感染USB社会拡散、自衛隊から工場・研究所まで及ぶ供給網リスク

感染USBが社会リスク化する背景

感染したUSBメモリーの問題は、防衛組織の管理不備という一部署の話に閉じません。USBは安価で、誰でも買え、ネットワークから切り離された環境にも自然に持ち込まれます。だからこそ、攻撃者から見れば、厳重な境界防御を迂回するための古典的で有効な入口になります。

重要なのは、USBメモリーが単なる「記憶媒体」ではない点です。端末からは周辺機器として認識され、ファイル、ショートカット、実行形式、さらにはファームウェアまで攻撃面になります。Mandiantは2023年前半、感染USBを使う攻撃の観測が3倍に増えたと報告しました。2026年6月にも、USB上のLNKファイルを使う新たな窃取型マルウェアが報じられています。

本稿では、ネット通販で入手できる安価なUSB、工場の制御システム、研究所の隔離ネットワーク、委託先の保守作業を一つの供給網として見ます。焦点は「どこの国の製品か」だけではありません。誰が調達し、誰が初期化し、誰が検査し、どの端末へ挿したかを追跡できるかです。

USBが防衛網に刺さる構造的弱点

記憶装置ではなく周辺機器としての脅威

USBの怖さは、利用者が画面で見えるファイルだけを危険だと考えがちな点にあります。BadUSBとして知られる攻撃は、保存領域ではなくUSB機器のファームウェアを悪用します。通常のウイルススキャンでファイルを消しても、機器そのものがキーボードやネットワーク機器のように振る舞えば、端末側は正規の入力として受け入れてしまいます。

WIREDが紹介した2014年の研究では、USB機器のファームウェアにコード署名がないため、真正性を端末側で検証しにくい構造が指摘されました。これは古い話ではありません。研究者はその後も、USB通信の整合性や周辺機器の挙動を悪用する手法を示してきました。OSやEDRを最新にしても、接続されたデバイスを何として認識するかという基礎部分に弱点が残ります。

さらに一般的なUSBワームは、ファームウェア攻撃ほど高度でなくても十分に危険です。MITRE ATT&CKのT1091は、リムーバブルメディアを介して切り離されたネットワークへマルウェアが移る手口を整理しています。Autorun、偽装ファイル名、LNKファイル、DLLサイドローディングなど、利用者に「いつものファイル」を開かせる攻撃は現在も使われています。

安さと匿名性が広げる調達の盲点

安全保障上の論点は、USBが中国製かどうかという一点に単純化できません。もちろん防衛、重要インフラ、先端研究では、製造国、販売者、物流、ファームウェア更新経路を含めた調達管理が必要です。しかし実務でより危ないのは、「安いから」「急ぎだから」「一時利用だから」という理由で、無名品や私物が管理網をすり抜けることです。

ネット通販で買える小型媒体は、調達台帳、資産番号、所有者、初期化手順、廃棄手順が曖昧になりやすい商品です。NIST SP 800-53のMP-7は、組織が指定する媒体の使用を制限または禁止し、所有者が識別できない携帯型記憶装置を組織システムで使わせない考え方を示しています。これは防衛機関だけでなく、研究機関、製造業、医療、金融にもそのまま当てはまります。

調達の盲点は「新品なら安全」という思い込みにもあります。攻撃者が狙うのは、必ずしもメーカーの工場だけではありません。初期設定用端末、検品用PC、販売店の在庫管理、委託先の作業端末、利用者が最初に挿す私物PCも攻撃面です。MandiantのSOGUやSNOWYDRIVEの事例では、感染したUSBが公共・民間の組織や石油・ガス関連組織を横断し、別のUSBへも感染を広げました。

この構図は地政学リスクとも接続します。国家支援型の攻撃者にとって、USBは費用対効果の高い入口です。海底ケーブルやクラウドのような大きなインフラを攻撃しなくても、保守員の作業机、研究者の解析端末、現場のHMIに小さな媒体を届かせれば、閉域網の内側に足場を作れます。小型の民生品が、国家安全保障の境界を越えるのです。

工場と研究所に残る持ち込み経路

OT環境で消えない作業用メディア

製造業の現場では、USBを全面禁止すれば済むわけではありません。生産設備には古いOS、専用ソフト、更新が難しいPLC、外部ネットワークに接続しにくいHMIが残ります。設計データ、ログ、パッチ、レシピ、検査結果を移すため、保守会社や設備メーカーがUSBを使う場面は今もあります。

MITRE ATT&CK for ICSのT0847は、リムーバブルドライブを通じた自己複製をICS向け技術として整理し、対象資産にアプリケーションサーバー、制御サーバー、HMI、PLC、RTU、ワークステーションなどを挙げています。対策としてはAutoRunの無効化、重要資産でのUSB制限、OS制御による未知のリムーバブルメディア対策が示されています。

Stuxnetは、USBが制御システムへ入る象徴的な事例です。空間的に隔離された環境でも、保守や更新のために人が媒体を運びます。WIREDのエアギャップ解説は、真の隔離環境でもデータ移送にUSBなどの物理媒体が必要になり、その経路が攻撃面になると説明しています。現場の利便性は、攻撃者にとっても利便性になるのです。

