USB経由の感染の仕組み|AutoRun悪用から最新手法まで
USBメモリによるマルウェア感染は、技術の進化とともに巧妙化しています。従来の手法から最新の攻撃まで、その仕組みを理解することが防御の第一歩です。
USBマルウェアの種類と感染方法一覧
| 攻撃手法 | 危険度 | 検出難易度 | 主な標的 | 被害内容 |
|---|---|---|---|---|
| AutoRun悪用 | 中 | 低 | Windows旧版 | 自動実行による感染 |
| BadUSB | 極高 | 極高 | 全OS | キーボード偽装攻撃 |
| ショートカット偽装 | 高 | 中 | Windows全般 | 誤クリック誘導 |
| ワーム型 | 高 | 中 | ネットワーク全体 | 自己拡散 |
| ランサムウェア | 極高 | 低 | 企業データ | ファイル暗号化 |
AutoRun/AutoPlay機能の悪用
AutoRunは、USBメモリ挿入時に自動的にプログラムを実行する機能です。利便性のために設計されましたが、マルウェアの格好の標的となりました。
autorun.infファイルの動作原理
- autorun.infの仕組み
- USBメモリのルートディレクトリに配置されたautorun.infファイルは、デバイス挿入時にWindowsが自動的に読み込みます。[AutoRun]セクションにopen=malware.exeと記述するだけで、指定したプログラムが自動実行されます。アイコンの偽装も可能で、icon=folder.icoとすることで、通常のフォルダに見せかけることができます。
autorun.infの典型的な構造:
[AutoRun]
open=malware.exe
icon=folder.ico
action=Open folder to view files
shell\open\command=malware.exe
Windows 10/11での現状
- 現在のAutoRun制限
- Windows 7以降、USBメモリでのAutoRun機能は大幅に制限されました。Windows 10/11では、リムーバブルドライブでの自動実行は原則無効化されています。ただし、CD/DVDドライブでは依然として有効で、USBメモリをCD-ROMとして偽装する攻撃や、ショートカットファイルを悪用した手法は現在も脅威となっています。
BadUSB攻撃の脅威
BadUSB攻撃は、USBデバイスの本質的な脆弱性を突く高度な攻撃手法です。
- BadUSBとは
- USBデバイスのファームウェアを改ざんし、キーボードやマウスなどのHID(Human Interface Device)として偽装する攻撃です。OSから見ると正規のキーボードとして認識されるため、アンチウイルスソフトでは検出が極めて困難です。USBメモリの見た目は変わらず、通常のストレージ機能も維持したまま、裏で悪意のある動作を実行します。
- 攻撃シナリオ
- USBを挿入すると自動的にキーボードとして認識され、事前にプログラムされたキー入力を高速実行します。Windows+Rでコマンドプロンプトを開き、PowerShellコマンドでマルウェアをダウンロード・実行させる一連の動作を、人間には不可能な速度(1秒間に1000文字以上)で入力。ユーザーが気づく前に攻撃が完了します。
- Rubber Ducky
- ペネトレーションテスト用のBadUSBデバイスです。正規のセキュリティツールとして販売されていますが、悪用される危険性もあります。DuckyScriptという独自言語でペイロードを記述でき、GUI操作も自動化可能。企業では購入・所持を制限し、使用には厳格な承認プロセスを設けるべきです。
ショートカットファイルを悪用した攻撃
AutoRunが制限された現在、ショートカットファイル(.lnk)を悪用した攻撃が主流になっています。
LNKファイルの危険性
- LNKファイルの悪用手法
- Windowsのショートカットファイルは、任意のコマンドを実行できます。USBメモリ内のすべてのファイルを隠し属性にし、代わりに同名のショートカットファイルを配置。ユーザーがフォルダを開こうとクリックすると、実際にはマルウェアが実行されます。PowerShellやcmd.exeを介して、複雑な攻撃コードも実行可能です。
アイコン偽装の手口
偽装の典型的パターン:
- フォルダアイコンに偽装したショートカット
- PDF、Word、Excelなどの文書アイコンに偽装
- 写真や動画ファイルのアイコンに偽装
- システムファイルやセキュリティソフトのアイコンに偽装
