米国時間4月8日、Twitterに「シークレットサービスが容疑者の持っていたサムドライブをコンピュータに差し込んだ」というツイートが出回った。
So the Secret Service stuck Zhang’s thumbdrive into their computer. https://t.co/0T6LAfOtEl pic.twitter.com/RSfUgw4I4n
— Chris Wysopal (@WeldPond) 2019年4月8日
これは3月にフロリダにあるトランプ大統領の別荘に侵入しようとした中国国籍の女性、Yujing Zhang容疑者のニュースに関するものだ。この女性は携帯電話4台、ノートパソコン、現金、外付けハードディスクドライブ、隠しカメラの検知器、そしてサムドライブを持っているところをシークレットサービスに逮捕された。
外国政府との関わりが疑われる人物がリゾートに侵入しようとしたという事態の中で、大統領のセキュリティに関する新たな懸念が明らかになった。シークレットサービスがUSBドライブをどう扱ったか。どのような事情があったにせよ、これは大きな問題だ。
マイアミ・ヘラルドは次のように伝えている。
逮捕の当日、Zhang容疑者に事情を聞いたシークレットサービスの特別捜査官、Samuel Ivanovich氏が述べたところによれば、別の捜査官がZhang容疑者の持っていたサムドライブを自分のコンピュータに接続したところ、即座にファイルのインストールが始まった。この種の分析をしているときにかつて遭遇したことのない「きわめて異常な」事態だったという。コンピュータの破壊を防ぐためにこの捜査官はすぐに分析を中止したとIvanovich氏は語っている。分析は継続中だがまだ結論は出ていないと同氏は述べた。
たいしたことではない、と思う人もいるだろうか。しかしUSBメモリは驚くほど簡単に、効果的にマルウェアをインストールすることができるし、コンピュータを破壊することさえできる。2016年にセキュリティ研究者のElie Bursztein氏は、マルウェアがぎっしり詰まったUSBメモリを落としておけば誰かが自分のコンピュータにさしてしまう、これは「効果的な」方法だ、と報告した。接続すればすぐにメモリからマルウェアがインストールされ、その結果感染したデバイスをリモートで監視したり制御したりすることができるようになる。感染をネットワーク中に広げることもできる。コンピュータの内部を物理的に壊してしまうUSBドライブもある。
シークレットサービスの報道官は、デバイスは「スタンドアローン」だったとしているが、詳しくは語っていない。捜査官がなぜパニックになってドライブを「慌てて」引き抜いたのかは依然として不明だ。
セキュリティの専門家はこの問題にすぐに反応した。Rendition Infosecの設立者でNSAのハッカーだったJake Williams氏は、捜査官の行動について「自分のコンピュータを危険にさらし、シークレットサービスのネットワーク全体も危険にさらすおそれがある」と批判している。
「Zhang容疑者が大統領の別荘をターゲットにしていたか、あるいは容疑者が言っていたように本当に招待客だったのかを判断することの難しさが、現場での捜査官の行動に影響を与えたのは確かだろう。シークレットサービスはこうした場面に対処したことがなく、まだ研究中なのだろう」とWilliams氏は述べている。
Williams氏は、疑わしいUSBドライブをフォレンジックに検証するには、ドライブを自動でオペレーティングシステムにマウントしない、孤立しているLinuxベースのコンピュータに接続する方法が最もよいと語っている。
「差し込んだらUSBのフォレンジックイメージを作成して、分析のためにマルウェアを抽出する。マルウェアがLinuxをターゲットにするリスクはごくわずかながらあるが、通常はそういうことはない」とWilliams氏は言う。
Image Credits:Joe Raedle / Getty Images
[原文へ]
(翻訳:Kaori Koyama)