パソコンに差し込んだだけで利用できるUSBメモリは、その利便性の高さからさまざまなビジネスシーンで活躍しています。
しかし、USBメモリが原因となるセキュリティ事故が相次いでいることをご存知でしょうか。例えば、尼崎市では2022年6月21日に、約46万人分の個人情報が入ったUSBメモリを一時紛失する事案が発生しています(※)。
この記事では、USBメモリのセキュリティ対策の必要性や、過去に発生した主な被害事例、セキュリティ機能が付いたおすすめの製品例を紹介します。
navigate_next※参考:個人情報保護委員会.「尼崎市USBメモリ紛失事案に対する個人情報の保護に関する法律に基づく行政上の対応について」p2
目次
USBメモリのセキュリティ対策が必要な理由
情報処理推進機構が公表した「情報セキュリティ10大脅威 2024」には、USBメモリが関わる脅威もランクインしています(※)。
| 順位 | 「組織」向け脅威 |
|---|---|
| 1位 | ランサムウェアによる被害 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 |
| 3位 | 内部不正による情報漏えい等の被害 |
| 4位 | 標的型攻撃による機密情報の窃取 |
| 5位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 6位 | 不注意による情報漏えい等の被害 |
| 7位 | 脆弱性対策情報の公開に伴う悪用増加 |
| 8位 | ビジネスメール詐欺による金銭被害 |
| 9位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) |
例えば、第3位の「内部不正による情報漏えい等の被害」には、従業員などの組織関係者がUSBメモリに機密情報をコピーして持ち出し、第三者に提供したり、不特定多数が閲覧できる場所へ公開したりする事案が含まれます。
また第6位の「不注意による情報漏えい等の被害」は、USBメモリの紛失・盗難により、情報が漏えいする事案が相次いでいることからランクインしました。
その他、USBメモリを差し込んだだけで感染が広がる「USB媒介ウイルス(USB感染型マルウェア)」も、近年脅威を増しているといわれています。ここでは、実際に起きた事案に基づき、USBメモリのセキュリティ対策が必要な理由を3つ紹介します。
navigate_next※参考:独立行政法人 情報処理推進機構.「情報セキュリティ10大脅威 2024~脅威に呑まれる前に十分なセキュリティ対策を~」p7
紛失・盗難によって情報漏えいが起きるリスクがあるため
USBメモリは小さく持ち運びが楽であるため、日々の業務に関わる情報を保存している方も多いでしょう。しかし、USBメモリの紛失・盗難により、個人情報や機密情報を流出させてしまう事案が相次いでいます。
情報漏えいが起きた場合、個人情報などを悪用した二次被害(詐欺など)や、報道による社会的信用の低下、売上減少などの経済的損失につながる恐れがあります。USBメモリの紛失・盗難を未然に防ぐとともに、万が一、USBメモリが第三者の手にわたっても、データを悪用されにくくするセキュリティ対策が必要です。
従業員などの組織関係者が機密情報を持ち出すリスクがあるため
従業員や元従業員が、技術情報や顧客情報などをUSBメモリにコピーし、不正に持ち出す事案も発生しています。こうした組織関係者による不正行為を「内部不正」といいます。
内部不正は、不注意による情報漏えいと異なり、悪意を持った人物によって情報の持ち出しが行われるのが特徴です。そのため、組織の社会的信用の失墜や、顧客などに対する多額の損害賠償、業務停滞による経済的損失など、深刻な被害につながる恐れがあります。
内部不正が行われる動機として、以下のようなものが挙げられます。
- 金銭的な対価の受領
- 転職先の競合企業などでの悪用
- 組織への私怨
内部不正による不正な持ち出しを防ぐには、重要情報を含むUSBメモリの利用制限や、退職者が使用していたUSBメモリのデータ消去・廃棄などのセキュリティ対策が必要です。
USB媒介ウイルス(USB感染型マルウェア)の脅威が増大しているため
USB媒介ウイルスとは、USB感染型マルウェアとも呼ばれ、“USBメモリなどをコンピュータに差し込んだだけで感染するウイルス”の総称です(※1)。
