見落とすな! 情報漏えい対策の落とし穴 ~USBポートに存在する“抜け道”とは~

最終更新日:2024年5月17日

PCなどのホスト機器へさまざまなデバイスを手軽に接続できるUSBポート。その利便性の高さから、今や必要不可欠の存在となっているが、セキュリティという観点から見ると、情報漏えいを招く蟻の一穴になりかねない。こうしたリスクに対応するため、最近では資産管理ソフトなどでデバイスの接続を制御できるようになったが、それとて完全ではなく“抜け道”が存在するのはご存じだろうか。
本ページでは、従来のデバイス制御の“抜け道”となる手法と、これに対応できるラネクシーの情報漏洩対策製品「RunDX(ランディーエックス)」について紹介する。

情報漏えい対策の一環として普及が進むデバイス制御

USBはPCなどのホスト機器に周辺機器を接続するためのバス規格であり、優れた利便性から多彩な分野で使用されている。たとえばPCでは、ハードディスクやブルーレイ・DVDドライブ、USBメモリといった外部記憶装置、デジタルカメラやデジタルビデオといった光学機器、LANやBluetoothなどの通信インターフェース、Webカメラやスピーカーなどの映像・音響機器、そして携帯電話やスマートフォンなど、さまざまなデバイスを接続し、データのやり取りや給電などを行うことができる。
いま主流となっている「USB Standard-A(Type-A)」規格のうち「USB 3.0」は最大5Gbps、「USB4」では「USB4 20Gbps」の20Gbps、「USB4 40Gbps」の40Gbpsのように高速なデータ転送が可能になっており、大量のデータも短時間で移動させることができる。ユーザからすれば非常に便利だが、裏を返せばPC内のデータを迅速・容易にコピーして持ち出すことが可能ともいえるため、情報漏えいのリスクも高くなる。そのため一時期は、対策としてPCのUSBポートを物理的に塞いでしまう企業も少なくなかった。
その後、デバイス制御の機能を搭載した資産管理ソフトなどの製品が登場する。その多くは、USBポートに接続するデバイスの使用に制限をかけるもので、あらかじめ許可されたデバイス以外は使えなくなる。たとえばUSBメモリなら、製品名やシリアル番号などを登録することで、そのPCに対し接続できるものを限定。これらを厳重に管理することで、情報漏えいのリスクを大きく減らすという仕組みだ。もちろんUSBメモリ以外のデバイスの制御も可能で、今では定番の情報漏えい対策として広く普及している。

読み取り操作だけを許可し、書込みを禁止

特定のUSBデバイスのアクセスだけを許可し、
それ以外を禁止

デバイス制御の“抜け道”とは

しかしながら、こうしたデバイス制御の盲点を突いた大規模な情報漏えい事件も起きている。10年ほど前に起きた情報漏洩事件も、2024年3月時点でも裁判が行われていた。某企業において、デバイス制御を実施していたにも関わらず、数千万という個人情報が盗まれてしまった。新聞をはじめ各種メディアで大きく取り上げられたため、記憶に残っている方も多いだろう。
この事件では、グループ企業から派遣されたスタッフが、データベースからスマートフォン経由で個人情報を持ち出している。AndroidのスマートフォンをPCに接続した場合、Androidの接続モード設定により異なるタイプのデバイスとして認識され、それぞれMTPやPTP、MSCといった独自のプロトコルで接続されるのだが、当時のデバイス制御はこれら全てには対応していなかったのだ。このスタッフは給電のためスマートフォンをPCへ繋いだところ、たまたまデータが移せることを知り、持ち出しに及んだとのことだ。
その後、各製品がこれらのプロトコルにも対応したことで、この手法によるデータの持ち出しはできなくなった。しかしこれで一安心とはいかない。なぜなら、さらなる“抜け道”の存在が確認されているためで、それが「itunes」アプリケーションからの書き出しや、スマートフォンの「デバッグモード」だ。
「iPhone」からPCへの書込みを止められるセキュリティソフトは多く存在するが、「iTunes」等のアプリケーションからスマートフォンに対して情報を書き出せてしまう、抜け道のあるセキュリティソフトは実は非常に多く存在する。また、デバッグモードとは、スマートフォンの内部にあるプログラムにPCからアクセスし編集するためのモードで、通常は設定画面で変更しないと切り替わらない。しかし、スマートフォンのデータをPCで整理したり、バックアップしたりするようなソフト、たとえば、「Moborobo」や「Snapseed」、「Tapnow」などはデバッグモードで通信を行う。こうしたソフトを使用すれば、MTPやPTP、MSCのプロトコルに対応したデバイス制御下であっても、PCのデータをスマートフォンにコピーできてしまうのである。