暗号化USBメモリの落とし穴
暗号化USBメモリはデータ保護には有効ですが、マルウェア対策にはならないばかりか、新たなリスクをもたらす場合があります。
暗号化ソフト自体のマルウェア化
- 暗号化ソフトの脆弱性
- 多くの暗号化USBメモリは、専用ソフトウェアで暗号化領域にアクセスします。この暗号化ソフト自体がマルウェアに感染していたり、脆弱性を持つ場合があります。特に安価な製品では、古いバージョンのソフトウェアが使用され、既知の脆弱性が放置されているケースが散見されます。
パスワード入力画面の偽装
攻撃者は、正規の暗号化ソフトに見せかけた偽のパスワード入力画面を表示させ、認証情報を窃取します。
偽装画面の特徴:
- 正規ソフトとほぼ同じデザイン
- パスワード入力後、「エラー」を表示して再入力を要求
- 裏でパスワードを外部サーバーに送信
- その後、正規の暗号化ソフトを起動して疑いを避ける
USBメモリの安全な使用方法|スキャン手順
USBメモリを安全に使用するには、段階的な確認プロセスが不可欠です。
接続前の確認事項
USBメモリを接続する前に、物理的・論理的な確認を行います。
物理的な異常の確認
チェックポイント:
- コネクタ部分の損傷や改造の痕跡
- ケースの不自然な膨らみや重さ
- 製造元のロゴやシールの偽造
- 異常な発熱や臭い
- USBドロップ攻撃の可能性(拾得品)
所有者と用途の確認
- 確認すべき事項
- 誰のUSBメモリか、何の目的で使用するか、どこで入手したか、最後に使用した環境はどこか、これらを必ず確認します。特に、来歴不明のUSBメモリ、展示会やセミナーで配布されたもの、取引先から受け取ったものは要注意。可能であれば、データは別の方法(メール、クラウド)で受け取ることを推奨します。
段階的なスキャン手順
リスクレベル別USB利用ポリシー
| リスクレベル | 対象USB | スキャン手順 | 接続環境 | 承認 |
|---|---|---|---|---|
| レベル1(低) | 社内支給品 | 簡易スキャン | 業務PC直接 | 不要 |
| レベル2(中) | 既知の取引先 | フルスキャン | 専用PC経由 | 上長 |
| レベル3(高) | 不明・外部 | 多重スキャン | サンドボックス | 管理者 |
| レベル4(禁止) | 拾得・怪しい | 接続禁止 | - | - |
ステップ1:専用PCでの初期スキャン
- 専用スキャンPCの要件
- インターネットから切断された専用のWindows PCを用意します。最新のアンチウイルスソフトを複数導入し、定義ファイルは手動で更新。重要なデータは保存せず、定期的に初期化します。仮想マシンでも代用可能ですが、VMエスケープのリスクを考慮し、ホストOSとの共有フォルダは無効化します。
ステップ2:サンドボックス環境での確認
初期スキャンをパスしても、未知のマルウェアの可能性があります。
サンドボックスでの確認手順:
- Windows Sandboxまたは専用仮想環境を起動
- USBメモリの内容を仮想環境にコピー
- 実行ファイルやスクリプトを実行してみる
- ネットワークモニタで不審な通信を監視
- プロセスモニタで異常な動作を確認
ステップ3:本番環境への接続許可
すべての確認をパスした後、必要最小限のアクセス権限で本番環境に接続します。
スキャンツールの活用
複数のツールを組み合わせることで、検出率を大幅に向上できます。
USB専用スキャナーの導入
推奨USB専用セキュリティツール:
- USB Disk Security:USBメモリ挿入時の自動スキャン
- Panda USB Vaccine:AutoRun無効化とワクチン機能
- BitDefender USB Immunizer:USBメモリの免疫化
- G DATA USB Keyboard Guard:BadUSB攻撃の検出
複数エンジンでのクロスチェック
- マルチエンジンスキャンの重要性
- 1つのアンチウイルスソフトの検出率は平均95%程度です。複数のエンジンを使用することで、検出率を99%以上に高められます。VirusTotalのようなオンラインサービスも活用できますが、機密データを含むファイルのアップロードは避けてください。オフラインで使用できるマルチエンジンスキャナーの導入を推奨します。
ファイルの取り扱いルール
USBメモリ内のファイルは、種類に応じた適切な取り扱いが必要です。
- 実行ファイルの扱い
