USB は目立たない敵 ?

USB danger

実は危ないUSBから組織を守る方法

長さわずかに3センチ、重さは30グラムほどの小さなUSBフラッシュドライブは、比較的無害なストレージデバイスのように見えますが、これを紛失したり、個人のPCや会社のPCに知らないUSBを差し込んだことで、壊滅的な結果をもたらすことにもなりうるのです。

昨年1年にイギリスのドライクリーニング店に持ち込まれた服のポケットから発見されたUSBは2万2千個以上にものぼりました。 こうした背景から、USBそのものの危険性や、USBがもたらす可能性のあるサイバー脆弱性から個人や組織がどうやって守るかについてまとめてみることは役に立つと考えられます。

USBへのハッキングや目的書き換えは簡単

もしUSBメーカーがデバイス内でファームウェア(USBの通信機能を制御するための不変のソフトウェア)をプロテクトしていなかったとしたら、(実際ほとんどなされていません)、犯罪者は再プログラムをするか、リバースエンジニアをして、コンピューターシステムに不正侵入をはかるマルウェアを仕込むでしょう。デバイスをコンセントにつないだ瞬間からセキュリティ認証情報や機密情報を盗もうと仕込まれたUSBキットのセットをまったく苦労しないでインターネット上で見つけられるでしょう。不正侵入や再プログラムされたデバイスは、コマンドを発行しようとキーボードを模倣し、ネットワークカードを模倣し、DNSを変更して企業のインターネット接続をリダイレクトしたり、コンピューターの起動前にOSを感染させてしまうことができるのです。

組織にもたらされる結果は悲惨なものになります。ドライブに書き込まれたコンテンツはみな盗まれ、同じネットワーク上の複数のコンピューターにマルウェアを撒き散らせられるのです。クリアスウィフトが2013年に行った「内なる敵」についての調査レポートによれば、83%の組織が何らかの情報セキュリティインシデントが発生しています。こうしたセキュリティ脅威の3分の1以上が、従業員による企業のデータを保管する際のUSBやストレージデバイスの謝った使い方が原因であり、個人や組織によって無視することができないデータ紛失脅威が作り出されているのです。

USBの紛失はデータ紛失による不便だけではすまない

サイバー犯罪者の間では個人データは価値上昇中のコモディティとみなされています。一見価値が無いように見えるデータであっても、いくつかつなぎ合わせれば個人のプロフィールを知り、攻撃に使うことができるのです。その技術は、ソーシャルエンジニアリングとして知られ、ソーシャルメディアのアドレス、電話番号から始まって、個人がどの銀行と取引があるかまで、あらゆる情報がもっともらしくて信用させるような間違った発信元を作り出すために使われる可能性があります。

The Internet of Things (IoT)

インターネット接続がリダイレクトされるとか、キーボードが不正ログコマンドを打ち出すなんてたいしたことではないようにさえ思えます。IoTはすでに現実のものとなりました。いまや冷蔵庫から自動車にいたるまで、すべてのものが家のPCに接続される可能性があり、これはすなわち、より多くのデバイスがハッキングされたり、プログラムを書き換えられたり、乗っ取られる危険性をはらんでいるということを意味するのです。

生活の中のすべてのものがどんどん接続されて来ていることで、サイバー犯罪者は技術上の弱点を見抜き、個人データを盗むより方法をたくさん得るのです。知らないUSBやハッキングされたUSBをコンピューターに差し込むことがこれほど重大な結果を及ぼしたことはかつてありませんでした。

USBの誤った使い方

最近シカゴで社会実験として200個のUSBスティックを公の場所に置いてみる実験が行われました。だいたい5個に1個くらいの割合で、一般人が落ちていたUSBを拾ってデバイスに突っ込みました。そしてこの人たちは見知らぬUSBのドキュメントやフォルダーを開きました。もし、これが悪い意図を持ってプログラムされたUSBであったなら、かなり悲惨な結果となってしまったことでしょう。高度なデータ侵害が増加しているのに、個人レベルではUSBフラッシュドライブの間違った使用がはらむ危険性がまだ認識されていないのです。このため、USBが個人情報や企業のデータを盗む目的でサイバー犯罪者が使う主なツールとなっているのです。

ですから、悪意があるか事故によるかどうかはともかく、どの組織のデータセキュリティにとっても最大の脅威はリムーバブルストレージデバイス/USBというのは驚くにはあたりません。これは、従業員がデータ保護の社内コンプライアンスに従わず仕事場で許可されていないデバイスを使う前からそうでした。

データをいかにして守るか

  • 常識: 簡単に言えば、どんなに魅力的であろうとも、知らないUSBをあなた自身のデータや会社のデータが入っているデバイスに差し込んではいけません。実際…知らないUSBを使ってはなりません。以上。
  • エンドポイントデバイスの重要情報を保護: 重要情報を守るためのエンドポイントのソリューションを実装しましょう。ClearswiftのCIPなら、エンドポイントデバイスの中で機密情報がどこにあり、どのように使われているかを管理できます。データが企業のデバイスと個人デバイスの間でUSBやiPhoneを介して転送されるときに重要な情報をコントロールできるのです。 
  • 適応型DLP: プロアクティブに対処しましょう。御社の重要な情報は何かを把握し、守りましょう。Clearswiftの適応型DLPなら、従業員が機密情報を電子メールで送ろうとすると暗号化し、ウェブサイトにアップロードしようとすれば、リダイレクトします。もしUSBスティックにそうした情報をコピーしようとしたら、その情報はブロックされ、組織のサーバーを離れるのを阻止されるのです。

自問しましょう...

  • USBストレージデバイスを何個持っていますか。
  • そのうち何個に会社の重要情報が入っていますか。
  • そのデバイスかその情報は暗号化されていますか。何個を紛失、またはあげてしまいましたか。
  • 「ただで」もらったデバイスはいくつありますか。この前の展示会で拾ったものを含めて…

その数を組織の従業員数で掛けてみてください。そうすれば、USBの脅威を真剣に受け止め、組織の重要情報を安全に保つ時期に来ていることがわかるはずです。

さらに詳しく: