SANSインターネットストームセンターのハンドラであるJohn Bambenekが、"出所不明の"USBデバイスに関して注意を呼びかけている。（掲載日：米国時間　2009年12月21日）
 
確認は取れていないものの、"出所不明の"USBデバイスが、政府系機関を含む組織に送付されているらしい。信憑性のある話かどうかは別として、疑わしい方法で受け取ったUSBデバイスには、マルウェアが含まれている可能性がある。フォトフレームを含む新品のUSBデバイスにさえ、マルウェアが感染していることがある(昨年のクリスマスには、このような事例もあった)。

ローテクな攻撃手法として、マルウェアに感染させたUSBデバイスを配布するのは、ペネトレーションテスターの十八番だ。同僚に至っては、さらなる誘惑を誘うため、USBデバイスに「バチェラー(独身最後の)パーティー」とラベルを張るそうだ。

プロモーション用に配布されたものだとしても、USBデバイスを受け取った場合には、まずはローレベルフォーマットを実施してほしい。また、新品でUSBデバイスを購入した場合は、最初にデータを消去してほしい(うっとうしいU3(注1)対応USBデバイスは特に)。なお、ファームウェアのアップデートを含んだUSBデバイスが、マルウェアに感染していた事例もある。デバイスによっては、ローレベルフォーマットはできないかもしれないが、簡単にメディアを確認するだけでも随分違うかもしれない。

ただより高いものはないが、マルウェアはただで手に入る。

原文：http://isc.sans.org/diary.html?storyid=7789

(注1) U3は、USBデバイスに関する規格の1つで、USBデバイスからアプリケーションの自動起動が可能になる。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

USBに限らず、リムーバルメディアを介してマルウェアを配布する手法は、これまで何度も取りざたされてきた。さらに、マルウェアを含んだCD-ROMが、ペネトレーションテストの一環で、銀行に送付された事例もある。
何かと忙しいのが年末年始だ。注意が散漫にならないように、十分注意が必要だ。