工場で特に難しいのは、IT部門だけでは判断できないことです。USBポートを無効化すれば、ライン停止時の復旧が遅れるかもしれません。検査装置や古い測定器が特定形式のUSBしか受け付けない場合もあります。したがって対策は「禁止」よりも「許可された媒体だけを、決められた中継端末で、記録を残して使う」運用へ落とす必要があります。

隔離ネットワークを越える保守運用

研究所や防衛関連施設でも、隔離ネットワークは万能ではありません。ゲノム解析、材料研究、宇宙・防衛技術、暗号研究の現場では、外部から受け取ったデータを解析環境へ移す作業があります。共同研究先、海外拠点、装置ベンダーが関われば、USBの由来と接続履歴は一気に複雑になります。

NISTの用語集は、リムーバブルメディアを「コンピューティング機器やネットワークに追加または取り外しできる携帯型データ記憶媒体」と定義し、USB、外付けSSD、メモリーカードなどを含めています。つまり、対策対象はUSBメモリーだけではありません。外付けHDD、SDカード、解析装置に付属する媒体、スマートフォン接続まで含めた管理が必要です。

NIST SP 800-171 Rev.3は、政府関連の重要情報を扱う非政府組織にもセキュリティ要件を適用する考え方を示しています。これは研究委託、部品供給、共同開発の実務に近い視点です。防衛や先端技術の情報は、中央官庁のネットワークだけでなく、大学、スタートアップ、部材メーカー、保守会社の端末にも存在します。

攻撃者は最も守りが固い本丸ではなく、周辺の弱い組織を足場にします。IPAの「情報セキュリティ10大脅威 2025」でも、組織向け脅威としてサプライチェーンや委託先を狙った攻撃、機密情報を狙う標的型攻撃、地政学的リスクに起因するサイバー攻撃が並んでいます。USBはこれらの脅威を現場へ接続する小さな運搬路です。

規制と現場運用が直面する三つの壁

第一の壁は、調達統制の粒度です。重要組織が「信頼できるメーカー品のみ」と定めても、代理店、保守委託先、研究協力者、現場作業員の私物まで同じ水準で管理するのは簡単ではありません。資産台帳に載らない小物ほど、監査で見落とされます。

第二の壁は、検査の限界です。通常のマルウェア検査は保存ファイルには有効ですが、ファームウェア改変やHID偽装には届きにくい場合があります。USBIPSやUSBCaptchaInの研究は、悪性USBに対する振る舞い検知や中間装置の必要性を示しています。これは、端末側のアンチウイルスだけに頼る発想では不十分だという意味です。

第三の壁は、現場の業務継続です。工場や研究所では、停止できない設備と更新できない端末があります。制限を強めすぎると、担当者が非公式な迂回策を作る恐れがあります。安全保障の現場では、厳格な規則よりも、守れる規則のほうが強い場合があります。中継端末、書き込み禁止媒体、接続ログ、承認フローを組み合わせる設計が必要です。

今後は、USBを個別の情報システム部門の問題ではなく、調達、施設管理、保守契約、輸出管理、研究倫理、危機管理をまたぐ課題として扱うべきです。国家支援型攻撃と犯罪グループは手口を共有し、LNKファイルやPowerShell、Tor経由のC2、暗号資産窃取まで組み合わせます。民生品の価格競争が、重要インフラの攻撃面を広げる構図を直視する必要があります。

企業と行政が今すぐ点検すべき対策

企業と行政がまず確認すべきなのは、USBを何本持っているかではなく、誰が、どの業務で、どの端末へ挿す権限を持つかです。所有者不明の媒体を禁止し、資産番号を付け、保守会社の持ち込み媒体にも同じルールを求めることが出発点になります。

次に、中継環境を整えるべきです。外部媒体は本番端末へ直接挿さず、専用端末で検査し、必要なファイルだけを移します。Microsoft DefenderのASRルールには、USBから実行される未署名・信頼されていないプロセスをブロックする項目があります。Windows環境では、こうした機能を監査モードから段階的に適用できます。

最後に、USBを「小さな消耗品」ではなく「移動する境界」として扱うことです。調達先の国籍を問うだけでは不十分です。真正性、所有者、接続履歴、検査手順、廃棄までを一続きで管理して初めて、防衛、工場、研究所をまたぐ感染の連鎖を断てます。小さな媒体への規律が、サイバー安全保障の足元を固めます。

参考資料:

• NIST SP 800-53 Rev. 5, Security and Privacy Controls for Information Systems and Organizations
• NIST Glossary: removable media
• NIST SP 800-171 Rev. 3, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
• IPA 情報セキュリティ10大脅威 2025
• MITRE ATT&CK T1091: Replication Through Removable Media
• MITRE ATT&CK for ICS T0847: Replication Through Removable Media
• Mandiant: The Spies Who Loved You: Infected USB Drives to Steal Secrets
• Microsoft Learn: Attack surface reduction rules reference
• WIRED: Why the Security of USB Is Fundamentally Broken
• WIRED: Hacker Lexicon: What Is an Air Gap?
• TechRadar: New lightweight, self-propagating crypto stealing malware delivered by USB
• USBIPS Framework: Protecting Hosts from Malicious USB Peripherals
• USBCaptchaIn: Preventing (Un)Conventional Attacks from Promiscuously Used USB Devices in Industrial Control Systems
• The Impostor Among US(B): Off-Path Injection Attacks on USB Communications