USBを悪用したサイバー攻撃を解説 ~AutoRun、BadUSB、Stuxnet~
「USBを悪用したサイバー攻撃」を久しぶりに聞いたという方も多いのでは?しかし実態は、まだ脅威として存在する攻撃手法です。今回は、USBを悪用したサイバー攻撃の変遷と対策を解説します。
USBを悪用したサイバー攻撃を解説~AutoRun、BadUSB、Stuxnet~
サイバー攻撃の侵入経路は、メール、Web、VPNをはじめとしたネットワーク機器経由など、様々なものがあります。その中でもこの2026年6月、一部報道や防衛大臣記者会見の中で「ウイルスに感染したUSBメモリ」を自衛隊が使用していた事例が言及され、USB経由でのサイバー攻撃に注目が集まっています。以前は「USBウイルス」や「USBワーム」などと呼ばれるマルウェアが猛威をふるったこともあり侵入経路として警戒されてきたUSBですが、近年の重大事例で攻撃者の侵入口として指摘されることも少なくなっています。
そのため、USBを悪用したサイバー攻撃については「1周回って知らない話」になっている方も多いのではないでしょうか?しかし、実際にはUSBを侵入口とした脅威がなくなったわけではありません。USBを悪用したサイバー攻撃とその攻撃手法を知ることは、サイバー攻撃に対抗するためにも非常に重要です。本稿では、改めてUSBを悪用したサイバー攻撃や、USBメモリを含めた外部記憶媒体を法人組織が利用する際の留意点などを解説します。
USBを悪用したサイバー攻撃とは
USB(Universal Serial Bus)はPC接続規格として最も普及した存在です。逆に最も普及した規格であるがゆえに、サイバー攻撃においても悪用され続けています。中でもUSBの仕様を技術的に悪用する攻撃手法として「USBウイルス※」と「BadUSB」があります。
※USBウイルス、USBワーム、USBマルウェアなどの呼称が存在しますが、本稿では断りない限りUSBウイルスで統一します。
USBウイルス
「USBワーム(USB Worm)」とも呼ばれる「USBウイルス」の最大の特徴は「USBをPCに挿すと自動的にマルウェアに感染してしまう」ことです。これはWindows OSの機能である「AutoRun」を悪用した攻撃手法です。
まずWindows OSには「AutoPlay」という機能があります。これはメディア挿入時にどのような処理をするかを選択できる機能であり、例えばPCに音楽CDなどを挿入した場合にメディアプレイヤーなどで自動的に再生開始するといった用途で使われています。
「AutoRun」はこの「AutoPlay」を一歩進めた機能であり、USBメモリやハードディスク、メモリカードなどUSB接続のリムーバブルメディア上の設定ファイルである「Autorun.inf」に記述された任意のコマンドを自動的に実行する機能です。攻撃者はこのAutoRun機能を悪用し、USBをPCに挿すと自動的にマルウェアが実行されてしまう活動を実現してしまいました。
USBウイルスが活動中のPCにUSBメモリやUSB接続のハードディスクやメモリカードなどのリムーバブルドライブが接続された場合、そこに自身のコピーを作成するとともにそのコピーが実行されるようAutorun.infを設定します。例としてUSBウイルスのコピーが「autoregistry.exe」だった場合、Autorun.infに以下の設定を記述します。
これだけでUSBメモリ挿入時にマルウェアファイルが自動実行されるようになります。この「感染したUSB」を他のPCに挿すことでPCが感染し、感染したPCで使用したUSBドライブすべてが感染していく様からUSBウイルスと呼ばれるようになりました。
USBウイルスの活動を行うマルウェアの中でも最も悪名が高いものとして、2008年11月に登場した「DOWNAD(ダウンアド、別名:Conficker(コンフィッカー))」があります。DOWNADは最初の登場時点ではネットワーク経由でWindowsの脆弱性「MS08-067」を悪用して感染を拡大する「ネットワークワーム」活動のみでした。その後すぐにUSBウイルスの活動を併せ持つ亜種が登場し、全世界に感染を拡大したことで過去最悪のマルウェアの1つに数えられています。
