お問い合わせ
USBメモリは、仕事や学習、家庭でのデータのやり取りに便利なツールですが、実はマルウェア感染の入り口として悪用されるリスクもあります。なかには、USBを挿しただけで感染が始まり、気づかないうちにほかのパソコンへも広がってしまうケースも存在します。
例えば、USBを社用パソコンに接続した直後にファイルがすべてショートカットに変わっている場合や作動が重くなる場合、マルウェア感染の可能性が高くなるため、放置すると社内ネットワーク全体への感染拡大や、情報漏えいのリスクもあります。
本記事では、USBを経由して感染するマルウェアの仕組み・症状・対策についてわかりやすく解説します。
二次被害や感染拡大を抑えるため、少しでも不審な挙動が確認された時点で、マルウェア感染調査に対応した専門機関へ相談することをおすすめします。
目次
USBメモリでマルウェア感染することはある?
USBメモリはデータの持ち運びや共有に便利なツールですが、マルウェアの感染経路として悪用されるリスクもあります。
かつては、USB内にある「自動再生機能」を利用し、USBを挿しただけでマルウェアが自動実行される攻撃が多く確認されていました。現在では多くのWindows環境でこの機能は無効になっていますが、USB内のショートカットファイルやスクリプトファイルをユーザーが開くことで感染が成立するケースは、今も続いています。
さらに、製造段階でマルウェアが混入していたUSBメモリが出回った事例もあり、たとえ新品であってもウイルススキャンを実施することが重要です。
スマートフォンやその他のUSB機器が感染する可能性もありますが、ほとんどの場合はパソコン経由でファイルを受け取ったり、不正なアプリを手動でインストールしたときに限られます。
参考資料:JPCERT
USB経由でマルウェアに感染する主な仕組み
USBを通じて感染するマルウェアには、いくつか代表的な仕組みがあります。中には、使用者の操作とは無関係に感染が進むものもあるため、仕組みを理解しておくことで、感染リスクを抑えられる可能性があります。
1. 自動再生機能(AutoRun)の悪用
Windowsには、USBメモリやCD/DVDを接続したときに、autorun.infという設定ファイルの指示に従ってプログラムを自動実行する「自動再生(AutoRun)」機能が搭載されています。
攻撃者はこの仕組みを悪用し、USBメモリ内にautorun.infとマルウェア(例:malware.exe)をあらかじめ仕込んでおくことで、USBを挿すだけでマルウェアを自動実行させる手口を使います。
このような攻撃は、AutoRunが初期状態で有効になっていたWindows XPやVistaなどの旧バージョンで特に効果的でした。
現在では、Windows 7以降の多くの環境でAutoRunは無効化されていますが、設定変更や古い端末が残っている場合には、今でも感染リスクが存在します。
2.ショートカットや隠しファイルによる感染
マルウェアは、USBメモリ内に見た目が普通のファイルにそっくりな偽装ファイルを仕込むことがあります。たとえば、ウイルスを含んだ実行ファイルをショートカット(.lnk)や文書ファイル風のアイコンに偽装し、ユーザーに開かせようとします。
さらに高度なマルウェアでは、フォルダを開いただけで感染するケースもあります。これは、Windowsがファイルのアイコンを読み込む際に、マルウェアが自動実行されるよう細工されているためです。怪しいファイルを開いていないつもりでも、フォルダを表示しただけで感染するリスクがあることに注意が必要です。
3. 自己増殖型マルウェアによる連鎖感染
中国に関連するとされるサイバースパイグループ「UNC4191」は、USBドライブを介して自己複製するマルウェアを使用し、標的のシステムに感染させる手口を展開していることが、Google傘下のMandiantにより報告されました。
参考資料:Security Week
攻撃者が用意したUSBメモリをパソコンに接続するとマルウェアが実行され、感染後に別のUSBメモリを挿すと、その中にマルウェアが自動で複製されます。そのUSBを別のパソコンに接続すれば、次の端末も感染し、USBとパソコンを通じて連鎖的に感染が拡大していきます。
