前へ 1 2 次へ
Black Hat USA 2016/DEF CON 24 ラスベガス現地レポート ― 第3回
グーグルのセキュリティ担当者がUSBメモリをばらまき実験、Black Hat USA 2016で報告

だって人間だもの…拾ったUSBメモリを開く人は何割いる?調査

2016年08月17日 07時00分更新
文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp
.
  • B! 1
  • SECURITY WARNING: Please treat the URL above as you would your password and do not share it with anyone. See the Facebook Help Center for more information.
    SECURITY WARNING: Please treat the URL above as you would your password and do not share it with anyone. See the Facebook Help Center for more information.
    いいね!
    いいね!
    2423
  • ツイートする
  • 0
  • 本文印刷
.
 人目に付きやすい場所にUSBメモリを落としておき、拾った人がPCに挿してファイルをクリックするのを待つ。実はそれはマルウェアで、感染したPCは攻撃者のC&C(コマンド&コントロール)サーバーに自動接続されてしまう。あとは攻撃者の思うがまま――。そんなサイバー攻撃は、果たして現実的なものなのだろうか。
 落とし主不明のUSBメモリを拾った人の何割が、自分のPCに挿して中身を覗いてしまうのか。それを確かめるため、米グーグルで不正利用や詐欺対策のグループを統括するエリー・ブルツタイン氏が実験を敢行。8月5日に米国ラスベガスで開催されたセキュリティカンファレンス「Black Hat USA 2016」で、その調査結果を詳細に語った。
グーグルのエリー・ブルツタイン氏。講演タイトルは「駐車場にUSBメモリをばらまく手口って本当に通用するの?(Does dropping USB Drives in parking lots and other places really work?)」というもの

297個のUSBメモリを大学キャンパスにばらまいて、実験開始!

 Black Hat開幕直前、同カンファレンスの会場内ネットワークを構築/運営するニール・ワイラー氏は、あるセキュリティニュースサイトにカンファレンス参加者向けの「セキュリティ対策の心得」記事を寄稿した。同氏が注意喚起したポイントの1つに「会場内にUSBメモリが落ちていたら、速やかに捨てろ」というものがある。それは“罠”である可能性が濃厚だからだ。
 「例年、Black Hat会場では“USBメモリばらまき事件”が発生する。USBメモリが落ちているのを発見しても、迷わず近場のゴミ箱に捨ててほしい。ついでにばらまいている奴を見つけたら、そいつもゴミ箱へぶち込んでおいて!」
「Dark Reading」サイトに掲載された、Black Hat参加者が身を守るためのセキュリティ心得集。ほかにも「ドライブは暗号化しろ」「Wi-FiやBluetoothはすべてオフに」など
 セキュリティに興味のある読者ならば、こうした攻撃手法があるという話は聞いたことがあるだろう。だが、そもそもそんな怪しげなUSBメモリを拾って、自分のPCに挿してしまう人がどれくらいいるのだろうか。そう疑問に思ったグーグルのブルツタイン氏は、実態調査に乗り出した。
 実験に際し、ブルツタイン氏はまず297個のUSBメモリを用意した。これらはすべて同じものではなく、見た目が5種類に分かれている。ラベルも何も付いていないUSBメモリ、鍵束付きのUSBメモリ、鍵束と返却先名札(名前とメールアドレスが書いてある)付きのUSBメモリ、「Confidential(機密)」と書かれたラベル付きUSBメモリ、「Final Exam Solutions(期末試験の解答)」ラベル付きUSBメモリ。この5種類だ。
拾った人が中身を見る確率が変わるかどうかを検証するため、5種類のUSBメモリが用意された
 それぞれのUSBメモリには“それっぽい”HTMLファイルも仕込まれた。たとえば「Confidential」のUSBメモリならば、提案書や特許出願申請書、年度計画書といったファイル名のHTMLファイルが保存されていた。
USBメモリの外観に合った内容のHTMLファイルが仕込まれた
 実は、このHTMLファイルはマルウェアの代用品である。拾った人がHTMLファイルを開くと、そこに埋め込まれた画像が実験用サーバーから自動的に読み込まれる。サーバーのアクセスログを見れば、どのファイルがいつ開かれたのかを正確に確認できる仕組みだ。同時に、開いたWebページはアンケートページにリダイレクトされ、調査の種明かしとアンケート協力のお願いが表示される。
 実験場所は、イリノイ大学アーバナシャンペーン校。大学から許可をもらったブルツタイン氏は、キャンパスの屋外、教室、廊下、駐車場、共用スペースの5カ所に「さりげなく」USBメモリを落として、2日間、様子を見た。
ブルツタイン氏は大学のキャンパス全域にUSBメモリをばらまいた
 実際にUSBメモリを落とした様子も写真で紹介されたが、駐車場の片隅、共有スペースのテーブルの上など、いかにも自然な感じでUSBメモリが落ちている。誰でも思わず拾ってしまいそうだ。
実際にUSBメモリが“落ちている”様子。とても自然だ