このDOWNADとは別に、一般にUSBウイルスの挙動を持つマルウェアを当社では「Worm_Autorun(オートラン)」「MAL_OTORUN(オートラン)」などの検出名で一括して対応しています。また、USBウイルスの本体ファイルだけでなく、USBウイルスの設定が含まれているAutorun.infファイルに対しても「MAL_OTORUN」などの検出名で対応しています。
USBウイルスは感染したPCに接続されているすべてのドライブに感染すること、リムーバブルドライブはPCから取り外して保管される場合が多いことなどから、いったんすべてを駆除したつもりでも感染したままのUSBをまた挿してしまって再感染した、感染に気付かず放置されていたUSBを挿したところマルウェアが検出された、といった問い合わせが当時から多く、しぶとく生き残る性質もUSBウイルスの厄介な点でした。
このように厄介なUSBウイルスへの対策としてMicrosoftは、Windows 7以降のWindows OSの標準設定でAutoRun機能を無効にしました※。現行のWindows 11でも引き継がれているこのAutoRun無効化により、USBウイルスは「挿しただけで感染」することができなくなり、沈静化していきました。
※CD/DVDなどの光学メディアの、AutoPlayは有効。
攻撃者目線で考えた場合、Windowsの設定変更によってAutoRun機能を再び有効化することは技術的に可能です。ただし有効化のためには利用者を騙すか、設定変更のためのツールを実行させることにより、設定変更を行う必要があります。いったん設定変更をさせたあと、物理的にリムーバブルドライブを接続させるのは、攻撃者の観点では二度手間となり、現在確認されている他の攻撃方法と比べると、有効な攻撃手段とは言えないでしょう。このため現在では新たなUSBウイルスはほとんど存在せず、当時から感染したままのUSBを使用した際に検出されるだけの存在となっています。
BadUSB
USBを技術的に悪用し「USBを挿しただけで感染(被害発生)」を実現するもう1つの攻撃手法が「BadUSB(バッドユーエスビー)」です。BadUSBは、USB機器が自身の種類(デバイスクラス)を自己申告できること、またホストはそれを無検証で信頼するという設計上の前提を悪用する攻撃の総称です。
現在確認されている悪用シナリオとしては、自身をHID(Human Interface Device)クラスのキーボードとして接続し自動的なキー入力によって不正コマンドを実行する「キーストロークインジェクション」攻撃があります。例えばUSB挿入後にあらかじめ準備した不正なWebサイトからマルウェアをダウンロードして実行するコマンドを自動的に入力することによりマルウェアに感染させる、というような攻撃が可能です。
この攻撃を成立させる手法としては、そもそもHIDクラスを名乗る専用のハッキングツールを作成し接続する方法と、既存USB機器のファームウェアを書き換えてHIDクラスとして認識させる方法の2つがあります。
前者の専用ハッキングツールとしては、海外のペンテストツール開発ベンダーが2010年に開発した「USB Rubber Ducky」があります。後者のファームウェア書き換えの手法に関しては、細工されたUSBメモリによりシステムを侵害する実証実験が2014年のBlack Hat USAで発表されています。ちなみにBadUSBという用語はこの発表から来ています。
実際にBadUSBを悪用した攻撃の事例として、2020年ころから、法人組織に対し贈り物に偽装して郵送されたUSBメモリ型のBadUSBデバイスによりバックドアに感染させられる事例が発生しています。同種の攻撃は2021年以降も確認されており、2022年にはFBIから注意喚起が出されています。この攻撃は様々な攻撃ツールを悪用して管理者権限を奪い横展開した後、最終的にREvilなどのランサムウェア感染を狙ったものとされています。また、2023年には同じくFBIがホテル、空港、ショッピングセンターなど公共の場所に設置されているUSBポートを経由してマルウェア感染させる手法が確認されたことを注意喚起しています。