- USBメモリ内の.exe、.bat、.scr、.com、.cmdファイルは原則実行禁止とします。業務上必要な場合は、①管理者の事前承認を得る、②ハッシュ値での真正性確認、③サンドボックス環境での事前実行、④ログの記録、のプロセスを経てから利用します。特に、デジタル署名のない実行ファイルは極めて危険です。
- Office文書の注意点
- マクロ付きファイル(.docm、.xlsm、.pptm)は無効化した状態で開きます。「コンテンツの有効化」は絶対に行わず、どうしても必要な場合は、①マクロのソースコード確認、②マクロを除去したコピーの作成、③別環境での実行、を行います。古い形式(.doc、.xls)も脆弱性が多いため要注意です。
- 圧縮ファイルの展開
- ZIPファイル内にマルウェアが潜む可能性があるため、①展開前にアンチウイルスでスキャン、②専用フォルダに展開、③展開後に再スキャン、④実行ファイルが含まれていないか確認、というプロセスを踏みます。パスワード付きZIPは、スキャンを妨げるため特に危険。展開は隔離環境で行うことを推奨します。
企業でのUSBデバイス管理|制御ポリシーの策定
企業環境では、技術的制御と運用ルールの両面からUSBデバイスを管理する必要があります。
デバイス制御ソフトの導入
エンドポイントセキュリティの一環として、USBデバイス制御は必須です。
USBデバイス制御ソフト機能比較
| 製品名 | ホワイトリスト | 個体管理 | ログ記録 | BadUSB対策 | 価格帯 |
|---|---|---|---|---|---|
| Ivanti Device Control | ◎ | ◎ | ◎ | ○ | 高 |
| Symantec DLP | ◎ | ◎ | ◎ | △ | 高 |
| McAfee DLP | ○ | ◎ | ◎ | △ | 高 |
| DeviceLock | ◎ | ○ | ○ | × | 中 |
| Windows標準 | △ | × | △ | × | 無料 |
ホワイトリスト方式の実装
- ホワイトリスト管理の利点
- 許可されたUSBデバイスのみを使用可能にすることで、不正なデバイスの接続を根本的に防げます。社内で購入・管理したUSBメモリのみを登録し、それ以外は自動的にブロック。新規デバイスの追加には申請・承認プロセスを設け、定期的な棚卸しで不要なデバイスを削除します。
デバイスIDによる個体管理
デバイスID管理の実装:
- 各USBメモリのベンダーID(VID)とプロダクトID(PID)を記録
- シリアル番号での個体識別
- 使用者、用途、有効期限の管理
- 紛失時の即座のブラックリスト登録
グループポリシーでの制御
Active Directoryのグループポリシーを使用して、組織全体で一貫した制御を実現します。
USBストレージの無効化設定
グループポリシー設定手順:
- グループポリシー管理エディタを開く
- コンピューターの構成 → 管理用テンプレート → システム
- 「リムーバブル記憶域へのアクセス」を選択
- 各項目を必要に応じて設定:
- すべてのリムーバブル記憶域:すべてのアクセスを拒否
- リムーバブルディスク:書き込みアクセス権の拒否
- リムーバブルディスク:読み取りアクセス権の拒否
読み取り専用の強制
- 読み取り専用設定の効果
- USBメモリへの書き込みを禁止することで、①情報漏洩の防止、②ウイルスの拡散防止、③意図しないデータ変更の防止、が可能です。レジストリエディタで「HKLM\System\CurrentControlSet\Control\StorageDevicePolicies」のWriteProtectを1に設定するか、グループポリシーで一括適用します。
物理的な対策
技術的対策だけでなく、物理的なセキュリティも重要です。
USBポートの封印
物理的封印の方法:
- USBポートブロッカー(物理的な栓)の設置
- エポキシ樹脂での永久封印(復旧不可)
- USBポートカバーと南京錠
- BIOSでのUSBポート無効化と併用
監視カメラによる抑止
- 監視カメラ設置の効果
- USBポート付近に監視カメラを設置することで、①不正使用の抑止力、②インシデント発生時の証拠確保、③内部不正の防止、が期待できます。カメラの存在を周知することで、心理的な抑止効果も高まります。ただし、プライバシーへの配慮と、労働組合との調整が必要です。
運用ルールの策定
ポリシー策定は、技術的対策を補完する重要な要素です。
USB利用申請フロー
標準的な申請フロー:
- 申請:使用目的、期間、データ内容を明記
- 承認:上長および情報セキュリティ部門の承認
- 貸出:管理番号付きUSBメモリの貸出
- 使用:指定された環境でのみ使用
