USBは“禁止したつもり”が一番危ない 設定ミスを可視化する新ツール公開陸自USB問題で高まる危機感

USB対策は「禁止設定を入れた」で終わりではない。実際にどのUSB機器が利用できる状態なのかを可視化する新たな検証ツールが公開された。USBを巡る事故やマルウェア感染事案が続く今、設定漏れをどう防ぐべきなのかを解説する。

» 2026年07月13日 14時13分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 陸上自衛隊中部方面総監部で使用されていたUSBメモリからマルウェアが検知された事案を受け、USB機器の利用制御や設定の実効性が改めて問われている。USBメモリの使用を禁止しているつもりでも、本当にその設定が意図通り機能しているのかどうかを確認することは容易ではない。

 こうした中、サイバーディフェンス研究所は2026年7月8日、PCや組み込み機器などのUSBホストが利用可能と判断したUSBデバイスクラスを列挙する調査ツール「CDI USB MAPPER」を開発したと発表した。USBメモリなど利用を禁止したデバイスクラスが実際に使用できないことを確認できる他、意図せず有効になっているUSBクラスの発見や、特定型番のみを許可する設定の検証にも活用できる。

USBホストはどのように利用可否を判断するのか

 開発の背景には、「USBメモリを禁止した設定を第三者に確認してほしい」「業務用PCでキーボードやマウスだけを許可したが、多数のUSB機器を差し替えて検証するのは負担が大きい」「指定した型番以外の機器が接続できないことを確認したい」といった顧客や技術者からの要望があったという。

 CDI USB MAPPERは、さまざまなUSBデバイスのデスクリプタ(USBデバイスの種類や機能を示す構成情報)を返し、USBホストから見れば各種USB機器として振る舞う。ホスト側がどのような応答を返すかを観察することで、どのUSBデバイスクラスの利用を許可したのかを記録する仕組みだ。

 USB機器が接続されると、ホストはUSBデバイスから各種デスクリプタを取得し、その情報とOSやセキュリティポリシーを基に利用可否を判断する。利用を許可した場合は、USBデバイスに対して「SET_CONFIGURATION」リクエストを送信し、Configured状態へ移行した時点で機器が利用可能になる。

 CDI USB MAPPERは、このSET_CONFIGURATIONが送信されたかどうかを判定の中核に据えている。つまり、このリクエストが送られなかったUSBデバイスクラスについては、ホストが利用を許可しなかったものと推定する。

 同研究所によると、市販のUSB機器では接続後からSET_CONFIGURATIONまで継続して通信が実施されることが確認された。一方、専用ドライバーが導入されていない計測機器や、OS側で利用を禁止したUSB機器では途中で通信が停止したという。

 そこでCDI USB MAPPERでは、ホストから新たな要求を受けるたびに待機時間を更新し、10秒以上通信が途絶えた場合は、そのUSBクラスが利用を許可されなかったと推定して記録する方式を採用した。10秒という値はUSB規格で定められたものではなく、開発時の検証では最長でも通信停止は約1秒以内だったことから、十分な余裕を持たせて設定したとしている。処理能力が低い組み込み機器では、判定時間を変更する必要がある可能性もある。

WindowsでUSBメモリ禁止設定を検証

 「Windows」のPCでは、レジストリー「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR」を変更してUSBメモリ(Mass Storage)を利用できない状態に設定し、再起動後に検証を実施した。

 その結果、PCはUSBデバイスからデスクリプタを取得したが、SET_CONFIGURATIONを送信することなく通信が停止した。CDI USB MAPPERはMass Storageを利用不可と判定し、Windows側の設定内容と一致する結果を記録した。同研究所は、この結果から、USB利用制御が設定通り有効になっているかどうかを機械的に検証できることを確認したとしている。

 USB試験分野では「Facedancer」や「Cynthion」といったツールが知られており、CynthionはFPGAを活用した高速解析や中間者機能など高度な解析機能を備える。一方、CDI USB MAPPERはUSBホストがどのUSBデバイスクラスを利用可能と判断したかを確認することに特化した。ハードウェアからソフトウェアまで自社開発することで、判定基準や動作原理を説明しやすくし、試験内容も柔軟に変更できるよう設計したという。

 USB機器を起点としたリスクへの関心が高まっている。USBメモリの利用禁止やデバイス制御を導入する組織はあるが、設定しただけでは十分とは言えない。実際にどのUSBクラスが利用可能になっているのかを検証し、設定漏れや例外設定が存在しないことを継続的に確認する重要性は今後さらに高まりそうだ。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

スポンサーからのお知らせPR

注目のテーマ

その「AIコーディング」は本当に必要か?
Microsoft & Windows最前線2026
4AI by @IT - AIを作り、動かし、守り、生かす
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。