画面:「BadUSB」に関するFBIによる注意喚起
USBの仕様上、BadUSB自体を検知することは難しく、現実的にはUSBのデバイスクラスレベルでのコントロールが対策の中核となります。ただし攻撃者にとってもBadUSBによる攻撃を行うためには、USBメモリやUSBケーブルなどの機器を用意し、物理的に攻撃対象の元に送り込む必要があります。このため、攻撃者にとって容易に可能な攻撃手法というわけではありません。可能性の高い悪用シナリオとしては、攻撃対象を絞った標的型攻撃が考えられます。
「USBを挿しただけで感染」以外の攻撃手法
「USBウイルス」や「BadUSB」のようなUSBを技術的に悪用する手法とは別に、攻撃者はUSBメモリなどのリムーバブルメディアを、マルウェアのファイルを保存し運ぶための手段として使ってきました。USBを挿しただけで自動的に感染させることができなかったとしても、USBメモリ内に保存したファイル(マルウェア)を利用者に開かせる(実行させる)ことができれば、攻撃者は目的を達成できます。そのためにアイコン偽装やショートカットの悪用などによって無害なファイルと誤解させる手口がよく使われています。
また、攻撃の中でUSBメモリが本来のUSBメモリとしてだけ使われたと考えられる事例も存在します。2023年から2024年にかけて、トレンドマイクロが「Earth Harpy」として追跡しているAPTグループによるものと考えられる、複数のマルウェア感染事例が発生しました。具体的には、中国や東南アジアに出張した利用者のノートPCがマルウェアに感染させられていたことが、帰国後に発覚したものです。この事例における複数の感染ノートPCへの調査から、リムーバブルドライブ上のマルウェアファイルが直接実行されたことが感染原因とわかりました。しかしこの事実に対し、端末の利用者は一様にUSBメモリなどを使用した記憶がないとしています。このため出張中のどこかのタイミングで、利用者が端末から離れた隙に攻撃者が物理的に端末にアクセスし、USBメモリを接続して内部に保存されたマルウェアファイルを実行して感染させたものと考えられます。
(関連記事)
標的型攻撃の最新動向~海外滞在時、物理的に標的のPCに接触する新たな攻撃を確認~
この事例は、攻撃者が直接端末にアクセスしたという、スパイ小説さながらの攻撃手法に目を奪われがちです。しかし組織のセキュリティ観点からは、出張時に端末を物理的に離さない、出張用端末は専用機を用意してログイン情報や機微情報を載せない、帰国後はEDRやXDRによる挙動の精査を行う、といった『移動時の物理セキュリティ』を組織方針として明文化する必要性を示しているものと言えます。
そして攻撃者にとって最もUSBが重要な存在となるのは、工場などのOT環境に多い「閉域環境※」に対する攻撃においてです。他のネットワークと繋がっていない閉域環境で外部からのファイル持ち込みや外部へのデータ持ち出しの手段として使われるUSBメモリは、攻撃者の観点から言えば、閉域環境に対するほとんど唯一のアタックサーフェス(攻撃対象領域)です。
※エアギャップ(air gap)環境ともいう。
この閉域環境へのアタックサーフェスとしてUSBが狙われた攻撃として、もっとも有名な事例の1つが2010年に確認されたマルウェア「Stuxnet(スタックスネット)」の事例です。攻撃者は閉域環境のネットワークにUSBメモリ経由でStuxnetを侵入させ、破壊活動を成功させました。このUSB経由の侵入の際に攻撃者はUSBウイルス活動ではなく、「.LNKファイル」の脆弱性(MS10-046)を悪用し、利用者がUSBメモリをエクスプローラで開いた際にStuxnetのマルウェアファイルが実行されるようにしていました。セキュリティの観点からこのStuxnetの事例は「閉域だから絶対安全」という思い込みを見直すべき事例ともなっています。
