USBは“禁止したつもり”が一番危ない 設定ミスを可視化する新ツール公開:陸自USB問題で高まる危機感
USB対策は「禁止設定を入れた」で終わりではない。実際にどのUSB機器が利用できる状態なのかを可視化する新たな検証ツールが公開された。USBを巡る事故やマルウェア感染事案が続く今、設定漏れをどう防ぐべきなのかを解説する。
陸上自衛隊中部方面総監部で使用されていたUSBメモリからマルウェアが検知された事案を受け、USB機器の利用制御や設定の実効性が改めて問われている。USBメモリの使用を禁止しているつもりでも、本当にその設定が意図通り機能しているのかどうかを確認することは容易ではない。
こうした中、サイバーディフェンス研究所は2026年7月8日、PCや組み込み機器などのUSBホストが利用可能と判断したUSBデバイスクラスを列挙する調査ツール「CDI USB MAPPER」を開発したと発表した。USBメモリなど利用を禁止したデバイスクラスが実際に使用できないことを確認できる他、意図せず有効になっているUSBクラスの発見や、特定型番のみを許可する設定の検証にも活用できる。
USBホストはどのように利用可否を判断するのか
開発の背景には、「USBメモリを禁止した設定を第三者に確認してほしい」「業務用PCでキーボードやマウスだけを許可したが、多数のUSB機器を差し替えて検証するのは負担が大きい」「指定した型番以外の機器が接続できないことを確認したい」といった顧客や技術者からの要望があったという。
CDI USB MAPPERは、さまざまなUSBデバイスのデスクリプタ(USBデバイスの種類や機能を示す構成情報)を返し、USBホストから見れば各種USB機器として振る舞う。ホスト側がどのような応答を返すかを観察することで、どのUSBデバイスクラスの利用を許可したのかを記録する仕組みだ。
USB機器が接続されると、ホストはUSBデバイスから各種デスクリプタを取得し、その情報とOSやセキュリティポリシーを基に利用可否を判断する。利用を許可した場合は、USBデバイスに対して「SET_CONFIGURATION」リクエストを送信し、Configured状態へ移行した時点で機器が利用可能になる。
CDI USB MAPPERは、このSET_CONFIGURATIONが送信されたかどうかを判定の中核に据えている。つまり、このリクエストが送られなかったUSBデバイスクラスについては、ホストが利用を許可しなかったものと推定する。
同研究所によると、市販のUSB機器では接続後からSET_CONFIGURATIONまで継続して通信が実施されることが確認された。一方、専用ドライバーが導入されていない計測機器や、OS側で利用を禁止したUSB機器では途中で通信が停止したという。
そこでCDI USB MAPPERでは、ホストから新たな要求を受けるたびに待機時間を更新し、10秒以上通信が途絶えた場合は、そのUSBクラスが利用を許可されなかったと推定して記録する方式を採用した。10秒という値はUSB規格で定められたものではなく、開発時の検証では最長でも通信停止は約1秒以内だったことから、十分な余裕を持たせて設定したとしている。処理能力が低い組み込み機器では、判定時間を変更する必要がある可能性もある。
WindowsでUSBメモリ禁止設定を検証
「Windows」のPCでは、レジストリー「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR」を変更してUSBメモリ(Mass Storage)を利用できない状態に設定し、再起動後に検証を実施した。
その結果、PCはUSBデバイスからデスクリプタを取得したが、SET_CONFIGURATIONを送信することなく通信が停止した。CDI USB MAPPERはMass Storageを利用不可と判定し、Windows側の設定内容と一致する結果を記録した。同研究所は、この結果から、USB利用制御が設定通り有効になっているかどうかを機械的に検証できることを確認したとしている。
USB試験分野では「Facedancer」や「Cynthion」といったツールが知られており、CynthionはFPGAを活用した高速解析や中間者機能など高度な解析機能を備える。一方、CDI USB MAPPERはUSBホストがどのUSBデバイスクラスを利用可能と判断したかを確認することに特化した。ハードウェアからソフトウェアまで自社開発することで、判定基準や動作原理を説明しやすくし、試験内容も柔軟に変更できるよう設計したという。
USB機器を起点としたリスクへの関心が高まっている。USBメモリの利用禁止やデバイス制御を導入する組織はあるが、設定しただけでは十分とは言えない。実際にどのUSBクラスが利用可能になっているのかを検証し、設定漏れや例外設定が存在しないことを継続的に確認する重要性は今後さらに高まりそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
陸自USBからマルウェア検知 防衛省の運用ルール未徹底が明らかに
陸上自衛隊中部方面総監部で使用されていたUSBメモリからマルウェアが検知されていたことが判明した。防衛省・自衛隊が義務付けているウイルスチェックが徹底されていなかったことにより発覚に遅れが生じたと見られる。
悪用成功率99%、Linuxカーネルに新ゼロデイ「Bad Epoll」が見つかる
成功率は約99%。Linuxカーネルで見つかった新たな権限昇格の脆弱性は、極めて短い競合タイミングにもかかわらず、高い確率でroot権限を奪えることが実証された。さらに、この脆弱性はAndroidにも影響する可能性があるという。
PHP利用者は見逃し厳禁 TLS通信でサービス停止を招くHigh脆弱性を修正
PHPに高危険度の脆弱性が見つかり、修正版が公開された。問題はTLS接続時のエラー処理にあり、特定の環境ではHTTPS通信の失敗をきっかけにサービス停止に発展する恐れがあるという。
KDDIの最大1422万件の情報漏えい事件 その裏には陸自USB問題と同様に中国の影?
KDDIで発生した最大1422万件に及ぶ情報漏えい。その背後には、単なる脆弱性悪用では片付けられない攻撃者の狙いが見え隠れしている。ダークWebやOSINT(公開情報調査)から事件を追跡し、流出データの行方や政府系サイバー攻撃との接点、今後想定されるリスクを専門家とともに解説する。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。