広がるWispRider

WispRiderはマルウェアです。
USBメモリで広がっていくマルウェアとして観測されています。
一つの事例をみてみましょう。

• セミナーに参加
  ある医療関係の組織の関係者が、セミナーに参加しました。

• 配布資料を入手
  セミナーの場で参加者同士でプレゼンテーションファイルをやり取りする場面がありました。
  セミナーに参加した関係者は、自身のUSBメモリでプレゼンテーションを受け取りましたが、それと一緒にマルウェアも受け取りました。
  残念ながらそのやり取りをした相手のパソコンはマルウェアに感染していたのでした。

• セミナーから戻って感染
  セミナーから戻った参加者は、入手したプレゼンテーションファイルを病院でも他のパソコンに取り込もうと、その感染したUSBメモリを他のパソコンに接続しました。
  USBメモリにあったマルウェアは病院のパソコンにも感染しました。

どこにでもありそうな流れでの感染の事例です。
感染したマルウェアはWispRiderというものでした。
このマルウェアにはバックドア機能と、HopperTickランチャーを使用してUSBドライブを介して拡散する機能が実装されていました。
ウイルス対策ソフトウェアのバイパスメカニズムを搭載していますし、DLLサイドローディング機構も搭載しています。

出所の確かでないファイルに注意する、ということは定着してきた考え方となってきているかもしれませんが、USBメモリの危険性はまだ浸透が十分ではないということなのでしょうか。
個人と会社、会社と会社、などのようにセキュリティレベルの異なる組織の機器間でUSBメモリを共用することは危険が伴います。
過去にもいくつものニュースがありました。
空港などの公共の場所でのUSB充電ポートが危険という話もありましたし、拾ったUSBメモリで面倒なことになったこともありました。
一定の冷却期間を置いた後、同じ手法が再度悪用されるというケースは少なくありません。

あらためて、組織の構成員の意識を高めるための活動や、USBドライブの接続制御機構の導入の検討など、必要性を検討することが良いかもしれません。

参考記事（外部リンク）：Stealthy USB: New versions of Chinese espionage malware
propagating through USB devices found by Check Point Research
blog.checkpoint.com/security/stealthy-usb-new-versions-of-chinese-espionage-malware-propagating-through-usb-devices-found-by-check-point-research/