2016年5月に公表された研究で、Googleおよびイリノイ・ミシガン両大学の研究者が、イリノイ大学アーバナ・シャンペーン校のキャンパスで300本ほどのUSBメモリーを配り、そのうちのどのくらいが学生たちのマシンに挿入されたのか、調査が行われた。

結果は憂慮すべきものであり、USBメモリーがどれほど危険であるかを示すものだった。「ユーザーたちの48％は、配布されたUSB端末を受け取り、挿入し、ファイルをクリックしたことが分かりました」と、このリポートの作成者はコメントする。「とても速いものでした。最初の端末が挿入されたのは、配布してから6分もかかりませんでした」

何らかの脅威に備えて防御措置を取った学生はそれほど多くなく、わずか32％にすぎなかった。防衛手段のことを考えた被験者のうち、16％が自前のウイルス対策ソフトでUSB端末をスキャンしたが、自分のOSやセキュリティ対策ソフトが防御してくれるはずと考えていた者は、全体の8パーセントだった。

さらに驚くべきことに、残りの8％はこのUSBメモリーのデータを守るために自分のパソコンを「犠牲」にするか、もしくは、大学側の手を借りて難を逃れようとした。

リポート作成者の説明によれば、「こうした学生は、どこにでもいるようなタイプで、決して技術的な能力がないわけではありません。むしろ他の仲間よりも進んでリスクを引き受けようとしているような人に見えます」と捉えられている。

「結論として私たちは、ソーシャル・エンジニアリング攻撃が、単純なテクニックでありながら、どれほど効果的な攻撃方法であるか、また私たちの社会がまだうまく対応し切れていない攻撃方法であり続けているか、という議論すべき課題を突き付けられたことになります」

USBメモリーのセキュリティには隙がある

これは、人々が目の前の作業に気を取られるあまりに、USBを挿入するとどうなるかという、その後に起こり得る出来事についてはほとんど考えたり心配したりしない、ということを意味する。

これまでUSBメモリーが大きな損害を与えた有名な例は、すでに幾つかある。かつて、悪名高いマルウェアであるスタクスネット（Stuxnet）は、感染したUSBメモリーを介してイランの核燃料遠心分離施設中に拡散したが、2016年4月にドイツのある核施設でこのマルウェアを含んだUSBメモリーが18本発見された。ここで問題なのは、USB型のマルウェアが闇市場でより強力に改良され、その人気が高まっているということである。サイバー犯罪者は、それが個人やビジネスに危害を与える手軽な方法だと分かっているのだ。

サイバー犯罪者たちに共通するやり口は、不正コードをUSBメモリーに潜ませておき、それが挿入されるや、そのコードが実行され、ユーザーの知らぬ間にコンピューターにインストールされる、というものである。このマルウェアはこうして、接続された複数のコンピューター全体に拡散し、犯罪者がユーザーのデータにアクセスしたり、最終目標の攻撃のために感染したコンピューターを動員したりすることを可能にする。

他のものよりもかなり厄介なUSB型マルウェアがある。例えば犯罪者は、「バッドUSB」（BadUSB）というマルウェアを使って、他人のコンピューターを制御したり、分からないようにファイルを書き換えたりする。また、ユーザーのインターネットにおけるトラフィックを操作したりすることさえできる。

研究者であるダーク・パープル（Dark Purple）氏が開発した「USBキラー」（USB Killer）という名のマルウェアの新バージョンの場合、聞くところによれば、USBメモリーがポートに挿入されてから数秒後にコンピューターのマザーボードを「焼き付かせる」ことができると言われている。
そもそもUSB自体が安全を考慮されていないと断じる者までいる。ベルリンに本拠を置く セキュリティ研究ラボ（Security Research Labs）の創設者であり主任科学者であるカルステン・ノール（Karsten Nohl）氏は以前に「USBドライブの大半はファームウェア、すなわち内蔵されているマイクロコントローラーで動作するソフトウェアを防御しない」と述べていた。

つまりその意味は、ファームウェアがマルウェアのプログラムに成り代わって、例えばキーボードのようにコマンドをUSB機器に与える、ということだ。

USBの紛失は新しい問題ではない

問題は、こうしたドロップ攻撃がさまざまなレベルのサイバー犯罪者たちに共通して用いられるテクニックであるということだけではなく、USBスティックの紛失や盗難が後を絶たないということでもある。なくしたり盗まれたりしたUSBは、どのような場所にも行き着く可能性がある。政府と警察がしばしば最悪の犯人であるのは世の常である。

2016年の初めに行われたESETの研究によると、22,000本以上のUSBメモリーがクリーニング店で発見され、その45％が二度と持ち主の元に返されることはなかった。

クリーニング店だけではない。公共交通機関、特に電車の中でも数多く見つかっている。大半のUSBは永遠に失われてしまうが、犯罪者や金もうけのチャンスをうかがっている者の手に落ちるUSBもある。

教育の必要性

USB機器をめぐる最大の問題とは、人々がまだその危険をほとんど自覚していない、ということだ。これもまたおそらくより驚くべきことであるが、ビジネスの世界においても状況は全く変わらない。

2011年にポネモン研究所（Ponemon Institute）が行った研究によれば、驚くほどの数の企業が、USBメモリー内情報の防御を特に優先すべきとは考えていない。一方で、自分たちがUSBの誤用・悪用を防止するための適切なポリシーを持っていると答えた組織は、全体の3分の1以下にすぎなかった。

これに対し、ここ2年間だけで、大企業の半数近くが、USBメモリーに入った非常に大切な情報や極秘情報を紛失しており、その割合は著しく高まっている。統計的には、USBメモリーの紛失により、平均して１企業ごとに12,000件の顧客記録が失われている。（日本の事例についても入れる）

セキュリティの専門家は、「エンドユーザーはその危険について教育を受け、その適切な運用の仕方を理解する必要がある」と言う。たいていの場合は、セキュリティ啓発キャンペーンを通じて理解される。

より徹底したアプローチを取る会社もあって、そういう会社では、USBメモリーを社内から追放したり、USBポートをテープでふさいだり、信用できないメモリーを外付け機器に接続するのを禁止したりさえしている。

外部攻撃のリスクから守ってくれるわけではないが、万一紛失した場合に備えて、フラッシュドライブ内の情報を暗号化しておくという手もある。

これほど小さな機器だけに紛失してしまうというのは常に起こり得ることであり、ソーシャル・エンジニアリングを使ったUSB攻撃（例えば駐車場にランダムキーを放置しておくといったような）が成功している以上、サイバー犯罪者は、それが組織内へ侵入する簡単な方法だという考えを変えることはないだろう。 しかし、もっとセキュリティの訓練を積み、USBメモリーそのものの安全をより強化し、サイバー犯罪の手口にもっと自覚的になることで、確実に、こうした思いも寄らないサイバー攻撃の犠牲者にならずに済むはずである。