このように様々な悪用が考えられるUSBですが、いずれの手法にせよ、物理的なデバイスを攻撃対象の元に届けることが攻撃の前提となり、攻撃者にとってはあまり効率的とは言えません。このため、広く一般を狙う攻撃というよりも、限られた範囲に対する標的型攻撃での悪用が、最もあり得るシナリオと言えます。特に、閉域環境を狙う攻撃においてはほぼ唯一のアタックサーフェスであるため、今後も攻撃者にとっての貴重な攻撃手法として選択されるものと考えられます。
USBを悪用したサイバー攻撃への対策
ここまでUSBウイルスやUSBを悪用したサイバー攻撃について解説してきました。それではこれらの脅威を踏まえて法人組織はどのようなサイバーセキュリティ対策を講じるべきなのでしょうか。まず対策に当たっては「何から守るのか」を明確にすることが重要です。
USBを悪用した攻撃については、
・「コンテンツリスク」:USB機器内に保存されたマルウェアファイルのリスク
・「デバイスリスク」:BadUSBのようなUSB機器自体のリスク
の2つが対応すべきリスクとなります。
また、組織でのUSB利用時に認識すべきリスクとしては、内部の重要データを持ち出すためにUSB機器が使われる「持ち出しリスク」もあります。
ここでは攻撃への対策に絞り、「コンテンツリスク」と「デバイスリスク」への主な対策を、技術的、組織的の両面で解説します。
技術的対策
まず「コンテンツリスク」への技術的対策の前提として、Windows OSのAutoRun機能無効化があります。現行のWindowsでは標準で無効になっていることにより「USBを挿しただけで感染」する危険性はほぼ無視することができ、USBドライブ内のマルウェアファイルを手動で開いてしまうことを防ぐことに注力できます。
また「デバイスリスク」への技術的対策としてはそもそも信用できないUSB機器は接続させないことが重要です。
ここではまずデバイスコントロールを中核とした対策の全体像を以下のマッピング表で示します。詳細は表の後の各項目で解説します:
| 対策 | コンテンツリスク | デバイスリスク | 持ち出しリスク |
| マスストレージクラス無効化 | ◎ | ○ | ◎ |
| HIDクラス接続制限 | − | ◎ | − |
| ホワイトリスト方式 | ◎ | ◎ | − |
| EPP/EDR/XDR | ○ | △ | △ |
表:USBを悪用した攻撃に対する技術的対策の有効性
・デバイスコントロール(マスストレージクラスのブロック):
USB経由のファイルのやり取りが必要ではない環境では、USBドライブとして使用するためのマスストレージクラスでのUSB接続を無効化してしまう対策が有効です。これによりUSB機器内にマルウェアが保持されていてもアクセスできないため「コンテンツリスク」対策として万全です。また内部からの「持ち出しリスク」への対策にもなります。
・デバイスコントロール(HIDクラスの接続制限):
BadUSBの攻撃で想定されるHIDクラスの新規接続を不可、もしくは許可制にします。これにより、不用意なUSB機器の接続で「キーストロークインジェクション」が成立してしまうことを防ぎます。
・デバイスコントロール(ID/シリアル単位のホワイトリスト方式による接続制限):
機器のIDやシリアル単位でのホワイトリスト方式で接続を制限することにより、認識されていないデバイスの接続を不可とします。もっとも精緻な対策と言えますが、継続した機器管理と運用体制の構築が必要です。
・EPPによるスキャン、EDR/XDRによる監視、脆弱性対策:
最低限の技術的対策としてEPPなどによるUSB機器内のマルウェアスキャンが必要です。またUSBに関する脅威への対策に限った話ではありませんが、一般的なIT環境と同様にEDRやXDRによる監視に加え、脆弱性管理も重要です。
また、これは運用ルールとも関連しますが、工場や病院などの閉域ネットワークで外部とのデータやファイルのやり取りのためにUSBメモリを利用する必要がある環境の場合には、
