米連邦捜査局(FBI)は、サイバー犯罪集団がUSBメモリーを企業に郵送し、受け取った企業がそれをPCに接続すると、ネットワークにランサムウェアがインストールされる攻撃が米国で進行中であることを明らかにした。
このUSBメモリーを使った攻撃の手口は、「BadUSB」と呼ばれるものだ。問題のUSBメモリーは、米国の郵便公社と大手貨物運送会社であるUnited Parcel Serviceを使って送付されている。中身にはいくつかの種類があり、そのうちの1種類では、USBメモリーに新型コロナウイルスに関する情報が入っていると記された、米保健福祉省からのものを装った送付状が同封されている。また、Amazonからのものに見せかけて、ギフトカードとUSBメモリーが入った小包が送りつけられてくるケースもある。
BadUSB攻撃は、USB規格の汎用性を悪用した攻撃手法だ。この攻撃では、USBデバイスのファームウェアを書き換えることによって、デバイスをキーボードだと認識させて自動的にキー入力を行い、コンピューターにコマンドを実行させたり、OSが起動する前にマルウェアをインストールしたり、ネットワークカードに偽装してトラフィックをリダイレクトしたりすることができる。
BadUSB攻撃はそれほどよく見られるものではないが、2020年には、サイバー犯罪集団がUSBメモリーと偽のギフトカードを送りつけ、米国の家電量販店を装って、USBメモリーにギフトカードで引き換えられる商品のリストが入っていると書かれたメッセージを同封する攻撃を実行したことがある。2020年の攻撃は「FIN7」と呼ばれる組織によるものだったが、今回の攻撃もやはりFIN7によるものだと考えられている。
The Recordの記事によれば、FBIは、今回のBadUSB攻撃で送付されているのは「LILYGO」ブランドのデバイスがだと警告している。USBメモリーは2021年8月から小包の形で運輸業界や保険業界の企業に送付されており、11月からは防衛産業の企業も標的になっている。
このUSBメモリーは、PCに接続するとキーボードとして認識され、標的のPCにキーストロークを入力し、マルウェアをインストールするようになっていた。被害を受けたPCには、PCの悪用や、ネットワーク上のラテラルムーブメント(水平移動)、マルウェアの追加インストールなどが可能になる多数の攻撃ツールがインストールされていた。
これらのツールは、BlackBatterやREvilをはじめとする複数のランサムウェアを導入するために使われていた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
