多くのセキュリティ専門家にとって、USBワームという言葉は、別の時代の遺物のように聞こえるかもしれません。2000年代初頭には、リムーバブルメディアを通じてマルウェアが拡散し、企業ネットワークや政府系システムをUSBメモリ1本ずつ感染させていくという話が数多くありました。しかし、東南アジアの政府機関を標的にした新たなサイバー諜報キャンペーンが公表されたことで、USBという攻撃経路が2026年の今もなお、非常に現実的であることが示されました。
Unit 42の研究者は、2025年6月から8月にかけて実行された高度な作戦を明らかにしました。このキャンペーンには、中国と関係があるとされる複数の脅威グループが関与しており、同じ政府環境の内部で同時に活動し、それぞれが独自のマルウェア、リモートアクセスツール、情報窃取ツールを展開していました。使われた技術やインフラは異なっていたものの、3つのグループには共通の目的がありました。それは、機密性の高い政府システムへの長期的なアクセスを維持することです。
この作戦で使われたさまざまなツールの中でも、リムーバブルメディアのセキュリティに詳しい人なら特に目を引くコンポーネントがあります。Stately Taurusとして知られる脅威アクターは、USBFectというUSB経由で拡散するワームを展開していました。これはHIUPANとしても識別されています。その役割はシンプルで、しかも非常に効果的でした。接続されたリムーバブルドライブに自分自身をコピーし、そのドライブが別のシステムに接続されるのを待つというものです。
この手法は、現代のランサムウェアやAIを利用した攻撃と比べると、あまり洗練されていないように見えるかもしれません。しかし、その単純さこそが、いまも機能し続ける理由です。多くの組織はインターネット接続を制限し、メール添付ファイルをブロックし、高度なエンドポイントセキュリティツールを導入しています。それでもなお、システム間、部門間、あるいは安全な環境間でファイルを移動するために、USBデバイスに依存している組織は少なくありません。リムーバブルメディアが通常の業務の一部であり続ける限り、それは攻撃経路としても成立し続けます。
書き込み保護技術の進化に関心のある読者向けに、以前の記事では安価なUSBメモリと、機能制御されたUSBメディアの見えない違いについて取り上げました。この議論は、リムーバブルメディアを通じて複製されるように設計されたマルウェアを考えると、特に重要になります。
報告によると、USBFectは新しく接続されたリムーバブルドライブを継続的に監視します。検出すると、マルウェアは自分のコンポーネントをそのデバイスへコピーし、感染が次のコンピューターへ移動できるようにします。このワームは、正規のWindowsやIntelのシステムフォルダに見えるよう設計されたディレクトリ内に隠れるため、軽く確認しただけでは不審なものを見つけにくくなっています。
このキャンペーンは、単純な拡散だけで終わりませんでした。アクセスが確立されると、追加のマルウェアコンポーネントによって、リモートアクセス機能、キーロギング機能、クリップボード監視、ファイル収集、データ流出ツールが提供されました。TrackBakとして知られる情報窃取ツールの1つは、Microsoft Edgeのログファイルを装いながら、侵害されたシステム上のユーザー活動や機密情報を静かに収集していました。
このキャンペーンが特に注目される理由は、3つの別々の脅威クラスターが、同じ標的組織に対して同時に活動していた点です。研究者は、Earth Estries、Crimson Palace、Unfading Sea Hazeなど、以前から知られている諜報グループとの関連を確認しました。正確な連携の度合いはまだ不明ですが、この重なりは、単一の政府系被害組織に集中した、非常に組織的な情報収集活動を示唆しています。
この報告はまた、USBデバイスそのものが脆弱性なのではない、という点を思い出させてくれます。むしろ脆弱性は、マルウェアがリムーバブルストレージをシステム間の輸送手段として利用できることにあります。USBドライブは単なる乗り物です。マルウェアが自分自身をデバイスに書き込めるようになると、そのデバイスは次の感染を運ぶ無自覚なキャリアになり得ます。
この区別は重要です。なぜなら、USBセキュリティに関する多くの議論は、リムーバブルメディアを全面的に禁止することに集中しがちだからです。実際には、多くの政府機関、医療機関、製造施設、産業オペレーターが、正当な業務目的でUSBストレージに依存し続けています。USBを完全になくすことは、多くの場合現実的ではありません。USBデバイスをどのように使うかを管理するほうが、通常はより現実的なアプローチです。
研究者は、AutoRunを無効にすること、より厳格なUSBポリシーを適用すること、不審なDLL活動やメモリ内実行技術を監視することを推奨しています。これらはいずれも妥当な推奨事項です。しかし、より大きな教訓はさらに単純かもしれません。攻撃者が何十年も前から存在する手法で成功し続けるのは、その攻撃を可能にする根本的な条件が今も残っているからです。
最初の大規模なUSBワームが大きなニュースになってから20年が経った今でも、その基本構造は驚くほど変わっていません。書き込み可能なUSBデバイスを見つけ、ペイロードをコピーし、次の接続を待つ。技術は進化し、マルウェアはより高度になりましたが、攻撃経路そのものは同じままです。
リムーバブルメディアに依存し続ける組織にとって、今回の最新キャンペーンは、USBデバイスに何を書き込めるかを制御することが、そこから何を読み取れるかを制御することと同じくらい重要になり得る、ということを思い出させるものです。
出典:Cyber Security News / Unit 42
編集および技術レビュー方針
この記事は、サイバーセキュリティ研究者および業界情報源による公開レポートをもとに、GetUSB.info編集チームが調査・執筆したものです。GetUSB.infoは2004年から、USB技術、リムーバブルメディア、フラッシュストレージ、USBセキュリティの動向を取り上げてきました。私たちの分析は、USBベースの攻撃、ストレージデバイス、データ転送技術に関わる技術的メカニズムに焦点を当てています。
可能な場合は、公開前に技術的な主張を確認するため、元の研究資料やセキュリティレポートを確認しています。読者は、サイバーセキュリティ調査が追加情報の公開に伴って変化する可能性があることを理解しておく必要があります。USBセキュリティポリシー、マルウェア対策、またはデータ保護要件を評価する際には、組織は資格を持つセキュリティ専門家に相談するべきです。
GetUSB.infoは編集上の独立性を維持し、IT専門家、エンジニア、技術に関心のある読者に向けて、事実に基づく報道、技術的背景、教育的な分析を提供することを目指しています。