4. USBドロップ攻撃(社会工学的手法)
攻撃者があらかじめマルウェアを仕込んだUSBメモリを意図的に落とし、通行人がそれを拾ってパソコンに接続することで感染させる攻撃手法です。こうした行為は「USBドロップ攻撃」と呼ばれ、社会工学(ソーシャルエンジニアリング)を利用した典型的なサイバー攻撃のひとつです。
2016年に実施された実験では、意図的に落とされたUSBメモリのほぼすべてが誰かに拾われ、そのうち約45%の人がパソコンに接続して中のファイルを開いたという結果が報告されています。このような手口は、システムの脆弱性ではなく、人の好奇心や親切心といった心理的な隙を狙う点に特徴があります。
参考資料:ITmedia
5. ジュースジャッキング(Juice jacking)
空港やカフェなどの公共充電ポートに設置されたUSBケーブルや充電器を通じて、不正にスマートフォンと外部とのデータ通信が行われる攻撃です。見た目は通常のケーブルと変わりませんが、内部にマルウェアや通信回路が組み込まれており、ユーザーが気づかないうちに写真や文書などのデータを抜き取られる可能性があります。
こうした手口は「ジュースジャッキング」と呼ばれ、近年では、確認画面を自動操作して同意を偽装する「チョイスジャッキング」など、さらに巧妙な派生型も報告されています。
6. その他USB機器に潜むリスク
USBメモリ以外にも、外付けHDDやモバイルバッテリー、キーボードなどのUSB機器にマルウェアが仕込まれていた事例があります。中でも「BadUSB」と呼ばれる攻撃は特に悪質で、USB機器のファームウェアを書き換え、キーボードやネットワークアダプターとして偽装し、自動でコマンド実行やマルウェアの導入を行います。
米FBIは、サイバー犯罪集団「FIN7」がUSBメモリを企業に郵送し、接続されたPCにマルウェアを仕込む「BadUSB攻撃」が進行中だと警告しています。見た目は通常のUSBメモリでも、接続するとキーボードとして認識され、勝手に操作が行われる危険があります。USB機器を使った攻撃は外見で判別できないため、信頼できるデバイス以外は接続しないことが重要です。
参考資料:ZDNET Japan
USB経由でマルウェア感染した場合に現れる症状
USBメモリやUSB接続機器を介してマルウェアに感染すると、パソコンの挙動にさまざまな異常が現れることがあります。処理速度の低下や通信量の急増といった一般的な症状に加えて、USB特有の感染経路に起因する現象も確認されています。
ファイルがショートカット化される
USBメモリを接続した直後に、保存していたファイルやフォルダが表示されず、同じ名前のショートカットファイル(.lnk)が並んでいる場合は、ショートカットウイルスに感染している可能性があります。
このウイルスは、USBメモリ内の正規ファイルを隠し属性に設定し、同じ名前の偽ショートカットを自動的に生成します。見た目は元のファイルと似ていますが、実際にはマルウェアを実行させるように細工されています。
ユーザーがショートカットを開いた時点でマルウェアが作動し、パソコン本体にも感染が広がります。その状態のUSBメモリを他のパソコンに接続すると、連続して感染が拡大するおそれがあります。
ショートカットウイルスの安全な解決法と予防策は以下の解説記事をご覧ください。
不審な実行ファイル・プロセスが動作する
USBメモリを挿入した直後に、見慣れない実行ファイル(.exe、.vbs、.bat、.scrなど)が現れたり、正体不明のプログラムが自動的に起動する場合、マルウェアが動作している可能性があります。以下のようなプロセスがタスクマネージャーで頻繁に確認される際は特に注意が必要です。
wscript.exepowershell.execmd.exe
上記プロセスは正規の処理でも使用されることがありますが、「USBを挿してすぐ動き出す」「頻繁に再起動する」「見慣れない場所から実行されている」場合はマルウェア感染の可能性が高くなるため注意が必要です。