- 返却:使用後は速やかに返却
- 消去:データの完全消去と確認
貸出用USBの管理方法
- 貸出USBの管理要件
- ①通し番号での管理、②使用履歴の記録、③定期的なウイルススキャン、④暗号化機能の実装、⑤紛失時の遠隔消去機能、⑥定期的な棚卸し、が必要です。可能であれば、使用期限を設定し、期限切れデバイスは自動的に使用不可にする仕組みを導入します。
感染防止のための設定|AutoRun無効化と権限管理
技術的な設定により、USBマルウェアの多くを無効化できます。
AutoRun/AutoPlayの完全無効化
AutoRunを完全に無効化することは、最小限のセキュリティ対策として必須です。
OS別AutoRun設定方法比較表
| OS | レジストリ設定 | グループポリシー | 効果 | 推奨度 |
|---|---|---|---|---|
| Windows 11 | 必須 | 推奨 | 高 | ◎ |
| Windows 10 | 必須 | 推奨 | 高 | ◎ |
| Windows 8.1 | 必須 | 推奨 | 中 | ○ |
| Windows 7 | 必須 | 必須 | 低 | △ |
レジストリでの設定方法
レジストリ設定手順:
- regeditを管理者権限で実行
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer- 新規DWORD値「NoDriveTypeAutoRun」を作成
- 値を「FF」(16進数)に設定(すべてのドライブで無効化)
- システムを再起動
グループポリシーでの一括設定
- グループポリシーのメリット
- 組織全体に一括適用でき、ユーザーによる変更を防げます。「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「自動再生のポリシー」で、「自動再生機能をオフにする」を「有効」に設定し、「すべてのドライブ」を選択します。定期的な監査で、設定が維持されていることを確認します。
ユーザー権限の最小化
最小権限の原則に基づき、通常業務は一般ユーザー権限で実施します。
管理者権限の制限
管理者権限制限のベストプラクティス:
- 日常業務用と管理用のアカウントを分離
- 管理者権限でのUSB使用を原則禁止
- 必要時のみ一時的な権限昇格(UAC活用)
- 管理者アカウントの定期的な棚卸し
UAC設定の最適化
- 推奨UAC設定
- 「常に通知する」または「既定-アプリがコンピューターに変更を加えようとする場合のみ通知する」に設定します。「通知しない」は絶対に選択しないでください。管理者でも、プログラムの実行時には確認ダイアログが表示されることで、意図しない実行を防げます。
Windows Defenderの活用
Windows標準のセキュリティ機能を適切に設定することで、基本的な保護を実現できます。
リムーバブルドライブのスキャン設定
Windows Defenderの設定:
- Windows セキュリティを開く
- ウイルスと脅威の防止 → 設定の管理
- 「リムーバブルドライブをスキャンする」をオン
- リアルタイム保護が有効であることを確認
検疫の自動化
- 自動検疫の設定
- 検出された脅威を自動的に検疫することで、ユーザーの誤操作を防げます。グループポリシーで「Windows Defender ウイルス対策」→「脅威が見つかったときの既定のアクション」を設定し、重要度に応じて「検疫」「削除」「無視」を選択。高・中レベルの脅威は自動削除を推奨します。
BitLockerによる暗号化
USBメモリの紛失・盗難対策として、BitLocker To Goの活用が有効です。
紛失・盗難対策
BitLocker To Goの利点:
- ハードウェア暗号化による高速処理
- パスワードまたはスマートカードでの認証
- 回復キーのActive Directory保存
- 読み取り専用モードでの互換性確保
暗号化ポリシーの設定
- 組織の暗号化ポリシー
- ①すべての業務用USBメモリをBitLockerで暗号化、②パスワードは12文字以上の複雑なものを設定、③回復キーは情報システム部門で一元管理、④暗号化されていないUSBメモリへの書き込み禁止、⑤定期的な暗号化状態の監査、を実施します。
BadUSB攻撃への対策|高度な脅威への備え
BadUSB攻撃は、従来のセキュリティ対策では防げない高度な脅威です。
BadUSB検知の困難さ
BadUSBが検知困難な理由を理解し、適切な対策を講じる必要があります。
従来型セキュリティの限界
- アンチウイルスが効かない理由