・セキュリティソフト機能を搭載したUSBメモリを利用する
・USBメモリを持ち込む際にはまず専用の機器に接続しセキュリティ状況をチェックする
などの対策も有効です。
組織的対策
組織としては各業務におけるUSB機器接続の必要性を評価し、USB利用ルールを作成、周知徹底することが対策の第一歩となります。もちろん継続したリスク評価に基づく技術的対策の導入、管理、運用は組織の責任となります。
・USBの利用ルールの明確化:
USBの使用が必要な業務の場合には、使用してよいUSBメモリの明確化、購入・調達時のルール(どこから購入してよいかなど)、事前のセキュリティチェックの義務化、などを行うことが求められます。
またUSB機器の接続が必要ない業務の場合には、ポートブロッカーなどで物理的にPCのUSBポートをロックし使用不可とすることでリスクはほぼなくなります。
・従業員教育:
従業員一人ひとりにUSBのリスクを認識させることが、最も重要です。過去の攻撃手法や注意喚起などをもとに自組織の対策や従業員に対する教育を行うことを推奨します。
ここであげたものは一例ですが、まずはUSB関連の脅威を理解した上で、自組織でどのように利用、運用していくのかを検討することが最も重要と言えるでしょう。
自組織のセキュリティに活かすために認識すべきポイントをまとめるとすると、
・USBを悪用した攻撃は「広く一般を狙う攻撃」から「標的型攻撃」「閉域環境を狙う攻撃」へと変化しつつ存続
・USBに対するセキュリティ対策では、EPPによる検出やEDRによる監視に加え、デバイスクラスレベルでのコントロール(マスストレージ/HID)が必要
・「閉域だから安全」、「USBは攻撃のリスクとしてもう古い」という思い込みは最大のリスク
・出張や物理アクセス時のUSB悪用は、組織方針として明文化すべき新たな論点
といった点が挙げられるでしょう。
本稿が法人組織のサイバーセキュリティ対策の一助になれば幸いです。
岡本 勝之
トレンドマイクロ株式会社
セキュリティエバンジェリスト
製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行。シニアアンチスレットアナリストとして特に不正プログラム等のネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、サイバーセキュリティ黎明期からこれまでのおよそ30年にわたるキャリアで培った深く幅広い脅威知識を基に、ブログやレポ―ト、講演を通じて、セキュリティ問題、セキュリティ技術の啓発にあたる。
講演実績:日本記者クラブ、一般財団法人日本サイバー犯罪対策センター(JC3)、クラウドセキュリティアライアンス(CSA)などにおける講演
高橋 昌也
トレンドマイクロ株式会社
シニアスペシャリスト
PCサーバ Express5800、ファイアウォール、ネットワーク検疫、シンクライアントのプロダクトマーケティングマネージャーに従事した後、2009年にトレンドマイクロ入社。
2012年当時、業界に先駆けて日本国内への標的型攻撃(APT)について、統計データを用いた情報発信をリード。
現在は、リサーチャーと連携し、サイバーリスクマネジメントやAIセキュリティに関する情報発信を行う。
取引先への個人情報監査やサプライチェーンリスクマネジメントも担う。
主なメディア出演:日本テレビ(NEWS ZERO)、フジテレビ(めざましテレビ)、テレビ朝日(報道ステーション)、TBS(林先生が驚く初耳学!)、日本経済新聞、朝日新聞、毎日新聞、読売新聞、産経新聞など
Security GO新着記事
「polyfill.io問題」再燃に学ぶサプライチェーンセキュリティ
(2026年6月26日)
社長を騙りLINEに誘導する「CEO詐欺」の手口を解説
(2026年6月23日)
アサヒグループへのランサムウェア攻撃事例を記者会見から考察~今、注意すべき「データセンター」への侵害
(2026年6月19日)