USB（Universal Serial Bus）は両刃の剣であり、デバイスとのインターフェースに革命をもたらした。プラグアンドプレイのため、機器間のデータ転送が簡単に行えます。しかし、USBメモリには欠点がないわけではありません。そして、ネットワーク全体を感染させるウイルスやマルウェアの媒介となったのです。

USBポートが完全に吹っ飛んだり、マザーボードが破壊されたりするUSB Killデバイスの登場です。これは、USBポートからコンデンサを充電し、その残酷な電圧をポートに戻すことで行います。この現象は、プラグが抜かれるか、ホストコンピュータが死ぬまで何度も起こります。

では、これらの機器がもたらすリスクを軽減するために、どのようなことができるか見てみましょう。

基礎知識

詳しく説明する前に、いくつかの簡単な経験則があります。

• 床に落ちているUSBメモリを**しないでください。
• お渡ししたUSBメモリは付属していません。
• 信頼できる人に、クラウド経由でファイルを送ってもらう。
• Samsung、SanDisk などの有名なサプライヤーから提供されていない USB ドライブは使用しないでくださ い。
• パソコンを放置しないでください。

このリストでほとんどのケースをカバーできるはずですが、USB機器のセキュリティはまだまだ改善される必要があります。

バイオの保護

もし、無人にしなければならないマシンがあれば、アクセスは比較的簡単です。誰でも簡単に起動可能なUSBドライブを作成し、そのドライブからライブ環境を起動することができます。これにより、暗号化されていないすべてのファイルにアクセスすることができるようになります。Windowsでは、ユーザーのパスワードをクリアすることもできます。基本入出力システム（BIOS）をパスワードで保護すると、ブートオプションが表示される前にもパスワードの入力が必要になります。

BIOSへのアクセス方法については、ハードウェアの**マーチャントのドキュメントを参照してください。一般的には、パソコンの起動中にdeleteキーを連打することで行われますが、これは**マーチャントとは異なります。パスワードの設定は、BIOSの「Security」セクションにあるはずです。

u**guardはあなたを応援します

コンピュータやサーバーを放置する必要がありますか？その場合、USBGuardという適切な名前のユーティリティで攻撃を防ぐことができます。これは、BadUSBとも呼ばれる悪意のあるUSBデバイスを防ぐためです。例えば、USBデバイスはキーボードを模倣して、ユーザーにログインするためのコマンドを発行することができます。これらのデバイスは、ネットワークカードを偽装し、コンピュータのDNS設定を変更してトラフィックをリダイレクトすることも可能です。

USBGuardは、基本的にブラックリストとホワイトリスト機能を実装することで、不正なUSBデバイスをブロックします。理想的なのは、信頼できる一部のデバイスを除いて、USBデバイスを許可しないことです。USBデバイスやハブを**すると、USBGuardはまずデバイスをスキャンします。USBGuardの優れた点は、Linuxカーネルに直接実装されている機能を使用している点です。

Ubuntu 16.10以降をお使いの場合、以下のコマンドを入力することで、USBGuardをインストールすることができます。

sudo apt install u**guard

もし、古い*buntusを使用している場合は、GitHub [no longer available]の指示に従ってください。この例では、特定のIDを持つデバイスを認証する方法を示す、簡単な許可に従います。立ち上げるには、使用します。

u**guard generate-policy > rules.conf
nano rules.conf

追加されるポリシーを確認する時間を取ってください。このステップでは、現在の**コンピュータ上のすべてのものを追加し、認証します。認証したくないデバイスの行を削除したり、コメントアウトしたりすることができます。

sudo install -m 0600 -o root -g root rules.conf /etc/u**guard/rules.conf
sudo systemctl restart u**guard

テストにかける

ここまでは、接続したデバイスが検出されたように見えても動作しません。i**USBドライブでlsu**を実行し、システムに接続されているすべてのUSBデバイスを一覧表示して確認します。SanDiskのIDに注意してください、これは後で使用します。

Ubuntuでこのデバイスは検出されるものの、マウントされた形跡がないのです

このデバイスを認証済みデバイスのリストに追加するには、以下を実行します。

sudo nano /etc/u**guard/rules.conf

ここで、SanDiskのIDをrules.confファイルに追加し、認証されたデバイスの1つとして設定します。

USBGuardのサービスを再起動するだけで、簡単に利用できるようになりました。

sudo systemctl restart u**guard

ここでUSBドライブを抜き差しすると、USBGuardはrules.confをチェックし、idを許可されたデバイスとして識別し、使用を許可します。

これですぐに通常使用できる状態になります。これは、デバイスIDのみを許可する簡単な方法です。本当に特定したい場合は、以下のようなルールrule.confを追加します。

allow 0781:5151 name "SanDisk Corp. Cruzer Micro Flash Drive" serial "0001234567" via-port "1-2"
reject via-port "1-2"

上記のルールは、特定のポートでそのID、名前、シリアル番号に一致するデバイスのみを許可します。拒否ルールは、そのポートで他のデバイス**を許可しません。選択肢はほぼ無限ですが、オンラインで入手可能です。

物理的な防止

USBGuardは、悪名高いUSB**攻撃からあなたを保護しないかもしれません。では、どうすればいいのか？あなたがあなたのUSBポートを制御し、まだ**いくつかの不審なUSBドライブに必要な場合は、いくつかのソリューションが用意されています。新しいラップトップに比べてUSBハブの価格は最小限です。この旬の技術を使う大きなメリットは、その付属品が広く普及し、安価に入手できることです。自分のマシンに**通電するのではなく、ブランドの良いものを取って、USBハブ**に通せばいいのです。USBメモリがUSB**であれば、USBハブが吹っ飛ぶので、マシンは無事です。

このような場合、USBデバイスとコンピュータの間に設置するハードウェア・ファイアウォールであるUSGを使用することもできます。マウス、キーボード、USBメモリーに対応しています。悪意のある活動をフィルタリングし、必要なデータを配信することで、バッドバブからあなたを守ります。

これは行き過ぎではないか？

働く環境によっては、そのようなこともあるかもしれません。もし、自分が完全にコントロールできない**デバイスは使わないという余裕があり、自分のマシンにアクセスできるのが自分だけであれば、それがベストなケースと言えるでしょう。しかし、「どうすればこの被害を防げるか」を考えている人たちがいること、そして「どうすればこの被害を防げるか」を考えている人たちがいることは、明るい材料だと思います。

信頼性の低いUSBデバイスで嫌な思いをしたことはありませんか？あなたやあなたの会社が安全なUSB対策を行うにはどうしたらよいでしょうか？下のコメント欄で教えてください

写真提供：Frantisek Keclik/Shutterstock