からのウイルス対策を行いましょう。
