USBメモリなどの外部記憶メディアを介したマルウェア感染について解説

USBメモリ経由で業務用パソコンがマルウェアに感染した場合、素早く対応を取らなければなりません。

適切な対応を取らないと、ほかのパソコンやサーバーなどに感染し、社内ネットワーク全体に被害が拡大するおそれがあります。

本記事では、USBメモリでマルウェア感染が発生する仕組みや初動対応の流れ、予防策などを紹介します。

USBメモリの使用で業務用パソコンがマルウェアに感染した場合、以下4つの原因が考えられます。

多くのUSBメモリに標準搭載されている自動再生機能を悪用され、パソコンがマルウェアに感染するケースです。

自動再生機能（AutoRun）とは、ユーザーが操作しなくてもWindowsパソコンを起動した際や特定の条件を満たした際、自動的にプログラムを実行する仕組みです。

USBメモリをはじめ、外部ストレージをパソコンに接続した際にも実行され、保存されている画像や動画などを自動で再生します。

攻撃者がUSBメモリの自動再生機能を悪用した場合、パソコンにUSBを接続した時点で、自動的にマルウェアへ感染する仕組みです。

とくに古いバージョンのOSを利用している場合は、自動再生機能が有効になっている可能性が高いため注意が必要です。

トロイの木馬やファイルレスマルウェアなど、USBメモリ内に仕掛けられた隠しファイルが原因で、マルウェアに感染するケースもあります。

たとえば、攻撃者がWord文書のアイコンに偽装したファイルにマルウェアを組み込み、ユーザーがこのファイルを開いた際に感染する仕組みです。

また、OSやアプリケーションの脆弱性を悪用された場合、隠しファイルを表示しただけでマルウェアに感染する可能性も報告されています。

取引先の担当者と業務に必要なデータやファイルをUSBメモリで共有する際も、マルウェア感染を招くおそれがあります。

自社または取引先の使用するソフトウェアやシステムが感染していた場合、ファイル共有時にマルウェアがコピーされる可能性があるためです。

また、USBメモリの自動再生機能を有効にしていると、ファイル内のデータが再生されたと同時にマルウェアへ感染し、組織全体に感染が拡大するおそれもあります。

USBメモリの使用が禁止されているにもかかわらず、従業員が無断で個人用のUSBメモリを使用すると、マルウェア感染や情報漏洩のリスクが高まります。プライベートで使用しているUSBが、マルウェアに感染していないとは限りません。

仮にマルウェアへ感染しているUSBメモリを業務で使用した場合、社内ネットワーク全体に被害が広がります。システムダウンやプログラムの破壊などで、通常業務に支障が及ぶだけでなく、機密情報の流出を招くおそれも高まります。

また、業務用のUSBメモリを外部へ簡単に持ち出せる場合、通勤途中で紛失や盗難の被害に遭い、機密情報が流出する可能性も考えられるため注意が必要です。

USBメモリ経由でパソコンがマルウェアに感染した場合、以下5つの被害が生じます。

機密情報が流出した場合は顧客からの信用を失うだけでなく、場合によっては多額の損害賠償金を支払わなければなりません。また、感染したマルウェアの種類によっては、データが暗号化され、最悪の場合は元に戻らなくなります。

USBメモリにマルウェアが仕込まれると、機密情報や従業員の個人情報が流出するおそれがあります。USBメモリを接続したパソコンを経由して、社内ネットワーク全体に感染が拡大し、攻撃者の不正アクセスを許す可能性が高まるためです。

たとえば、トロイの木馬に感染した場合。早期に駆除しない限り、顧客情報や技術データなどの機密情報がバックドア（攻撃者が遠隔で不正にアクセスできる仕組み）を通じて外部に流出します。

また、スパイウェアに感染した場合は、ユーザーが気付かないうちに機密情報や個人情報が流出している可能性があります。

スパイウェアに感染してもほかのマルウェアと異なり、フリーズや動作不良などが起こりません。目立った不具合が起こらないため、感染しているかが判別しにくく、初動対応が遅れる傾向にあります。

USBメモリ経由でマルウェアに感染して機密情報が流出すると、多額の損失を被ります。仮にセキュリティー対策の不備が原因で顧客情報が流出した場合、顧客から損害賠償を請求される可能性が生じるためです。

機密情報の流出は顧客からの信用低下やブランドイメージの悪化を招き、今後の取引に悪影響を及ぼす可能性が高まります。既存顧客からの新規案件や新規顧客の獲得も難しくなるため、企業経営が苦しくなります。

また、顧客の個人情報が流出した場合、個人情報保護委員会と顧客本人への連絡をしなければなりません。連絡を怠った場合や虚偽の報告をした場合は、個人情報保護法違反に該当し、50万円以下の罰則が科される可能性があります。

