BadUSB攻撃:USBケーブルがキーボードに変身する方法
バッグの中で最も危険なものは、最も信用していないケーブルかもしれません。USBケーブル、予備のフラッシュドライブ、会議室に誰かが置き忘れた「無料」の充電器。どれも無害に見えます。しかし、どれか1つを差し込むと、それがBadUSBデバイスに改造されている場合、コンピューターは最初の0.5秒で奇妙な動作をします。ケーブルをキーボードとして認識し、入力を開始させてしまうのです。
これがまさに罠なのです。BadUSBはスキャンで検出できるウイルスではありません。USBがデフォルトで許可されている機能を悪用するサイバー攻撃であり、サイバーセキュリティにおける最も巧妙な攻撃手法の一つです。そして、仮想通貨を保有している人にとって、この静かなタイピングは、知らず知らずのうちにウォレットを失う原因になりかねません。ここでは、その仕組み、阻止が困難な理由、そして仮想通貨ユーザーがなぜ攻撃の標的になりやすいのかを解説します。
BadUSB攻撃とは何か、そしてなぜ危険なのか
3ドルのUSBメモリからウェブカメラまで、すべてのUSBデバイスは、独自のファームウェアを搭載した小型マイクロコントローラで動作します。このファームウェアは、コンピュータに対して「私はキーボードです」または「私はストレージです」と認識させる役割を担っています。BadUSB攻撃は、このファームウェアを書き換えることで、デバイスが誤った認識を持つようにします。単なるストレージだと思っていたフラッシュドライブは、ひっそりとキーボードやネットワークカードとして認識され、オペレーティングシステムはそれを鵜呑みにしてしまいます。何の警告も、プロンプトも表示されません。
なぜそれがそんなに重要なのでしょうか?それは、コンピュータがキーボードをどのように扱うかという点にあります。キーボードはヒューマンインターフェースデバイス(HID)であり、すべてのOSはHID入力を完全に信頼しています。つまり、実際に人が座って、実際にキーを押していると想定しているのです。そのため、キーボードになりすました悪意のあるUSBデバイスは、その信頼をすべて引き継ぎ、機械の速度でコマンドを入力し始めます。
2014年の警鐘
このアイデアが世に知られるようになったのは、2014年のBlack Hat USAで、SR Labsの研究者であるKarsten Nohl氏とJakob Lell氏がステージに上がり、そのアイデアを披露した時だった。彼らの講演のタイトルは「BadUSB ― 悪に染まるアクセサリ」という素晴らしいものだった。一見普通のドライブに、キーボードとして動作するように再プログラムすることで、ユーザーには何も気づかれないうちにマシンを乗っ取ることができるのだ。数週間後、Adam Caudill氏とBrandon Wilson氏がDerbyConで動作するエクスプロイトコードを公開した。これが転換点となった。BadUSBは研究室のトリックではなくなり、週末に時間さえあれば誰でも作れるものになったのだ。
なぜパッチを当てるだけではダメなのか
セキュリティ担当者が未だに懸念しているのは、まさにこの点です。ほとんどのUSBコントローラーは、コード署名も認証も一切行わずに新しいファームウェアを受け入れてしまいます。アップデートが信頼できる相手から提供されたものかどうかを確認する仕組みが全くないのです。つまり、脆弱性はパッチを適用できるようなバグのあるプログラムにあるのではなく、USBの信頼モデルそのものに潜んでいるのです。
アンチウイルスソフトはファイルをスキャンしますが、BadUSBはファイルを必要としません。悪意のある動作はファームウェアに組み込まれており、攻撃自体は単なるキーストロークです。ディスク上に何も記録されないため、検出されることはありません。そのため、完全にパッチが適用され、万全のセキュリティ対策が施されたノートパソコンでも、たった200ドルのケーブルで感染してしまうのです。