主なUSB媒介ウイルスとして、USBメモリの自動実行機能を悪用するマルウェアが挙げられます。マルウェアの種類には、Web感染型やネットワーク感染型、メール添付型などさまざまな種類がありますが、近年はUSB感染型マルウェアによる被害が増加しているといわれています(※2)。
| マルウェアの主な種類 | 特徴 |
|---|---|
| Web感染型 | マルウェア配布サイトへのリンクを改ざんされ、そのページを見ただけで感染する |
| ネットワーク感染型 | インターネットに接続しただけで外部から感染攻撃を受け感染する |
| メール添付型 | メールに添付されたマルウェアを実行する |
| USB感染型 | USBメモリを媒介手段としてパソコンからパソコンに感染していく |
USB感染型マルウェアに感染すると、そのパソコンに差し込んだUSBメモリを通じて、パソコンからパソコンへと感染が次々に広がっていくという特徴があります。マルウェアはUSBメモリ以外にも、悪意のあるWebサイトを経由して感染する可能性があるため、セキュリティ対策として、信頼できないWebサイトへのアクセスを禁止するとともに、USBメモリ自体にセキュリティ機能が付いた製品を導入すると良いでしょう。
navigate_next※1出典:総務省.「用語集英字」
navigate_next※2参考:総務省 ACTIVE.「外部記憶媒体(USBなど)からの感染を予防する」
USBメモリが原因となるセキュリティインシデントの事例
ここでは、USBメモリの不適切な管理が原因となり、個人情報や機密情報が危険にさらされた事例を3つ紹介します。
- 約46万人分の個人情報が入ったUSBメモリを一時紛失した事例
- 海外で置き引き被害に遭い、2,016件の個人情報が流出した恐れのある事例
- 顧客情報928万件をUSBメモリにコピーして持ち出し、名簿業者に販売した事例
約46万人分の個人情報が入ったUSBメモリを一時紛失した事例
1つ目は、尼崎市で個人情報の取り扱いの委託を受けていた事業者が、USBメモリを入れたカバンを一時紛失し、同市の全住民46万517人分の住民基本台帳の情報などが流出した恐れのある事例です(※1)。
| 個人情報の内容 | 例 |
|---|---|
| 全市民の住民基本台帳の情報(46万517人分) | 統一コード、氏名、郵便番号、住所、生年月日、性別、住民となった年月日など |
| 住民税にかかる税情報(36万573件) | 統一コード、住民税の均等割額 |
| 非課税世帯等臨時特別給付金の対象世帯情報(令和3年度分7万4,767世帯分、令和4年度分7,949世帯分) | 世帯主の統一コード、申請書番号、申請受付日、申請書不達理由、振込済処理日時など |
| 生活保護受給世帯と児童手当受給世帯の口座情報(生保1万6,765件、児手6万9,261件) | 統一コード、金融機関コード、支店コード、口座区分、口座番号、口座名義 |
尼崎市の調べによると、USBメモリの一時紛失に至った原因は3つあります(※2)。
- 市の承諾を得ることなく、USBメモリの外部への持ち出しを行っていたこと
- USBメモリを鍵付き金属ケースに入れるなど、必要なセキュリティ対策を行っていなかったこと
- データ移転作業後、飲食店に立ち寄り食事をするなど、当事者のセキュリティ意識が希薄だったこと
その後の調査では、外部への個人情報の漏洩は確認されていませんが、市から委託を受けた事業者は2,950万1,005円の損害賠償を請求されています(※3)。
navigate_next※1参考:尼崎市.「住民税非課税世帯等に対する臨時特別給付金における個人情報を含むUSBメモリーの紛失について」
navigate_next※2参考:尼崎市.「尼崎市USBメモリー紛失事案調査委員会調査報告書を受けての市の対応について」
海外で置き引き被害に遭い、約2,000件の個人情報が流出した恐れのある事例
2つ目は、東海大学の教員が海外で盗難被害に遭い、同大学の在学生や卒業生などの個人情報を約2,000件流出させた恐れのある事例です(※1)。
同大学の教員は、2023年2月6日にフランス・パリ近郊の空港に滞在していたところ、個人情報が保存されたノートパソコンとUSBメモリが入ったカバンの置き引きに遭いました。流出した恐れのある個人情報には、以下のようなものがあります(※1)。
- 履修者名簿に記載された、在学生216名、卒業生1,530名の学生証番号や氏名、出欠記録、成績評価
- ゼミ生270名の顔写真