出典：e-Gov　個人情報の保護に関する法律　第百八十二条

業務用パソコンがウイルスやワームなどに感染した場合、不具合に悩まされて業務効率が低下します。ウイルス感染で生じる主な不具合は、以下のとおりです。

ランサムウェアに感染した場合、社内ネットワークのデータが暗号化や改ざんの被害に遭うおそれが高まります。

ランサムウェアとはファイルやデータを暗号化し、元の状態に戻す代わりに多額の身代金を要求するマルウェアです。暗号化されたファイルの復号化には多くの時間がかかり、データの種類によっては業務遂行やサービスの提供を続けられなくなります。

また、攻撃者に身代金を支払ったとしても、暗号化されたファイル内のデータが元通りになる保証はありません。一部のデータしか復号化せず、残りのデータを破壊や改ざんされた場合は、自社にとって重要なデータを失います。

USBメモリ経由でパソコンがボットに感染した場合、スパムメールの配信やDDoS攻撃など、サイバー攻撃の踏み台に悪用されるおそれも生じます。ボットに感染したパソコンは、攻撃者によって自由に遠隔操作されるためです。

攻撃者が自社のパソコンからスパムメールを配信した場合、送信元に自社の企業名が表示され、企業イメージやブランドイメージの低下を招きます。

また、DDoS攻撃に悪用された際、相手の企業がパソコンの不具合やサーバーダウンで事業継続ができなくなると、損害賠償金を請求されるおそれも生じます。

意図しないサイバー攻撃であっても、威力業務妨害罪や器物損壊罪など、刑法上の罪に問われる可能性があるため注意が必要です。

USBメモリ経由で業務用パソコンがマルウェアに感染した場合、以下の手順に沿って初動対応を実施します。

パソコンがマルウェアに感染した場合、感染したパソコンを社内ネットワークから素早く切り離すことが重要です。社内ネットワークと接続したままだと、ほかのパソコンやサーバーなどにも感染が広がります。

社内ネットワークから切り離す際は、接続方法によって対応が異なります。有線接続の場合はパソコンに接続されているLANケーブルを抜き、無線接続の場合はパソコンのWi-Fi設定をオフに切り替えます。

また、感染したパソコンを隔離する際は、電源を付けたままにしなければなりません。電源を切ってしまうと、ネットワークの接続情報や実行中のプロセス、暗号化キーなどが失われ、感染原因の特定や復旧作業が困難になるためです。

そして、感染したことに気付いた際は、冷静にシステム管理者の指示を受けながら作業を進め、被害を最小限に抑えてください。

マルウェアに感染したパソコンは、マウスやモニターなどと一緒に電源を付けたままの状態で保全しておきます。パソコンのログデータやパフォーマンスから、マルウェアの感染経路や種類、影響範囲などを調査するためです。

感染経路を調査しないと、USBメモリの使用でマルウェアに感染したのか、原因を正確に特定できません。社内ネットワーク全体に感染が広がっていないか、確認も必要です。

また、ランサムウェアやトロイの木馬、ワームなど、感染したマルウェアの種類によって実施すべきセキュリティー対策は異なります。

被害軽減と再発防止に向け、マルウェアへ感染したパソコンはそのままの状態で保存してください。

セキュリティーに精通した人材がおらず、自社での対応が難しい場合は、外部のセキュリティーパートナーに相談して事態の収拾に努めます。

ほかのデバイスやネットワーク機器が感染しないよう、セキュリティーソフトを使用し、感染したパソコンからマルウェアを駆除します。

多くのセキュリティーソフトには、マルウェアの駆除機能が標準搭載されており、すでにソフトを導入していれば追加費用が発生する心配はいりません。マルウェアを正確に検知・駆除できるよう、最新バージョンをインストールしてください。

また、ランサムウェアに感染した場合は、セキュリティーソフトでの駆除に加えて復号ツールが必要です。攻撃者によって暗号化されたファイルやデータを元の状態へ復号するには、専用ツールが不可欠です。

ただし、完全に元の状態に戻らないケースも考えられるため、普段からバックアップデータを取得しておくことが求められます。

マルウェアの駆除が完了したら再発防止策を講じます。具体的にはUSBメモリの使用制限やデータ共有の方法見直し、新たなセキュリティーツールの導入などを行い、マルウェア感染のリスク軽減に努めます。

また、再発防止策の策定が自社だけで対応できない場合は、外部のセキュリティーパートナーへ相談してください。客観的な立場から自社のセキュリティー対策や課題を分析し、実情に見合った提案が得られます。

USBメモリの使用が原因でのマルウェア感染を防ぐには、以下6つの対策があげられます。

マルウェア感染のリスクを減らすには、ライトプロテクトスイッチや自動再生機能のウイルス対策など、ウイルス対策機能を搭載したUSBメモリの使用が有効な選択肢のひとつです。

