Spotifyは謎のUSBメモリを報道陣に送るべきではなかった

先週Spotifyは、報道関係者に大量のUSBメモリを送りつけ、そこには 「Play me.(再生してください)」と書かれていた。

記者がUSBメモリを受け取るのは珍しいことではない。テック系カンファレンスなどでビデオなど配布が困難な大きいファイルを配布するために、企業がUSBメモリを配ることはよくある。

しかし、基礎的なセキュリティー訓練(TechCrunchでも行っている)を受けた人なら、十分な注意を払わずに、USBメモリを差し込んではいけないことを知っている。
心配しながらもひるむことなく、われわれは予備のコンピューターで動く使い捨てバージョンのUbuntu Linux(CDから起動)でUSBメモリの内容を安全に検査した。調べた結果そのUSBに問題はなかった。

USBメモリの中にはオーディオファイルが1つだけあり、再生すると 「This is Alex Goldman, and you’ve just been hacked(私はアレックス・ゴールドマン、あなたはたった今ハックされた)」という音声が流れた。

そのUSBは、単なるSpotifyポッドキャストのプロモーションだった。もちろん、そのために送られたものだったためだ。

Spotifyが記者団に送付したUSBメモリ(画像:TechCrunch)

元NSAハッカーでRendition Infosecのファウンダー、Jake Williams(ジェイク・ウィリアムズ)氏は、記者たちにUSBメモリを挿させようとしたことを「驚くべき鈍感」な行為であると指摘した。

USBメモリは本質的に悪質のあるものではないが、発電所核濃縮施設などのインターネット接続のない場所でのハッキングに使われることでも知られている。USBメモリに入れられたマルウェアが標的のパソコンにバックドアをインストールすることがある、とウィリアムズ氏は言う。

「USBメモリ内のファイルが攻撃性のあるコンテンツを含む」場合もあり、開くとパソコン上のバグを悪用する恐れがあると同氏は言った。

Spotifyの広報担当者から返答はなかった。代わりに、本誌の質問をSpotifyと契約している広報会社であるSunshine Sachs(サンシャインサックス)に転送し、同社からは「記者は全員このUSBメモリが送られることを予告するメールを受け取っている」という以上のコメントはなかった。

正体不明のUSBメモリを挿入することは、みんなが想像している以上に大きい問題だ。Googleのセキュリティー研究者、Elie Bursztein(エリー・ブルステイン)氏は自身で行った調査の結果、およそ半数の人々が不明のUSBメモリを自分のパソコンに差し込むことを発見した。

今年、農業機械メーカー最大手のJohn Deere(ディア・アンド・カンパニー)は、配布したプロモーション用USBメモリがパソコンのキーボードをハイジャックしたことで大騒動を起こした。USBメモリが挿入された時に自動的に実行されるコードが仕込まれていて、ブラウザーを起動し自動的に会社のウェブサイトのURLをタイプした。本質的に悪質なものではなかったものの、多くのマルウェアが同様の方法を用いていたことから、同社のやり方は厳しく批判された。

USBメモリが起こす可能性のある脅威を踏まえ、国土安全保障省のサイバーセキュリティー部門であるCISAは先月、USBメモリのセキュリティーに関する指針を改定した。記者は一部の国々の政府の標的になることが頻繁にあり、 標的型サイバーアタックもそのひとつだ。

警告:USBメモリの扱いには十分な注意を怠らないこと。信用できる時以外、決して挿入しないこと。

関連記事:シークレットサービスであってもUSBメモリをやみくもにコンピュータに接続してはいけない

[原文へ]

(翻訳:Nob Takahashi / facebook

シークレットサービスであってもUSBメモリをやみくもにコンピュータに接続してはいけない

米国時間4月8日、Twitterに「シークレットサービスが容疑者の持っていたサムドライブをコンピュータに差し込んだ」というツイートが出回った

これは3月にフロリダにあるトランプ大統領の別荘に侵入しようとした中国国籍の女性、Yujing Zhang容疑者のニュースに関するものだ。この女性は携帯電話4台、ノートパソコン、現金、外付けハードディスクドライブ、隠しカメラの検知器、そしてサムドライブを持っているところをシークレットサービスに逮捕された。

外国政府との関わりが疑われる人物がリゾートに侵入しようとしたという事態の中で、大統領のセキュリティに関する新たな懸念が明らかになった。シークレットサービスがUSBドライブをどう扱ったか。どのような事情があったにせよ、これは大きな問題だ。

マイアミ・ヘラルドは次のように伝えている。

逮捕の当日、Zhang容疑者に事情を聞いたシークレットサービスの特別捜査官、Samuel Ivanovich氏が述べたところによれば、別の捜査官がZhang容疑者の持っていたサムドライブを自分のコンピュータに接続したところ、即座にファイルのインストールが始まった。この種の分析をしているときにかつて遭遇したことのない「きわめて異常な」事態だったという。コンピュータの破壊を防ぐためにこの捜査官はすぐに分析を中止したとIvanovich氏は語っている。分析は継続中だがまだ結論は出ていないと同氏は述べた。

たいしたことではない、と思う人もいるだろうか。しかしUSBメモリは驚くほど簡単に、効果的にマルウェアをインストールすることができるし、コンピュータを破壊することさえできる。2016年にセキュリティ研究者のElie Bursztein氏は、マルウェアがぎっしり詰まったUSBメモリを落としておけば誰かが自分のコンピュータにさしてしまう、これは「効果的な」方法だ、と報告した。接続すればすぐにメモリからマルウェアがインストールされ、その結果感染したデバイスをリモートで監視したり制御したりすることができるようになる。感染をネットワーク中に広げることもできる。コンピュータの内部を物理的に壊してしまうUSBドライブもある。

シークレットサービスの報道官は、デバイスは「スタンドアローン」だったとしているが、詳しくは語っていない。捜査官がなぜパニックになってドライブを「慌てて」引き抜いたのかは依然として不明だ。

セキュリティの専門家はこの問題にすぐに反応した。Rendition Infosecの設立者でNSAのハッカーだったJake Williams氏は、捜査官の行動について「自分のコンピュータを危険にさらし、シークレットサービスのネットワーク全体も危険にさらすおそれがある」と批判している。

「Zhang容疑者が大統領の別荘をターゲットにしていたか、あるいは容疑者が言っていたように本当に招待客だったのかを判断することの難しさが、現場での捜査官の行動に影響を与えたのは確かだろう。シークレットサービスはこうした場面に対処したことがなく、まだ研究中なのだろう」とWilliams氏は述べている。

Williams氏は、疑わしいUSBドライブをフォレンジックに検証するには、ドライブを自動でオペレーティングシステムにマウントしない、孤立しているLinuxベースのコンピュータに接続する方法が最もよいと語っている。

「差し込んだらUSBのフォレンジックイメージを作成して、分析のためにマルウェアを抽出する。マルウェアがLinuxをターゲットにするリスクはごくわずかながらあるが、通常はそういうことはない」とWilliams氏は言う。

Image Credits:Joe Raedle / Getty Images

[原文へ]

(翻訳:Kaori Koyama)