実験結果:USBメモリを拾った人の「45%」が中身のファイルをクリック

 297個のUSBメモリをばらまいた実験の結果は、次のとおりだ。カッコ内の数字は、297個全体に占める割合である。
拾われたUSBメモリ個数:290個(98%)
ファイルの開封数:135個(45%)
USBメモリの返却数:54個(19%)
アンケート回答数:62件(21%)
 ブルツタイン氏が“落とした”USBメモリのほぼすべてが誰かに拾われ、そのうち約45%の人がそれをPCに挿してHTMLファイルをクリックしてしまった、という結果だ。しかも、ブルツタイン氏によるこの“攻撃”は、極めて短時間で効果を上げたという。
 「残念なことに、USBメモリをばらまいてから1時間もしないうちに20%もの人がHTMLファイルをクリックしている。最初にファイルがクリックされたのは、ばらまいてから6分も経たないタイミングだ」
実験開始(USBメモリばらまき)からの時間経過と、ファイルをクリックした人の割合。ファイルをクリックした人のうち、最初の1時間でクリックした人が20%を占める
 実は実験開始から24時間経ったころ、掲示板サイト「Reddit」に同大学のIT部門スタッフを名乗る人物が、「怪しいUSBメモリがキャンパス内に落ちているから拾うな」という書き込みをした。しかも、それは同大のマイケル・ベイリー教授(同実験の協力者)による実験だとネタばらしまでされてしまった。そんな予定外のことが起きても、ふたを開けてみれば半数近くの人がHTMLファイルをクリックしてしまったのである。
Redditでネタばらしされ、あわや実験中止かと思われたが……
 USBメモリの種類別に見てみると、返却先の名札が付いたUSBメモリはクリック率が29%と低めだったが、その他の4種類は50%前後のクリック率を記録している。アンケート回答者の68%は、USBメモリ内のHTMLファイルをクリックした理由を「USBメモリを持ち主に返すため」だと回答している。名札から返却先がわかるならば、善意で拾った人はUSBメモリの中身をのぞかずに返却しようとするらしい。
USBメモリの種類別に集計したクリック率。クリック率の高い順に、鍵束付き、「期末試験の解答」、「機密」、ラベルなし、鍵と名札付きのUSBメモリとなった
 一方で、「ファイルの内容に興味があったから」HTMLファイルをクリックした、という回答者は18%にとどまっている。ただし、サーバー側のログから実際にクリックされたファイルを調べてみると、興味本位で開いた人は、本当はもう少し多いように思われる。……だって人間だもの。
 「たとえばラベルなしのUSBメモリでは、拾った人のほとんどが、確実に持ち主を特定できる『履歴書』ファイルではなく『冬休み』と書かれた画像ファイルをクリックしていた(笑)」
前へ 1 2 次へ
この特集の記事
この記事の編集者は以下の記事をオススメしています
.
  • .
    • 最新記事

    ASCII.jp特設サイト

    デル株式会社
    アクセスランキング
    .
    1. 1位
      東京都庁の通信内容がダダ漏れ危機?「badWPAD」脆弱性とは
      .
    2. 2位
      95から10までの全Windowsに影響、「BadTunnel」脆弱性とは何か
      .
    3. 3位
      ランサムウェアが怖ければPCにデータがなければいいじゃない
      .
    4. 4位
      ラジコン好きが講じてドローンメーカーを興したエンルート伊豆社長
      .
    5. 5位
      本日20時、ジサトラ+つばさがバトル!?『ドヤ顔選手権』全日本大会【デジデジ90】
      .
    6. 6位
      IIJ、セキュアメールサービスに「無害化オプション」追加
      .
    7. 7位
      コワーキングスペース「Co-Edo」に常連ITコミュニティが大集合!
      .
    8. 8位
      NTTネオメイト、「AQStage アプリケーション仮想化」を開始
      .
    9. 9位
      製造業「協調型ロボット」期待、電力自由化の世帯タイプ別意向、ほか
      .
    10. 10位
      秋葉原の「クラサバ市場」に最新のコンタクトセンターが現る
      .
    集計期間:2016年 08月10日~08月16日
    .
    ピックアップ
    .
    .
    .
    0%
    10%
    20%
    30%
    40%
    50%
    60%
    70%
    80%
    90%
    100%