- BadUSBはファイルベースの攻撃ではなく、USBデバイス自体がキーボードとして動作します。OSから見れば正規の入力デバイスであり、ウイルススキャンの対象外です。また、ファームウェアレベルでの改ざんは、通常のスキャンでは検出できません。
行動ベースの検知
BadUSB検知の可能性:
- 異常に高速なキーストローク(人間には不可能な速度)
- PowerShellやcmd.exeの突然の起動
- ネットワークへの不審なアクセス
- Living off the Land技術の使用
技術的対策
完全な防御は困難ですが、リスクを大幅に低減できます。
BadUSB対策チェックリスト
| 対策項目 | 実装方法 | 効果 | 難易度 |
|---|---|---|---|
| HIDデバイス制限 | グループポリシー | 高 | 中 |
| PowerShell制限 | 実行ポリシー変更 | 中 | 低 |
| USB Guard導入 | オープンソース | 高 | 高 |
| 物理ポート封印 | ハードウェア | 極高 | 低 |
| 監視強化 | EDR/SIEM | 中 | 高 |
USBデバイスクラスの制限
- デバイスクラスの選択的許可
- USBストレージクラス(08h)のみを許可し、HIDクラス(03h)の新規デバイスをブロックすることで、BadUSB攻撃を防げます。ただし、正規のキーボード・マウスも使用できなくなるため、事前に必要なデバイスをホワイトリストに登録する必要があります。
PowerShell実行ポリシーの強化
PowerShell制限設定:
- 実行ポリシーを「Restricted」または「AllSigned」に設定
- ConstrainedLanguageモードの有効化
- PowerShell v2の無効化(脆弱性対策)
- スクリプトブロックログの有効化
- トランスクリプトログの有効化
運用面での対策
技術だけでなく、運用ルールの徹底が重要です。
USB持ち込み禁止ポリシー
- 完全禁止ポリシーの実装
- 最も確実な対策は、私物USBメモリの持ち込みを完全に禁止することです。入館時の所持品検査、金属探知機での検出、違反者への罰則規定などを整備。ただし、業務への影響と従業員のモチベーションを考慮し、代替手段(クラウドストレージ等)を提供することが重要です。
支給デバイスのみ使用
支給デバイス管理の要件:
- 購入元の信頼性確認(正規代理店のみ)
- 受入時の初期スキャンとファームウェア確認
- 管理番号とホログラムシールでの封印
- 定期的な棚卸しと異常確認
- ルートキットスキャンの実施
インシデント対応
BadUSB攻撃が疑われる場合の迅速な対応が被害を最小化します。
BadUSB感染の兆候
警戒すべき兆候:
- USBメモリ挿入直後のコマンドプロンプト表示
- 見覚えのないプログラムの起動
- マウス・キーボードの異常な動作
- ネットワークトラフィックの急増
- セキュリティソフトの無効化
被害の最小化策
- インシデント対応手順
- ①即座にUSBメモリを物理的に除去(安全な取り外しは不要)、②ネットワークケーブルを抜く/Wi-Fiを切断、③該当PCを隔離してフォレンジック調査、④同じUSBメモリを使用した他のPCも調査、⑤ランサムウェア等の二次被害を確認、⑥インシデントレポートの作成と再発防止策の実装。
まとめ
USBメモリ経由のマルウェア感染は、適切な対策により大幅にリスクを低減できます。
実施すべき10の対策:
- ✅ AutoRun/AutoPlayの完全無効化
- ✅ USBデバイス制御ソフトの導入
- ✅ ホワイトリスト方式での管理
- ✅ 段階的スキャンプロセスの確立
- ✅ グループポリシーでの一括制御
- ✅ BadUSB対策(HIDデバイス制限)
- ✅ 私物USB持ち込み禁止
- ✅ BitLockerでの暗号化必須化
- ✅ 定期的な教育訓練
- ✅ インシデント対応体制の整備
特に重要なのは、技術的対策と運用ルールのバランスです。完全にUSBを禁止すれば安全ですが、業務に支障が出ます。リスクレベルに応じた段階的な対策を実施し、代替手段を提供することが現実的です。
APT攻撃の初期侵入経路としてもUSBは使われます。ソーシャルエンジニアリングと組み合わせた攻撃も増加しており、技術だけでなく人的対策も不可欠です。
USB経由の脅威は今後も進化し続けます。最新の脅威情報を収集し、定期的に対策を見直すことが、安全な環境維持の鍵となります。
よくある質問(FAQ)
- Q: Windows 10/11でもAutoRunは危険ですか?