- Ctrl + Shift + Esc を同時に押して、タスクマネージャーを起動します。
- 左下にある「詳細」ボタンをクリックし、「詳細」タブを表示させます。
- 一覧から、不自然な名前や見慣れないプロセスがないかを確認します。
- 怪しいプロセスがあれば右クリックし、「ファイルの場所を開く」を選択して、実行ファイルの保存場所が正規のパスかどうかを確認します。
また、次のフォルダは、マルウェアが自らの存在を隠すためによく利用する場所です。見覚えのない実行ファイルが保存されている場合は、特に注意が必要です。
%APPDATA%%TEMP%C:\Users\Public
これらのフォルダは、いずれもWindowsが内部処理や一時データの保存に使用する目立ちにくい領域です。ユーザーが日常的に開くことは少ないため、マルウェアが身を潜める場所として利用されやすくなっています。
ファイルの消失や不自然な増加が起こる
USB接続直後に保存ファイルが見えなくなったり、見覚えのないデータが追加されていた場合、マルウェアによるファイル操作が考えられます。
多くのケースで、マルウェアが元のファイルやフォルダを隠し属性に変更し、その名称を使って偽のショートカットやファイルを生成・上書きする動作が確認されています。
また、データそのものを削除・破壊するタイプや、大量の不要ファイルを生成してストレージを圧迫するタイプも存在します。ユーザーには「勝手にファイルが消えた」「見知らぬファイルが増えた」といった症状として現れます。
ファイルの拡張子が変わる・二重拡張子が現れる
USBメモリ内の通常ファイル(例:.doc、.jpg、.xlsなど)が、.exeや.scrなど実行ファイルに置き換えられている場合は、マルウェア感染の可能性が高いと考えられます。
見た目は元のアイコンやファイル名のままでも、中身がマルウェアに書き換えられており、クリックした瞬間に自動実行されるリスクがあります。万が一、誤って実行してしまった場合は、すぐに使用を中止し、マルウェア感染調査に対応した専門会社への相談をおすすめします。
特に警戒すべきなのは、「resume.pdf.exe」や「photo.jpg.scr」などの二重拡張子ファイルです。Windowsの初期設定では拡張子が非表示のため、実行ファイルであることに気づかず開いてしまう恐れがあります。USB内にこうしたファイル名がある、あるいは拡張子の異常に気づいた場合も、感染の可能性を前提に迅速な対応が必要です。
※二重拡張子とは、拡張子が2つ以上続くファイル名を指します。例:「readme.txt.exe」「invoice.pdf.scr」など。
USB経由でマルウェア感染した場合の対処法
上記の症状に加えて、USBメモリ接続後に動作が極端に遅くなる、通信量が急増する、フリーズや勝手な再起動が起きるといった異常が見られる場合は、マルウェア感染が進行している可能性があります。
このような場合は、まずUSBメモリをすぐに取り外し、ネットワークを遮断してください。すでにウイルス対策ソフトがインストールされている場合は、全体スキャンを実施しましょう。
ただし、最近のマルウェアはファイルレス型やメモリ常駐型など、通常のスキャンでは検出が難しいものも多く存在します。
スキャン後も異常が続く場合や、被害の全体像を正確に把握したい場合は、フォレンジック調査に対応した専門会社への相談が有効です。
フォレンジック調査とは
警察の捜査や裁判の証拠提出にも使われる高度な手法です。感染の原因、被害の範囲、改ざんや情報漏えいの有無など、一般的なツールでは確認できない情報を専門技術で解析することができます。
特に以下のような項目を重点的に解析します。
- マルウェアの侵入経路や感染タイミング
- 改ざん・削除・漏えいされたファイルの特定
- 外部送信先や通信履歴の解析
フォレンジック調査は、「何が、いつ、どこで起きたのか」を明確にし、企業の信頼・情報資産・法的リスクに対応するための重要な手段です。
自力で対応できない場合はフォレンジック調査の専門業者に依頼する