BadUSB攻撃が数秒でどのように展開されるか
その一連の流れを想像してみてください。ケーブルを差し込むと、ケーブルが認識され、コンピューターにキーボードだと伝えられます。そして1、2秒以内に、オペレーターが事前にロードしたデータに基づいて、キーボードからキーストロークが次々と打ち込まれます。人間がこれほど速くタイピングできるはずがありません。誰もこれに匹敵する者はいないでしょう。
典型的なペイロードは、通常は目にすることのない場所に隠されたコマンドウィンドウまたはPowerShellプロンプトを開き、インターネットからスクリプトを取得して実行します。入力作業はケーブルが行い、マルウェアはインターネットから供給されます。画面に目をやった時には、すでに処理は完了しています。
たった2秒のタイピングで、大きな成果が得られます。ターミナルを開き、セキュリティプロンプトを終了させ、リモートアクセスツールをダウンロードしてスタートアップに組み込み、再起動後も実行できるようにします。Windowsでは、PowerShellの1行だけで、攻撃者が所有するサーバーからコードを取得して実行できます。しかも、このスクリプトは実行時間を遅らせることができます。特定の時間帯まで待機したり、画面のロックが解除されたときだけ実行したりできるので、キー入力の連続は、あなたが既に行っていた作業に紛れ込みます。ファイルとしてではなく、入力として受信されるため、アンチウイルスソフトも反応しません。
なぜこれが通用するのか?理由は簡単だ。ソフトウェアをロックダウンしたり、インストールを制限したり、市販のあらゆるスキャナーを実行したりすることはできる。しかし、キーボードはあなた自身であると想定されている。このたった一つの前提こそが全てであり、BadUSBはまさにその前提を覆す存在なのだ。
BadUSBツール(購入可能):ラバーダッキーからフリッパーまで
長年、ここはまるでスパイ映画の世界のようだった。しかし、今はもう違う。市販の機器を使えば、箱から出してすぐにキーストローク注入が可能になり、価格も驚くほど普通だ。
Hak5のUSB Rubber Duckyは定番中の定番。フラッシュドライブのような形状のスティックで、DuckyScriptというシンプルな言語で記述されており、まさにこの用途のために作られています。話題を呼んだポケットサイズのマルチツール、Flipper ZeroにはBadUSB機能が内蔵されており、価格は約169ドルです。そして、最も注意すべきはO.MG Cableでしょう。これはドライブではなく、ただのケーブルなのです。
O.MGケーブルは、見た目は通常のAppleケーブルやUSB-Cケーブルと全く同じです。内部にはワイヤレスチップと、Wi-Fi経由でアクセスできる小さなウェブインターフェースが隠されています。Eliteバージョンは毎秒最大890回のキーストロークを発射し、最大65万回のキーロガーを内蔵しています。使用していないときは、他のケーブルと同様にスマートフォンを充電し、データを転送します。誰も気づかないでしょう。それがこのケーブルの真髄なのです。
| 道具 | フォームファクター | 噴射速度 | ワイヤレス制御 | おおよその価格 |
|---|---|---|---|---|
| USBラバーダッキー | フラッシュドライブスティック | 高速(スクリプト化) | いいえ | 約60ドル |
| フリッパーゼロ | ポケットマルチツール | 高速(スクリプト化) | 限定 | 約169ドル |
| O.MGケーブル(エリート) | 見た目は普通のケーブル | 最大890キー/秒 | はい(Wi-Fi) | 約200ドル |
