端末間のデータやりとりで最も使われていると言っても過言ではないUSB接続に、セキュリティ上の重大な欠陥が発見されました。悪性のコードを利用して、接続するだけでPCを完全に乗っ取ることができ、しかもUSBの設計そのものに問題があってチェックの仕様が無いとのことです。今後は、これまで以上にUSB接続に関するセキュリティ基準を厳しくしていく必要がありそうです。

そもそもUSBって何？

USBとはユニバーサル・シリアル・バスの略称で、説明するまでも無いかもしれませんが、主にPC・スマホとその周辺機器を接続するための接続規格です。データのやりとり以外にも、マウスやキーボードの充電など様々な用途で使われています。

接続するだけでPCを完全に乗っ取られてしまう

今回見つかった欠陥の内容はかなり深刻です。接続するだけでPCを完全に乗っ取ることができ、しかもUSBの設計自体に問題があり、チェックの仕様が無いとのことです。

具体的には「BadUSB」と呼ばれる悪性コードを利用して、システムインストールやデータ転送、インターネットトラフィックのリダイレクトなど、様々な攻撃を実施する事ができるとのこと。

USBコネクタ自体のセキュリティ欠陥を利用しているので、例えばマウスやキーボードのUSBデバイスに含まれるROMを書き換えておけば、それだけで攻撃する事ができてしまいます。

見知らぬマウスやキーボードをつないだら、いつの間にかPCが乗っ取られてしまっていた...という可能性もあるということです。PCから周辺機器を乗っ取ることも、周辺機器からPCを乗っ取ることも、双方向で可能です。

今のところ根本的な対策はナシ、規格自体の変更を待つしかない？

USBの設計そのものに問題があるため、この欠陥について根本的な対策は今のところ存在せず、規格自体の変更を待つしか無いとのことです。

とは言っても、USB接続は接続規格の中でも現在かなり普及しているので、完全に切り替わるとしてもあと数年先の話にはなるでしょう。

根本的な対策ではありませんが、唯一私たちにできるのは、予防策として信頼できる機器以外をPCにつながないこと。企業のUSB接続に対するセキュリティ基準も今後より厳しいものになっていく事が予想されます。

あとがき　@aiza_waiさんをフォロー

USB接続は昔からある仕組みなので、脆弱性があってもおかしく無いとは思いますが、これだけ普及してしまうと対処方法が難しく深刻ですね。対処の仕様が無いとすると、発表する事で悪い方向に向かう可能性もありそうです。

USB以降に登場した接続規格もいくつかありますが、他の接続規格に脆弱性が無いのかどうなのかもちょっと気になります。

いずれにせよ、今後は時間が経つにつれてUSBの脅威は増していく一方だと思うので、世界的にUSB接続に対するセキュリティ基準の見直しが求められそうです。