ハッキングや不正アクセス、ウイルス感染、情報漏えいなどの問題が起きた際、自分だけでの対応が難しいと感じたら、迷わずフォレンジック調査の専門業者に相談しましょう。
どこから侵入され、どんな情報が漏れたのかを正しく把握することが重要です。特に、被害が大きい場合や情報が悪用された疑いがある場合は、専門家によるフォレンジック調査を実施することで、被害の拡大を未然に防ぐ有効な対策につながります。
信頼できる業者を選び、早めに動くことが、トラブルを最小限に抑えるポイントです。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
\24時間365日 相談・見積無料/
USB経由のマルウェア感染を防ぐための5つの対策
USBメモリを通じたマルウェア感染は、設定の見直しや運用ルールの整備、適切なセキュリティ対策により、大幅にリスクを軽減できます。
特にUSBを経由した攻撃は単一の対策では不十分な場合が多く、複数の防御策を重ねる「多層防御」が有効です。
以下の5つは、USB経由の感染を防ぐために特に効果的な基本対策です。
自動実行(Autorun)を無効にする
Windows 7以降では標準で自動実行が無効になっていますが、古い端末や設定変更により有効化されている場合があります。グループポリシーまたはレジストリを利用して、明示的に無効化しておくことが安全です。
- Windowsキー + Rを押して「ファイル名を指定して実行」ダイアログを開きます。
- 「
gpedit.msc」と入力して、グループポリシーエディタを起動します。 - 「コンピュータの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「自動再生ポリシー」を開きます。
- 「すべてのドライブで自動再生を無効にする」をダブルクリックし、「有効」に設定して「OK」をクリックします。
ウイルススキャン対応USBの活用
市販のUSBメモリの中には、マルウェアを検出・駆除する機能を備えた製品があります。
また、一般的なUSBメモリを使用する場合でも、接続時に自動でスキャンを実行するセキュリティソフトを導入することで、安全性を高めることが可能です。
USBメモリの利用制限と管理体制の構築
業務用PCでは、USBメモリの利用を必要最小限に限定し、利用には事前申請を求めるルールづくりが基本です。利用履歴を記録するツールや、USBのシリアル番号をもとにデバイスを管理できる仕組みを導入することで、「誰が・いつ・どの端末で」使用したかを明確に把握できます。
ライトプロテクト(書き込み禁止)の活用
物理スイッチによって書き込みを防止できるUSBメモリを使用すると、マルウェアがUSBに書き込まれるリスクを回避できます。特に、データの持ち出し用や、感染の恐れがある端末での使用時に効果的です。一部のUSBセキュリティ製品では、ソフトウェア的にライトプロテクトを設定する機能も提供されています。
持ち込み・持ち出しに関するルールの徹底
社外で使用したUSBメモリや、外部から持ち込まれたUSBを社内のパソコンに接続する場合は、事前にウイルススキャンを行うルールを明確に定め、全社員に徹底することが大切です。
たとえば、「私物のUSBメモリは使用禁止」「社内で認証されたUSBのみ接続を許可する」といった具体的なポリシーを設け、確実に運用することが求められます。ルールを徹底することで、USBを通じたマルウェア感染のリスクを大幅に抑えることができます。
上記に加えて、日常的に取り入れたい基本的なセキュリティ対策については、以下の記事でも詳しく解説しています。
まとめ
USBメモリを介したマルウェア感染は、日常的に起こり得る身近なリスクであり、誰にとっても無関係ではありません。感染に気づかず放置すると、自身のパソコンだけでなく、接続先の端末にも被害が広がり、連鎖的な感染拡大につながるおそれがあります。
USB使用後に見覚えのないファイルが出現したり、動作が急に不安定になるなどの異常が見られた場合は、マルウェアに感染している可能性を想定し、速やかに対応することが重要です。