- 2020年以降、電子データで提出を受けたレポート
- 2020年以降、電子データで提出を受けた試験答案
その後の調査では、第三者による個人情報の悪用は確認されていないものの、紛失したUSBメモリは発見に至っていません。また同年2月20日には、日本大学の教員もフランス・パリにおいて、個人所有のノートパソコンおよびUSBメモリの置き引き被害に遭っています(※2)。
navigate_next※1参考:東海大学.「本学教員所有のノートパソコンとUSBメモリの盗難被害について」
navigate_next※2参考:日本大学.「ノートパソコン及びUSBメモリの盗難に伴う個人情報漏えいについて(お詫び)」
顧客情報928万件をUSBメモリにコピーして持ち出し、名簿業者に販売した事例
3つ目は、コールセンターシステムの運用保守業務の委託を受けていた事業者が、顧客情報を不正に持ち出し、第三者に流出させていたことが発覚した事例です。
同社に勤務していた元派遣社員は、2013年7月から2023年1月にかけて、管理者アカウントを悪用して不正アクセスを行い、少なくとも69組織の顧客情報928万件をUSBメモリにコピーして持ち出しました。顧客情報は名簿業者に販売され、1,000万円以上を対価として受け取ったと見られています(※)。
元派遣社員は2024年1月31日、不正競争防止法違反の容疑で岡山県警に逮捕されました(※)。
navigate_next※参考:独立行政法人 情報処理推進機構.「情報セキュリティ10大脅威 2024~脅威に呑まれる前に十分なセキュリティ対策を~」p47
USBメモリのセキュリティを強化する対策法
USBメモリのセキュリティ対策には、以下のようなものがあります。
- USBメモリのデータを暗号化する
- USBメモリの自動実行機能を停止する
- セキュリティソフトでUSBメモリの利用を制限する
USBメモリのデータを暗号化する
USBメモリのデータを暗号化すれば、万が一、紛失・盗難の被害に遭っても、第三者にデータを悪用されにくくなります。USBメモリのデータを暗号化する方法は、大きく分けて2つあります。
- セキュリティソフトなどを使用し、暗号化したいファイルにパスワードを設定する
- セキュリティ機能付きのUSBメモリを導入し、全てのファイルを自動的に暗号化する
データを自動的に暗号化したい場合はセキュリティ機能付きのUSBメモリ、一部のファイルのみ暗号化したい場合はセキュリティソフトを導入すると良いでしょう。
USBメモリの自動実行機能を停止する
USB媒介ウイルス(USB感染型マルウェア)の多くは、USBメモリの自動実行機能を悪用しており、パソコンに差し込んだだけで感染します。そのため、Autorun.infと呼ばれる自動実行機能を停止することで、ウイルス感染のリスクを減らせるでしょう。
自動実行機能の停止方法は、お使いのパソコンのOSによって異なります。例えば、Windows Vistaの場合、グループポリシーの設定変更が必要ですが、Windows 7以降はコントロールパネルから自動実行機能を停止できます(※)。
navigate_next※参考:総務省.「感染予防方法 自動実行の禁止(WindowsVista)」
navigate_next※参考:総務省.「感染予防方法 自動実行の禁止(Windows7)
navigate_next※参考:総務省.「感染予防方法 自動実行の禁止(Windows8)」
セキュリティソフトでUSBメモリの利用を制限する
USBメモリの不正な持ち出しを防ぐには、登録されていないパソコンや、権限のないユーザーによる利用を制限する必要があります。USBメモリの利用制限には、デバイス制御ソフトと呼ばれるセキュリティソフトウェアを用いることが一般的です。
デバイス制御ソフトなら、USBメモリを一定期間のみ利用可能にすることも可能です。設定した期間を過ぎると、USBメモリが自動的に使用できなくなるため、万が一、紛失・盗難に遭ってもデータを保護できます。
テレワーク・リモートワークを導入している企業や、USBメモリの貸し出しを行っている企業は、デバイス制御ソフトの導入を検討しましょう。
セキュリティ機能付きUSBメモリの選び方
セキュリティ事故を防ぐには、USBメモリ本体のセキュリティを強化することも大切です。メーカーによっては、法人向けにセキュリティ機能付きのUSBメモリを販売している場合があります。
