先週Spotifyは、報道関係者に大量のUSBメモリを送りつけ、そこには 「Play me.(再生してください)」と書かれていた。
記者がUSBメモリを受け取るのは珍しいことではない。テック系カンファレンスなどでビデオなど配布が困難な大きいファイルを配布するために、企業がUSBメモリを配ることはよくある。
しかし、基礎的なセキュリティー訓練(TechCrunchでも行っている)を受けた人なら、十分な注意を払わずに、USBメモリを差し込んではいけないことを知っている。
心配しながらもひるむことなく、われわれは予備のコンピューターで動く使い捨てバージョンのUbuntu Linux(CDから起動)でUSBメモリの内容を安全に検査した。調べた結果そのUSBに問題はなかった。
USBメモリの中にはオーディオファイルが1つだけあり、再生すると 「This is Alex Goldman, and you’ve just been hacked(私はアレックス・ゴールドマン、あなたはたった今ハックされた)」という音声が流れた。
そのUSBは、単なるSpotifyポッドキャストのプロモーションだった。もちろん、そのために送られたものだったためだ。
元NSAハッカーでRendition Infosecのファウンダー、Jake Williams(ジェイク・ウィリアムズ)氏は、記者たちにUSBメモリを挿させようとしたことを「驚くべき鈍感」な行為であると指摘した。
USBメモリは本質的に悪質のあるものではないが、発電所や核濃縮施設などのインターネット接続のない場所でのハッキングに使われることでも知られている。USBメモリに入れられたマルウェアが標的のパソコンにバックドアをインストールすることがある、とウィリアムズ氏は言う。
「USBメモリ内のファイルが攻撃性のあるコンテンツを含む」場合もあり、開くとパソコン上のバグを悪用する恐れがあると同氏は言った。
Spotifyの広報担当者から返答はなかった。代わりに、本誌の質問をSpotifyと契約している広報会社であるSunshine Sachs(サンシャインサックス)に転送し、同社からは「記者は全員このUSBメモリが送られることを予告するメールを受け取っている」という以上のコメントはなかった。
正体不明のUSBメモリを挿入することは、みんなが想像している以上に大きい問題だ。Googleのセキュリティー研究者、Elie Bursztein(エリー・ブルステイン)氏は自身で行った調査の結果、およそ半数の人々が不明のUSBメモリを自分のパソコンに差し込むことを発見した。
今年、農業機械メーカー最大手のJohn Deere(ディア・アンド・カンパニー)は、配布したプロモーション用USBメモリがパソコンのキーボードをハイジャックしたことで大騒動を起こした。USBメモリが挿入された時に自動的に実行されるコードが仕込まれていて、ブラウザーを起動し自動的に会社のウェブサイトのURLをタイプした。本質的に悪質なものではなかったものの、多くのマルウェアが同様の方法を用いていたことから、同社のやり方は厳しく批判された。
USBメモリが起こす可能性のある脅威を踏まえ、国土安全保障省のサイバーセキュリティー部門であるCISAは先月、USBメモリのセキュリティーに関する指針を改定した。記者は一部の国々の政府の標的になることが頻繁にあり、 標的型サイバーアタックもそのひとつだ。
警告:USBメモリの扱いには十分な注意を怠らないこと。信用できる時以外、決して挿入しないこと。
関連記事:シークレットサービスであってもUSBメモリをやみくもにコンピュータに接続してはいけない
[原文へ]
(翻訳:Nob Takahashi / facebook )