分かりやすく言うと、過去に情報機関が開発したとされる同等のインプラントは、数万ドルもの費用がかかっていた。O.MGケーブルは、高級ディナー1回分の値段で、その機能のほとんどを再現できる。参入障壁は事実上消滅したと言えるだろう。
仮想通貨保有者がBadUSBの主要な標的となる理由
ほとんどの記事は企業のIT部門の視点で終わっています。しかし、私は彼らが触れていない領域に踏み込みたいのです。なぜなら、暗号資産を保有している場合、脅威モデルは異なり、正直言って少し深刻だからです。
クリップボードの交換
BadUSB攻撃は、ウォレットをハッキングする必要はありません。必要なのは、クリップボードの内容を変更することだけです。注入されたペイロードは、数秒でクリップボードハイジャッカーをドロップします。その後、資金を送金するために暗号通貨アドレスをコピーするたびに、マルウェアは攻撃者のアドレスを密かに置き換えます。あなたは正しいように見えるアドレスを貼り付け、確認します。すると、お金は見知らぬ人のウォレットに送金されてしまうのです。
これは理論上の話ではありません。あるクリップボードハイジャッカーは、200万を超えるビットコインアドレスを監視し、攻撃者のウォレットをその場で入れ替えていたことが発覚しました。2024年にGitVenomというニックネームで呼ばれたキャンペーンでは、偽のコードリポジトリがアドレススワッピングマルウェアを配布し、約48万5000ドル相当のビットコインを盗み出しました。この手口が厄介なのは、暗号通貨アドレスが長くランダムな文字列で、誰も実際に文字ごとに読み取らないからです。最初の4文字を確認し、最後の4文字を確認し、一致したら送信ボタンを押します。スワッピングは、まさに誰も見ない真ん中に隠されています。そして、そのリスクは莫大です。Chainalysis によると、2024年には約22億ドル相当の暗号通貨が盗まれ、そのうち43.8%は秘密鍵の漏洩が原因でした。
ハードウェアウォレットはあなたを救ってくれるのか?
概ねその通りです。その理由を明確にしておくことが重要です。LedgerやTrezorは、シードフレーズをセキュアエレメント内にロックします。秘密鍵はそこで生成され、決して外部に漏れることはありません。署名済みのトランザクションのみがUSBケーブルを介して送信されます。そのため、悪意のあるUSBデバイスがキーストロークを乱発しても、動作中のハードウェアウォレットからシードフレーズを抜き取るようなコマンドを入力することはできません。このアーキテクチャ全体が、まさにそのような行為を阻止するように設計されているのです。
しかし、実際には2つの大きな欠陥がある。1つ目はソーシャルエンジニアリングだ。2021年、詐欺師たちは、2020年のLedgerのデータ漏洩で自宅住所が流出した人々に偽のLedgerデバイスを郵送した。CoinDesk が報じたように、偽造ハードウェアには、被害者にバンドルされたアプリに24単語のシードフレーズを入力するように指示するメモが同梱されていた。エクスプロイトは必要なく、説得力のあるパッケージと少しの恐怖心だけで済む。2つ目の欠陥はサプライチェーンだ。Krakenの研究者たちは、ハードウェアウォレットのUSBを処理するチップ(セキュアエレメントとは別のチップ)が、デバイスが購入者の手に渡る前に改ざんされる可能性があることを示した。
教訓は「ハードウェアウォレットは役に立たない」ということではありません。ハードウェアウォレットはまさに最適なツールです。教訓は、弱点があなた自身にあるということです。つまり、あなたが何をコピーし、何を入力し、そもそもあなたのデバイスがどこから来たのか、ということです。
USBの脅威は実際どれほど蔓延しているのか?
