みなさん、USBメモリには気をつけましょう!
二人のハッカーが、USBのファームウェアに含まれている脆弱性を利用したマルウェアのコードを公開しました。
問題のマルウェアはいわゆるBadUSB攻撃とよばれるものにとてもよく似ています。BadUSBは検出不可能なマルウェアで、セキュリティ研究者のKarsten NohlさんとJakob LellさんがUSBのファームウェアを解析して作りました。BadUSBはUSBデバイスからインストールされ、PCを完全に乗っ取ったり、知らない間にメモリースティックからインストールされたファイルを変えたり、ユーザがインターネットを通してやりとりしているデータをリダイレクトすることさえできます。
こういった危険が広がることを懸念して、NohlさんとLellさんはBadUSBを公開しないことにしました。しかし、研究者のAdam CaudillさんとBrandon Wilsonさんが同じようにしてBadUSBを作り出し、そのコードをGitHubにアップロードしました。そのため、誰でもBadUSBをダウンロードすることができます。これはとても危険なことのようですが、実は良いこともあるのです。
先週行われたハッカーのカンファレンスでCaudillさんは次のように述べています。
我々は、BadUSBに関するものはすべて公開されるべきだと考えています。隠すべきではありません。Nohl氏とLell氏がBadUSBを公開しなかったことが公開した大きな動機です。脆弱性があることを示したいなら、その証拠を提示し、人々がその脆弱性に対抗できるようにする必要があります。
BadUSBが公開された現在、USBメーカーにはこの脆弱性を修正する義務があります。しかし、簡単なことではありません。なぜなら、7月に行われたセキュリティカンファレンスBlack Hatで、NohlさんがBadUSBの大部分は修正不可能であるだと言ったからです。誰もがBadUSBのクローンを手にできる今、この脆弱性を修正するのは急務です。修正されるまでは、USBデバイスをPCに挿す際は注意しましょう。
image by: Shutterstock
source: Wired
Adam Clark Estes - Gizmodo US[原文]
(谷垣友喜)