- A: Windows 10/11ではAutoRunの多くが無効化されていますが、完全に安全ではありません。CD/DVDメディアでは依然として有効で、USBメモリをCD-ROMとして偽装する攻撃も存在します。また、ショートカットファイル(.lnk)を悪用した攻撃や、ユーザーの操作を誘導するソーシャルエンジニアリング手法は現在も有効です。レジストリやグループポリシーで完全無効化し、不明なUSBは必ず専用PCでスキャンしてから使用してください。企業環境では、USBポート自体の無効化や読み取り専用設定も検討すべきです。
- Q: BadUSB攻撃はアンチウイルスで防げますか?
- A: 残念ながら、従来のアンチウイルスソフトではBadUSB攻撃の検出は極めて困難です。USBメモリがキーボードとして認識されるため、OSから見れば正規の入力デバイスであり、スキャンの対象外となります。対策として、①USBポートの物理的な封印、②HIDデバイスクラスの新規登録制限、③PowerShell実行ポリシーの強化、④USB持ち込み禁止ポリシー、⑤会社支給の検証済みデバイスのみ使用、⑥EDRによる異常行動の検知、等の複合的な対策が必要です。技術的対策だけでなく、運用ルールの徹底と従業員教育が最も重要です。
- Q: 暗号化USBメモリなら安全ですか?
- A: 暗号化はデータ漏洩対策には有効ですが、マルウェア感染防止にはなりません。むしろリスクが増す場合もあります。①暗号化ソフト自体がマルウェアに感染している可能性、②暗号化によりアンチウイルスのスキャンが妨げられる、③偽のパスワード入力画面で認証情報が盗まれる、④暗号化領域にマルウェアが潜伏、等の問題があります。対策として、信頼できるメーカーの製品を選び、BitLocker To Goなど OS標準の暗号化機能を優先的に使用し、定期的なマルウェアスキャンを実施してください。
- Q: 社員の私物USBメモリはどう管理すべきですか?
- A: 原則として私物USBメモリの業務利用は全面禁止とすべきです。どうしても必要な場合は、以下のプロセスを確立してください:①事前申請制(使用目的、期間、データ内容を明記)、②専用スキャンPCでの検査(インターネット切断環境)、③サンドボックス環境でのファイル確認、④データは一時領域へのコピーのみ許可、⑤業務PCへの直接接続は禁止、⑥使用後のログ記録と報告。ただし、このような複雑なプロセスは業務効率を著しく低下させるため、クラウドストレージやセキュアなファイル転送サービスなど、USBメモリを使わない代替手段の提供を強く推奨します。
関連情報
USBセキュリティの詳細
組織のセキュリティ強化
高度な脅威への対策
総合ガイド
重要なお知らせ
- 本記事は企業のIT管理者向けの技術情報提供を目的としています
- USBデバイスの脅威は日々進化するため、最新の脅威情報を継続的に収集してください
- 対策の実装には組織の業務要件とのバランスを考慮する必要があります
- 重大なインシデント発生時は、専門のフォレンジック調査会社への相談を推奨します
-
記載内容は作成時点の情報であり、OSのバージョンや脅威の状況により変化する可能性があります
更新履歴
- 初稿公開
