パスワードを忘れた? アカウント作成
14147403 story
入力デバイス

贈り物を装って攻撃用のUSBデバイスを郵送する攻撃 29

ストーリー by headless
標的 部門より
サイバーセキュリティ企業Trustwaveによれば、贈り物を装って攻撃用のUSBデバイスを郵送するという攻撃が確認されたそうだ(SpiderLabs Blogの記事BetaNewsの記事)。

問題のUSBデバイスは一見USBメモリーのようだがPCに接続するとUSBキーボードとして認識され、攻撃者が事前に設定したキーストロークを送ることができるという、いわゆる「USB Rubbery Ducky」攻撃用のデバイスだ。マルウェアを格納したUSBメモリーを使用する攻撃と比べ、自動再生設定に依存せず、セキュリティソフトウェアに検出されないといったメリットがある。

このデバイスは米大手量販店Best Buyを装った手紙に同封されており、手紙には長年の愛顧に謝意を示すため50ドルのギフトカードを送ること、ギフトカードで購入可能な対象商品のリストは同梱したUSBメモリーに保存されていることが記載されている。怪しげな手紙を受け取ったTrustwaveの顧客はデバイスをPCに接続せずにTrustwaveへ報告したため、被害にあうことはなかったという。

デバイスをTrustwaveが調査したところ、同じ型番のものがオンラインモールShopeeの台湾版で「虚擬鍵盤」などとして数百円で販売されていることが判明。PCに接続すると2段階のPowerShellコード実行を経てWindows Scripting Host上で実行されるJScriptコード(マルウェア本体)が無限ループにより常駐する。このJScriptコードは2分おきにC&Cサーバーへ接続してコマンド(別のJScriptコード)を待つ。最初の接続時にはPCから収集した情報をC&Cサーバーに送信するコマンドを受け取ったとのこと。

このタイプのUSBデバイスはセキュリティ専門家の間で広く知られており、物理的な侵入テストで会社周辺に落とすといったことも行われるが、実際の攻撃が発覚するのは珍しいとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by miyuri (33181) on 2020年03月29日 13時37分 (#3787604) 日記

    遠隔地の不慣れな人向けの不具合解決に役立ちそうではある。

  • by Anonymous Coward on 2020年03月29日 10時45分 (#3787543)

    怪しげなソフト入りのUSBメモリを故意に落としておくなんて手口もあったね。
    # 拾いものを使うような貧乏人では金狙いの人からするとあまり意味はない?

    • by Anonymous Coward on 2020年03月29日 12時47分 (#3787584)

      貧乏人というよりは、危機意識と状況認識の問題じゃないですかね。

      定型文のスパムが特別に自分あてに送られてきたものだと思い込んだり
      メアドやアカウント名を表示されて公式ページの案内だと思い込んだり
      多少なりとも疑心暗鬼に暮らすことができない真面目な人は一定数いますし、
      落ちてるUSBが「不特定の誰かを狙ったもの」である可能性を認識できなければ
      届けてあげなきゃと仏心を出す貧乏人もいるでしょう。

      親コメント
    • by Anonymous Coward

      すらどならLinux入りのUSBを故意に落としておくに決まってるじゃないですか!

    • by Anonymous Coward
      落ちていたLinux入りのCDを拾って…は、牧歌的時代の話ですね
      • by Anonymous Coward

        Linuxに限らないけど、DVDから立ち上げたブータブル環境でUSBの中身を確認するとかは駄目なんですかね。
        オフラインで他にストレージがなければ実質的な被害は発生しなそうですけど。

        • by Anonymous Coward

          何を以て駄目とするかは人それぞれですけど、庶民的な感覚から言って駄目では。

          https://security.srad.jp/story/15/11/09/1657247/ [security.srad.jp]

