CrowdStrike Blog：可視化と制御、職場での USB 安全利用の秘訣

　ソーシャルエンジニアリングは常にハッカーによって悪用され、セキュリティチームに危機感を与えています。

　ハッカーらは、巧妙な攻撃手法と人間が元来持つ好奇心をうまく利用して、日々ユーザーを餌でおびき寄せてリンクをクリックさせる、フィッシングメールに反応させることに成功しています。ベイティング（Baiting-餌まき）は、企業内のセキュリティが最も脆弱な箇所であると言える『エンドユーザー』を狙った非常に成功率の高いテクニックです。このタイプの攻撃は非常に効果的であるため、昨今成功した攻撃の半数以上で使用されています。

「落とし物」で釣る：USBドロップ攻撃

　ベイティングでよく使われるのが、「USB」ドロップと呼ばれる攻撃です。この攻撃は、マルウェアを仕込んだUSBデバイスをユーザーが拾い、エンドポイントに挿入するように仕向ける

　ものです。この攻撃は壊滅的な被害をもたらします。なぜならば、リムーバブルメディアを利用すれば、大学から国際宇宙ステーションに至るまでのいかなるネットワークにも侵入できるからです。
悪質なプログラムの書き換えやUSBデバイスドロップは、次の3つを実行可能とします。

　悪質なコード：攻撃者が悪質なコードをUSBデバイスに仕込んでおきます。このコードは、USBデバイスがデバイスに接続されたとき、あるいはユーザーがデバイス内に格納された悪質なファイルをクリックしたときに自動実行されます。このコードは、ワームからリモートアクセス型トロイの木馬まで何でもインストールできます。瞬時にエンドポイントを感染させると、別のマルウェアをダウンロードするための足掛かりを作ります。

　水飲み場攻撃:ソーシャルエンジニアリングの手口を使って最初のドロップ攻撃を実行することのほかにも、ウイルスが埋め込まれたUSBデバイス上に悪質なHTMLファイルを格納し、ユーザーに開かせて、水飲み場攻撃に使用するサイトに誘導する場合があります。そのようなサイトでは、個人を特定できる情報（PII）を入力させようとします。

　ヒューマン・インタフェース・デバイス・スプーフィング：さらに高度な攻撃になると、一見USBメモリーに見えるデバイスを利用し、実際にはまったく異なるデバイスとして動作させます。たとえば、USBキーボードの機能を持たせたデバイスが不正なキー入力を実行し、攻撃者によるエンドポイントへのリモートアクセスを可能にするケースもあります。

　最近の調査によると、USBドロップ攻撃はほぼ50％の確率で成功し、セキュリティを意識したユーザーでさえも騙されることがわかっています。同じ調査では、拾ったUSBデバイスをマルウェアスキャンを実行せずにPCに接続して、中のデータにアクセスしたユーザーの割合は68％でした。

奮闘は続く

　企業のセキュリティチームは、USBデバイスを安全に有効化しながらリスクを軽減する方法に関するジレンマを抱えています。従来の対応は、すべてのUSBデバイスを禁止するか、どのデバイスがエンドポイントにアクセスできるかを決定するデバイス制御ソリューションを使用してそれらを管理することでした。しかし、残念ながらそれらのソリューションでは不十分です。USB関連の侵害は前年比で8パーセント増加しており、現在では全侵害の約3分の1を占めています。
セキュリティチームは主に2種類のデバイス制御ソリューションに依存してきました。

　スタンドアローン型：機能単体型のソリューションは1つのUSBメモリーからさまざまなUSBデバイスに至るまで厳密なコントロールを提供します。ただし、そのようなソリューションは他のセキュリティと統合されていないため、インストールと管理に追加の時間と労力が必要です。また、デバイス制御ポリシーが適切であることを確認するための必要な可視性とコンテキストが欠如しています。環境内でどのデバイスがどこで使用されているかを可視化するには、他のセキュリティツールを追加で採用しなければなりません。

　エンドポイントスイート型：エンドポイントセキュリティベンダーは、一般的にはエンドポイントセキュリティスイートの一部として「統合型の」デバイス制御ソリューションを開発・販売してきました。しかし、それらのソリューションは、多くの場合本当の意味で統合されていません。通常これらのスイートは、個別の管理コンソールと追加のエージェント（および大きなシステムフットプリント）を必要とします。また、提供するデバイスの可視性は限定的です。その結果、セキュリティチームはデバイスに関する背景情報を得られず、環境内の状況把握が難しくなります。また、USBデバイス関連のセキュリティインシデントが発生した場合には特に、ソリューション自体が貴重なリソースを消費します。

　どちらのソリューションも、どのデバイスがどこで使用されているかを即座に可視化できないため、セキュリティチームは正確なUSBデバイスの制御ポリシーを実施・管理するために必要な知識を得ることができません。その結果、ソーシャルエンジニアリングの首謀者らは、ベイティング攻撃が入り込む格好の隙ができたとほくそ笑んでいるのです。

CrowdStrikeでUSBドロップ攻撃を封じ込め

　CrowdStrike のFalcon Device Controlは、USBデバイスに対する比類のない可視性ときめ細かい制御を提供することによって、USBドロップ攻撃によるベイティングのリスクを軽減することができます。このデバイス制御ソリューションは、軽量のFalconエージェントを介して提供されます。Falconエージェントは単一で複数機能を提供しており、デバイス制御もEDR機能ともシームレスに連携するため、既存のスタンドアローン型やエンドポイントスイート製品では実現できない、環境内でどのデバイスがどこで使用されているかを瞬時に確認できます。Falcon Device Controlは、他の製品にはない3つの重要な機能を提供します。

　前例のない可視化機能：Falconプラットフォームは可視化主義です。つまり、情報に基づいたセキュリティ上の意思決定を行うために、環境内のすべてを見渡すことができるということです。Falcon Device Controlは、追加の外部ツールを必要とせずに、USBポートを介して動作しているすべてのデバイスを自動的に検出して報告します。セキュリティチームはものの数秒で、リアルタイムデータや履歴データを検索して、攻撃プロセス、影響を受けるホストとユーザー、感染したデバイスなどを含む攻撃のパターンを特定できます。

　きめ細かい制御：可視性によって行動が促進されたセキュリティチームは、Falconを使用してポリシーを定義し、オンラインでもオフラインでもデバイスを特定してポリシーを適用できます。Falconプラットフォームによって提供される自動可視化機能を利用してFalcon Device Controlは、セキュリティチームが確認した内容に基づいて、その場でただちにポリシーを更新できるようになります。

　クラウドネイティブのアーキテクチャー：Falcon Device Controlは100％クラウドで提供および管理されるため、即座に稼働、数分でポリシーを作成・展開できます。セキュリティチームは、関連するすべてのUSBデバイス情報を1か所で管理し、迅速かつ効果的に対応できるようになるため、複数のソリューションを利用し時間を取られる必要がなくなります。

このような機能を身に着ければ、セキュリティチームはUSBドロップ攻撃など、USBデバイス関連のリスクに効果的に対処できます。ユーザーが危険性を知らずにUSBデバイスをエンドポイントに接続した場合、セキュリティチームはFalcon Device Controlを介してイベントをすぐに確認し、以降の動きを阻止することができます。

追加情報：
　ホワイトペーパー『SecuringYourDevicesWithFalconDeviceControl.』（英語）
　CrowdStrikeFalconプラットフォーム製品のWebページ（英語）
　CrowdStrikeの次世代型AV―FalconPreventの無料トライアル

＊原文はCrowdStrikeBlog サイト掲載：Visibility and Granular Control: The Secret to Securing USB Devices In the Workplace