みなさん、USBメモリには気をつけましょう！

二人のハッカーが、USBのファームウェアに含まれている脆弱性を利用したマルウェアのコードを公開しました。

問題のマルウェアはいわゆるBadUSB攻撃とよばれるものにとてもよく似ています。BadUSBは検出不可能なマルウェアで、セキュリティ研究者のKarsten NohlさんとJakob LellさんがUSBのファームウェアを解析して作りました。BadUSBはUSBデバイスからインストールされ、PCを完全に乗っ取ったり、知らない間にメモリースティックからインストールされたファイルを変えたり、ユーザがインターネットを通してやりとりしているデータをリダイレクトすることさえできます。

こういった危険が広がることを懸念して、NohlさんとLellさんはBadUSBを公開しないことにしました。しかし、研究者のAdam CaudillさんとBrandon Wilsonさんが同じようにしてBadUSBを作り出し、そのコードをGitHubにアップロードしました。そのため、誰でもBadUSBをダウンロードすることができます。これはとても危険なことのようですが、実は良いこともあるのです。

先週行われたハッカーのカンファレンスでCaudillさんは次のように述べています。

我々は、BadUSBに関するものはすべて公開されるべきだと考えています。隠すべきではありません。Nohl氏とLell氏がBadUSBを公開しなかったことが公開した大きな動機です。脆弱性があることを示したいなら、その証拠を提示し、人々がその脆弱性に対抗できるようにする必要があります。

BadUSBが公開された現在、USBメーカーにはこの脆弱性を修正する義務があります。しかし、簡単なことではありません。なぜなら、7月に行われたセキュリティカンファレンスBlack Hatで、NohlさんがBadUSBの大部分は修正不可能であるだと言ったからです。誰もがBadUSBのクローンを手にできる今、この脆弱性を修正するのは急務です。修正されるまでは、USBデバイスをPCに挿す際は注意しましょう。

image by: Shutterstock

source: Wired

Adam Clark Estes - Gizmodo US［原文］
（谷垣友喜）