        • by Anonymous Coward

          実はUSBストレージに見せかけたWifi子機で、カメラにアクセスして動画をストリーミングしてYoutuberとしてデビューするスクリプトが仕込んであるとか。

        • by Anonymous Coward

          マザボや各種デバイスのファームウェア書き換え狙ってたらアウトですな。

  • by Anonymous Coward on 2020年03月29日 10時57分 (#3787547)

    物理的な品物を送りつけられる相手ならいちいちサイバー攻撃せず爆弾を送って吹っ飛ばせばいいのではと思ってしまった

    • Re:攻撃≠殺傷 (スコア:2, 参考になる)

      by Anonymous Coward on 2020年03月29日 11時37分 (#3787558)

      物理的な品物を送りつけられる相手ならいちいちサイバー攻撃せず爆弾を送って吹っ飛ばせばいいのではと思ってしまった

      相手が被害に遭ったことを気付かないうちに犯罪目的を果たすために知恵を絞ってるわけで
      直接爆発物を送りつけるなんて粗暴犯と大差無い。

      親コメント
    • by Anonymous Coward on 2020年03月29日 11時38分 (#3787559)

      情報が欲しい時に情報持ってる人間吹っ飛ばしたらアカンやろ

      親コメント
    • by Anonymous Coward

      郵便局に届いた段階で露見するから爆弾を「送りつける」ことはできない

      • by Anonymous Coward

        露見するか?
        リチウム電池とか液体とか簡単に送れるのに爆発物なら露見するって無理があると思うぞ。

      • by Anonymous Coward

        国のトップクラスのVIPはともかく、
        一般人あての郵便はそんなの無いよ

    • by Anonymous Coward

      たしかに「攻撃」って言うと、殴るとかダメージ与えるとかが目的って感じしちゃうよな

    • by Anonymous Coward

      わざわざタイトルに「攻撃≠殺傷」と付けて語ってるのに再度ツッコミを食らいまくってて少しかわいそう

  • by Anonymous Coward on 2020年03月29日 15時51分 (#3787630)

    実際に「贈り物を装って攻撃用のSIMカード(?)を郵送する攻撃」を経験したことがある
    何年か前に国内の携帯会社、というか携帯会社の地方営業拠点から無料SIMカードが送られてきた
    あまりにセキュリティに無神経な振る舞いに電話して抗議してやろうと思っているうちに、封筒ごと書類の山に埋もれてそのままになってしまった

  • by Anonymous Coward on 2020年03月29日 22時30分 (#3787755)

    >贈り物を装って攻撃用のUSBデバイスを郵送する攻撃
    贈り物が何をするかで色々手段があるよね。

  • by Anonymous Coward on 2020年03月30日 0時49分 (#3787782)

    は大丈夫なのか?
    通販では聞いたことない店の商品とか、もっと言えば個人が出品してるのを買ってる人もいると思うけど
    結局は知名度のある店のブランドという担保で決断するしかないのか

    • by Anonymous Coward

      流通がきちんとしていて店員にも知識がきちんとある実店舗じゃないと無理という結論だったような。
      ブランドものだと思っていたら偽ブランドだったとか流通途中ですり替えられたとか。

    • by Anonymous Coward

      もちろん知名度のあるブランドの方がいいけど、それでもサプライチェーン攻撃を防ぐのは難しいので大丈夫とは言い切れない現実。

      データ通信機能内蔵ポータブルWi-Fiルーター「DWR-PG」(ポータブルWi-Fi) ウイルス混入に関するお詫びとご案内(BUFFALO)
      http://buffalo.jp/products/new/2010/001209.html [buffalo.jp]

    • by Anonymous Coward

      無料のUSB扇風機の中にマルウエアやウイルスって以前ありましたね。検索すると2018年6月辺り。実態を知らないので一つ欲しいな。

  • by Anonymous Coward on 2020年03月30日 2時18分 (#3787794)

    セキュリティソフトは検知できるの?

    #USBメモリは警戒されるから、FDを送りつけよう

    • by Anonymous Coward

      セキュリティソフトウェアに検出されないといったメリットがある。

      ってストーリーに書いてありますよ。

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...