NEWS

ニュース | 最新のニュースをお届けします

USBデータを盗む新たなマルウェアが発見される

この記事をシェア

機密情報を保存している端末に対して外部からの侵入を回避するために、多くの組織では、インターネットや社内LANにつなげないという対応をしていますが、そうした端末もUSBメモリを使ってファイルの移動を行っていると、思わぬところで被害が発生する恐れがあります。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。

なぜ「USBシーフ(thief=泥棒)」と呼ばれるトロイの木馬型マルウェア(ESETでは「Win32/PSW.Stealer.NAI」として検出)について知っておいた方がいいのか、ESETマルウェア研究者のトマシュ・ガルドン(Tomas Gardon)が一問一答形式にて説明します。

「USBシーフは多くの面で、これまでインターネットで見慣れてきたタイプのマルウェアとは異なっています」とガルドンは指摘します。

「このマルウェアはUSBメモリだけを、感染拡大に使います。そして、侵害されたコンピューターには何一つとして痕跡を残しません。マルウェア作成者は、マルウェアをコピーされないようにする特別な仕掛けを組み込んでおり、発見や分析を困難にしています」

― 新しいマルウェアを分析するとき、最初の疑問は「作成者の目標は何か」ということです。彼らがUSBシーフで得るものは何でしょうか?

彼らの目的を、マルウェアに組み込まれた技術から想像することができます。USBベースであることから、マルウェアは、インターネットから隔離されたシステムで動作させようとしていることが分かります。また、USBリムーバブル機器から実行できることで得られる別の利点は、追跡を許さないということです。被害者は、データを盗まれたことに気付くこともないでしょう。

もう一つ、USBベースというだけではなく、複製やコピーされないことから、1つのUSBメモリでのみ機能するという特徴があります。それがこのマルウェアの特別なところです。この接続は、USBメモリのホスティングと、多層暗号化と相まって、発見したり分析したりすることを非常に困難にしています。

― 特定のデバイスでだけマルウェアが稼働し、多層暗号化が施されている理由はいったい何なのでしょうか?

伝統的に、マルウェアは暗号化されることが多く、暗号化はマルウェアを発見しにくくするという明白な理由があります。もし発見されてしまえば、分析されてしまうからです。この場合には、暗号化は特定のデバイスと紐付くという目的にも有用です。

特定のデバイスに紐付く理由としては、拡散するのを難しくする一方、標的の環境からの流出を防ぐことになる、ということが挙げられます。また、攻撃が追跡されないということにより、目的を達した後もUSBメモリにあり続け、マシンがクリーンアップされれば、マルウェアを発見されにくいのです。

すなわち、どうやらこのマルウェアは標的型攻撃のために作られたのではないかと思われます。

― インターネットから分離されたシステムに標的型攻撃ができる……。これは非常に危険なツールではないでしょうか?

そうですね、その会社や組織が何らかの理由でシステムの一部をネットワークから分離している場合、その通りです。こうした「エアギャップ」(ネットワークからの切り離し)のシステムを攻撃可能なあらゆるツールは、危険だと見なされなければなりません。いかなる痕跡も残さないのであればなおさらです。

― マルウェアによる攻撃の被害は、どのようにすれば防げるのでしょうか?

このマルウェアは、幾つかの特徴からかなりユニークなものと言えます。しかし、通常のサイバーセキュリティ対策で対抗できる範疇にないわけではありません。最も重要なのは、USBポートを使えなくしておくことです。もし使うとしても、厳しいセキュリティポリシーを適用させるべきでしょう。また、どのような立場のスタッフであれ、みな、サイバーセキュリティの訓練を受けることが望ましいでしょう。

― マルウェアの罠に掛かって実行してしまわないように……ということですね?

不運なことに、これはUSBシーフに限らず、ユーザーを引っ掛けるさまざまな手法が用いられます。USBメモリにはポータブル版のアプリケーションが保存されていることがあります。Firefox portable、Notepad++ portable、TrueCrypt portableなどです。これらを巧みに悪用している場合があります。ポータブルアプリケーションによって使われる、プラグインソースやライブラリのようにマルウェアが保存されるということです。それゆえ、そのようなアプリケーションが実行される際にはいつでも、マルウェアもバックグラウンドで実行されるのです。

しかし、信用できない出どころのUSBストレージ機器の取り扱いのリスクを理解しなければなりません。驚くべきことに、幾つかの調査結果を見ると、コンピューターに親指ほどの小さな「サムドライブ」を接続して使用している人は決して少なくありません。もちろん、データバックアップのための暗号化など、別のデータ保護手段も実施されるべきです。

― エアギャップシステムについては、産業システムのようでしたよね?このマルウェアは、産業システムにとって、データを盗み出す機能は深刻な脅威になるのでは……

いったんシステムに侵入すれば、悪いやからがシステム被害を与えるさまざまな方法があります。そしてこのマルウェアは、データを盗み出す以外の機能を持たせるように再設計することもできます。

このようにUSBシーフは、かつて核燃料施設に侵入したStuxnetをほうふつとさせます。ネットワークにつながっていない端末においても、くれぐれもUSBメモリの利用にはご注意ください。

<テクニカルインフォメーション>

マルウェア名 Win32/PSW.Stealer.NAI
カテゴリー トロイの木馬
検出日 2016年1月7日
特徴 USBメモリを通じて産業システムなどに侵入しデータを盗み出す
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!