業務でUSBメモリを使用し続ける限り、USBメモリを経由したマルウェア感染のリスクは消えません。USBメモリの使用が原因での情報漏洩やデータ消失、通常業務への支障を避けるには、セキュリティー対策が充実したUSBメモリを選定する必要があります。

安全性の高いUSBメモリの選定によって、パソコンに接続した際やデータ共有の際に生じるマルウェア感染への不安を軽減できます。

マルウェア感染や情報流出を防ぐため、USBメモリの使用ルールを整備することも重要です。USBメモリの持ち込みや外部への持ち出しが自由にできるほど、監視の目が届かなくなり、マルウェア感染のリスクが高まります。

マルウェア感染が原因での損失発生や通常業務への支障を避けるため、以下のようなルールを定めてください。

必要に応じて共有パソコンや私物パソコンへの接続禁止など、業務遂行の妨げにならない範囲でルールを追加し、マルウェア感染の防止に努めます。

USBメモリ経由でパソコンがマルウェアに感染するパターンは、USBメモリ→パソコン・パソコン→USBメモリの2つです。マルウェア感染のリスクを軽減するには、USBメモリと業務用パソコン、双方でのセキュリティー対策強化が必要です。

業務用パソコンの基本的なセキュリティー対策として、OSやアプリケーションは常にアップデートしてください。

古いバージョンのOSやアプリケーションを利用し続けると、新しい機能の実装や更新プログラムが適用されず、安全性を強化できません。

また、新しい脆弱性が見つかった場合は攻撃者に脆弱性を突かれ、マルウェアが侵入するリスクが高まります。OSやアプリケーションのリリース後、脆弱性が見つかるケースは珍しくありません。

こまめなアップデートで脆弱性への対応や安全性を強化することで、マルウェア感染を防止できます。

自社でWindowsパソコンを利用している場合は、マルウェア感染を防ぐために自動再生機能をオフに設定しておくことが重要です。

USBメモリ内にマルウェアが潜伏していても、自動再生機能をオフにしておけば、通常はファイルを開かない限りマルウェアへ感染する心配はいりません。

Windowsパソコンで自動再生機能を無効化する際は、以下の手順に沿って作業を進めてください。

USBメモリや機密情報を適切に扱うため、セキュリティー研修を定期的に実施し、従業員の意識を高めることが重要です。安全性に優れたUSBメモリやセキュリティーツールを導入しても、従業員の意識が変わらない限りはマルウェア感染のリスクは減らせません。

セキュリティー研修の受講で、マルウェアの感染経路や種類、感染後の被害などを学ぶと、日々の行動にも変化が表れます。

また、受講者数やリピート率が高い企業のセキュリティー研修を受講すると、最新のトレンドを含めて幅広い知識の習得が期待できます。

NGAVはマルウェアの侵入防止、EDRはマルウェア感染後の被害拡大を防ぐセキュリティーツールです。

NGAV（Next Generation Anti-Virus）とは、次世代型のアンチウイルスソフトです。AIや機械学習などの技術を導入しており、ランサムウェアやファイルレスマルウェアなど、従来のウイルスソフトでは対応できなかったマルウェアを検知します。

ファイルやプログラムの動作パターンなどを参考にマルウェアを判別するため、未知のマルウェアにも対応可能です。

一方、EDR（Endpoint Detection and Response）は、パソコンやサーバーなど、エンドポイント内に侵入したマルウェアを検知するセキュリティーツールです。

EDRでは、エンドポイントのログデータや挙動を継続的に監視・分析することで、マルウェアを含む異常をリアルタイムに検知できます。マルウェアを検知した際は、感染端末をネットワークから隔離することで、社内ネットワーク全体への被害拡大を防ぐことが可能です。

なお、24時間365日体制で監視・分析を行うためには、製品の導入だけではなく、専門の監視サービス（SOC）や外部ベンダーのサポートを活用することも重要です。これにより異常発生時の迅速な対応や、より高度なセキュリティ監督が実現できます。

また、マルウェアの感染経路や被害範囲なども把握できるため、再発防止策を素早く講じることも可能です。

マルウェア感染による損失や被害範囲を抑えるには、素早く正確な初動対応が必要です。システム管理者へ報告して指示を受けながら、感染したパソコンをネットワークから切り離してください。

また、USBメモリの使用制限やNGAV・EDRの導入など、再発防止に努めることも重要です。

ただし、セキュリティーに精通した人材が社内に不在のケースも考えられます。

自社だけで対応が難しい場合は、セキュリティーパートナー会社へ相談するのがおすすめです。豊富なノウハウや経験を兼ね備えた人材が多数在籍しており、自社の課題に見合った提案が得られる可能性が高く、マルウェア感染のリスクを軽減できます。

富士フイルムビジネスイノベーションでは、複数のセキュリティーソリューションや情報発信に努めています。USBメモリが原因でのマルウェア感染にお困りの方は、一度ご相談ください。

【関連コンテンツ】