ESETは5月6日(現地時間)、「The hacker’s toolkit: 4 gadgets that could signal security trouble」において、セキュリティ機能を有するガジェットの危険性について伝えた。これらガジェットはセキュリティテストを支援するツールとして有効だが、同時に攻撃にも悪用できるとして詳細を解説している。

The hacker’s toolkit: 4 gadgets that could signal security trouble

○諸刃の剣となる4つのガジェット

ESETは脅威になりうるガジェットとして、以下4製品を挙げて詳細を解説している。

○USB RUBBER DUCKYとBASH BUNNY

USB Rubber DuckyとBash Bunnyの2製品はいずれもHak5の製品で、USB接続のペネトレーションテストツール。

USB RUBBER DUCKYの製品画像 引用:Hak5

USB RUBBER DUCKYは、USBキーボードやUSBマウスなどのヒューマンインタフェースデバイス(HID: Human Interface Device)の動作をシミュレートするツール。USBポートに接続するとシステムからはUSBキーボードやUSBマウスとして認識され、事前に登録されたキーボード操作を自動的に開始する機能を持つ。攻撃者はこのデバイスを用いることで、コマンドプロンプトの起動や悪意のあるコードを自動的に実行できる。

BASH BUNNYもUSB RUBBER DUCKYと同等の機能を持ち、HIDのシミュレートが可能。また、管理者権限への昇格機能が追加されており、より危険性が高いと評価されている。

○Flipper Zero

Flipper Zeroはオープンソースのポータブル・マルチツール。さまざまな無線プロトコル、アクセス・コントロール・システム、その他ハードウェアを分析・操作できる。2024年3月にはFlipper Zeroを使用してTeslaアカウントを侵害し、車のロック解除に加えてエンジンを始動できる攻撃手法が発見されたと報じられている(参考:「Teslaアカウントを盗んで車のロック解除とエンジン始動が行える攻撃手法が発見 | TECH+(テックプラス)」)。

Flipper Zeroのホームページ画像

○O.MGケーブル

O.MGケーブルは、X(旧Twitter)にてMGを名乗るセキュリティ研究者が開発したUSBケーブル。このケーブルは通常のUSBケーブルと同じ外観だが多数の機能が組み込まれており、USB周辺機器の攻撃検知テストや訓練に活用できると宣伝されている。また、Wi-Fiアクセスポイントとしての機能を持ち、リモートからWebを介して制御可能とされる。

O.MGケーブルの例 引用:Hak5

○対策

ESETはこれらガジェットが攻撃に悪用されたという報告は確認していないと説明。しかしながら、潜在的な脅威は存在しており、企業や組織には防衛策の構築が望まれている。ESETはこのような脅威に対抗するために、次のような防衛策の実施を推奨している。

USBドライブや周辺機器の使用を制限するポリシーを適用する

USBポートを絶縁性接着剤で埋めるなど、物理的なセキュリティ対策を導入する

従業員教育を定期的に開催し、USBデバイスの危険性について教育する

不正なガジェットによる侵害を防止するため、デバイスの接続許可を設定できるセキュリティソリューションを導入する

システムの自動実行と自動再生機能を無効にする

必要に応じてUSBデーターブロッカーを活用する

近年はマイコンの性能が向上し、また個人でも容易に入手できるため、ある程度の工作技術とソフトウェア開発技術を持つ技術者であれば、同様のガジェットを自作することができる。そのため、企業や組織には市販されているガジェットだけではなく、未知のガジェットを含めたさまざまな攻撃への防衛策の構築が望まれている。