BadUSBを「興味深いが稀な脅威」に分類したくなるかもしれない。しかし、少なくともより広範なUSBの脅威という観点から見ると、データはそうではないことを示している。
セキュリティ企業のハネウェルは、産業施設で発見されたマルウェアを追跡調査している。2024年の報告書によると、 ハネウェルが検出したマルウェアの51%はUSB経由で拡散するように設計されており、2019年のわずか9%から大幅に増加している。さらに、そのUSBマルウェアのうち82%は産業操業を妨害する可能性があるという。USBはもはや攻撃対象ではなくなったわけではなく、むしろ攻撃対象として拡大し続けている。
そして、人間の心理は最も悪用しやすい部分です。ある有名な研究では、 イリノイ大学の研究者たちがキャンパス内に297個のUSBドライブをばらまきました。人々はそれらを拾い上げ、数分以内には最初の1つを差し込みました。好奇心は攻撃者にとって何の代償も伴わないのです。
| 発見 | 形 | ソース | 年 |
|---|---|---|---|
| USB経由で拡散するOTサイトのマルウェア | 51%(2019年の9%から上昇) | ハネウェル | 2024 |
| USBマルウェアは業務を妨害する可能性がある | 82% | ハネウェル | 2024 |
| 暗号資産が盗難、秘密鍵漏洩による情報共有 | 22億ドル / 43.8% | チェイナリシス | 2024 |
| 落として差し込まれたUSBドライブ | 約半分、数分以内に | イリノイ大学 | 2016 |
ここで一つ注意しておきたい点があります。FBIとFCCは2023年に、空港やショッピングモールの充電ステーションにおける「電力窃盗」について一般向けに警告を発しました。これらの警告は予防的なものであり、公に確認された大規模な事例は今のところありません。しかし、彼らが指摘している弱点、つまりデータ転送も可能な充電ポートは、まさにBadUSBが悪用している点です。問題は、すべての空港に罠が仕掛けられたケーブルが待ち構えているということではなく、同じUSBポートが同じピンで電力とデータを伝送しているため、検査できないポートは完全に信頼できないということです。
BadUSB攻撃を防ぎ、暗号通貨を保護する方法
朗報です。BadUSB攻撃の防止策は、ほとんどが安価で、行動を変えるだけで済みます。高価なソフトウェアは必要なく、新しい習慣を身につけるだけで十分です。
- 自分で購入したものでない、あるいは完全に信頼できないUSB機器やケーブルは絶対に接続しないでください。会議で配布されたもの、駐車場で見つけたドライブ、貸し出し用のケーブルなどは、危険なものです。見知らぬ人の注射針と同じように扱ってください。
- 公共の場所で充電する際は、USBデータブロッカー(「USBコンドーム」とも呼ばれる)を持ち歩きましょう。これはデータピンを物理的に切断し、電力のみを通過させることで、USBポートを介した不正なデータ転送(ジュースジャッキング)やキーストロークの挿入を防ぎます。
- 特に仮想通貨に関しては、承認する前に必ずハードウェアウォレットの画面で受取アドレス全体を確認してください。この習慣を身につけることで、クリップボードのアドレスのすり替えを防ぐことができます。なぜなら、信頼できるデバイス上のアドレスは、マルウェアが紛れ込ませたアドレスと一致しないからです。
- ハードウェアウォレットは必ずメーカーから直接購入し、第三者の販売業者や見知らぬ人からは絶対に購入しないでください。また、予告なしに突然現れたデバイスは決して信用しないでください。
- エンドポイント側では、USBデバイス制御、HIDホワイトリスト、エンドポイント管理ツールなどによって、認識されないキーボードの接続を完全に阻止できます。個人用デバイスでは、Appleの「アクセサリの接続を許可しますか?」というプロンプトや、Androidのロック中はUSBをオフにする設定などによって、同様の対策が講じられています。
これらはどれも特別なことではない。見知らぬ人が路上で差し出した食べ物を食べない、というのと全く同じことだ。
BadUSBとUSBセキュリティに関する要点
BadUSBが不安を掻き立てるのは、まさにそのありふれた性質ゆえだ。ゼロデイ脆弱性も、天才的な発想も必要なく、ただケーブルはただのケーブルであり、キーボードはただのユーザーであるという、たった5ドルの前提に基づいている。その前提は間違っており、それを覆すための機器は、今や充電中のスマートフォンとほぼ同じくらいの値段で手に入る。
仮想通貨保有者にとって、この問題を解決するには、過剰な警戒心ではなく、規律を守ることが必要です。アドレスはパソコンではなく、デバイスの画面で確認しましょう。ハードウェアは直接購入しましょう。そして、次に誰かがあなたが持っていないケーブルを差し出してきたら、それが何を入力しているのか考えてみてください。今日、あなたは何も考えずに何を接続していたでしょうか?