ここでは、セキュリティ機能付きUSBメモリの選び方を3つ紹介します。
- セキュリティ機能の種類で選ぶ
- コネクタの形状で選ぶ
- データの転送速度で選ぶ
セキュリティ機能の種類で選ぶ
セキュリティ機能付きUSBメモリといっても、さまざまな機能があります。以下の機能の中から、自社に合ったものを選びましょう。
| 主なセキュリティ機能 | 特徴 |
|---|---|
| ウイルス対策機能 | USBメモリ本体にウイルス対策ソフトが搭載されており、ウイルスを自動で検知・除去する |
| 自動暗号化 | AES256bitなどの強力な暗号化方式を用いて、USBメモリの記憶領域を自動で暗号化する |
| パスワードロック | USBメモリを利用する際に、正しいパスワードを入力しなければデータにアクセスできなくする |
| パスワード自動認証 | 登録済みのパソコンにUSBメモリを差し込むと、自動的に認証が完了する |
| 指紋認証 | パスワードを入力する代わりに、ユーザー本人の指紋を利用して認証する |
コネクタの形状で選ぶ
USBメモリのコネクタ(差し込み口)には、さまざまな種類があります。
- USB Type-A
- USB Type-C
- Micro USB2.0 Type-B(USB microB)
- Lightning
コネクタの形状が接続したい機器に合っていないと、そもそもUSBメモリを利用できないため注意しましょう。
データの転送速度で選ぶ
USBメモリには、USB 1.0からUSB 3.0まで、さまざまな規格が使われています。
USBの規格によって、データの転送速度が異なります。業務効率や生産性の向上を考えるならば、データの転送速度が速いUSBメモリを選ぶと良いでしょう。
例えば、USB 1.1は転送速度が最大12Mbpsですが、USB 3.0なら最大5Gbpsという転送速度でデータの読み書きが可能です(※)。
navigate_next※参考:総務省.「用語集英字」
セキュリティ機能付きUSBメモリのおすすめモデル
ここでは、セキュリティ機能付きUSBメモリのおすすめモデルを紹介します。
BUFFALO RUF3-HSEVシリーズ
1つ目の製品は、BUFFALO(バッファロー)のRUF3-HSEVシリーズです。プログラムに不審な挙動がないか監視するヒューリスティック機能が搭載されており、新種や未知のウイルスも検出できます。
また自動パスワード認証機能では、よく使うパソコンを3台まで登録できます。パスワードを入力しなくてもUSBメモリを使用できるため、業務効率の向上につながるでしょう。
ELECOM MF-PUVT3M1シリーズ
2つ目の製品は、ELECOM(エレコム)のMF-PUVT3M1シリーズです。
強力なウイルス対策機能が搭載されており、データが保存・更新される際にウイルスチェックが行われます。USBメモリをインターネットにつながったパソコンに接続すると、ウイルス定義ファイル(パターンファイル)が自動的に更新されるのも特徴です。
またAES256bitによるハードウェア暗号化機能もあり、大切なデータを保護できます。仮に本体を分解したとしても、暗号を解読した場合に限りデータを読み込める仕組みになっています。
USBメモリを安全に運用するためのセキュリティ対策が必要
USBメモリの紛失・盗難や、外部への不正な持ち出しによって、セキュリティ事故が多発しています。そのため、USBメモリを安全に管理し、大切なデータを保護するためのセキュリティ対策が必要です。
USBメモリのセキュリティ対策なら、株式会社ラネクシーのデバイス制御ソフトがおすすめです。
例えば、RunDX(ランディーエックス)を導入すれば、専門知識がない方でも簡単にUSBメモリのセキュリティを強化できます。RunDXはUSBメモリをはじめ、さまざまな外部デバイスの利用を制限できるセキュリティソフトウェアです。
デバイスの使用に際し、許可や禁止、読み取り専用といった細かいセキュリティポリシーを設定できるのが特徴の一つです。無料のトライアル版も用意していますので、ぜひお問い合わせください。
RunDX について詳しくはこちら
RunDX 無料トライアルはこちら
お問い合わせはこちら
目次
株式会社ラネクシー RunDX 担当者
20年近くにわたりデバイス制御と向き合い、活用方法を模索し続けているRunDXの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!