「デバイス制御」と「USBポート制御」の違い

PCのUSBポートへ接続するデバイスに制限をかける場合、前述のデバイス制御を行うのが一般的だ。しかしこれはUSBポートを制御するものではないため、該当デバイスの使用を制限することはできるが、USBポート自体は開いたままとなる。スマートフォンのデバッグモードで接続できてしまうのはこのためだ。たとえ製品の機能欄に「USBポートの制御:○」とあっても、実際はUSBポートに接続されたデバイスを制御しているのにすぎないことも多いので、注意が必要だ。

USB機器の種類は多岐にわたっており、今後もますます増えていくことだろう。それゆえ、情報漏えいのリスクを減らすためにはUSBポートそのものを制御することが望ましい。USBポートを制御し、デバイスの接続を一括で禁止。使用を許可するものだけ接続できるようにすれば、設定漏れのリスクもなくなり、将来、新しいUSB機器やモードが登場したとしても対応可能だ。
さらに、情報漏えいのおそれのないデバイス、たとえばマウスやキーボードなどの使用は許可することで、ユーザの使い勝手も維持できる。
情報漏洩のリスクを減らすためにはデバイスの接続を一括で禁止。使用を許可するものだけ接続できるようにすれば、設定漏れのリスクもなくなり、将来、新しいUSB機器やモードが登場したとしても対応可能だ。
さらに、情報漏えいのおそれのないデバイス、たとえばマウスやキーボードなどの使用は許可することで、ユーザの使い勝手も維持できる。

USB接続のストレージデバイスを制御する「RunDX」

ここまで述べてきたように、USBポートの情報漏えい対策については、デバッグモードへの対策およびUSBポートの制御が重要なポイントとなる。そして、従来の製品では対応が困難なこれらの点をカバーできるのが、ラネクシーの提供する「RunDX」だ。
USBポートを物理的にふさぐのではなく、記録媒体を制限しようというのがRunDXである。USBメモリーであれば特定の個体のみを読み取り専用として登録する、などのような使い方が可能である。さらに、RunDXは管理サーバなしで集中管理できるため、別途専用の管理用ハードウェアを用意する必要がない。よって低コストで容易に導入でき、運用の負荷も小さいというメリットもある。

ストレージ
  • USB 接続の記憶媒体(フラッシュメモリ、HDD、SSD)、PC内臓のカードリーダー(SDカード)に対する制御
  • PCにUSBハブを接続し、ハブ上にUSBストレージを接続した場合は制御対象に含まれます
フロッピー
  • フロッピーディスク(外付けのフロッピーディスクドライブ含む)に対する制御
スマートデバイス
  • iPhoneやAndroidやデジタルカメラで使われるPTP/MTP通信に対する制御
CD / DVD / BD
  • Windows PC 上の CD/DVD/Blu-ray ドライブ(外付けのドライブ含む)の利用を制御
  • 例外として、再生ソフトの種類によって音楽CDや映像DVDが制御を行っていても再生可能な場合があります
Bluetooth
  • HIDを除く、bluetoothデバイス(iPhoneとのBluetooth接続)、bluetoothマイク(含むヘッドセット)の通信に対する制御
シリアルポート
  • COMポートに対する制御
プリンター
  • USBプリンター、ネットワークプリンターに対する制御
WiFi
  • WiFiの通信に対する制御
ネットワーク
  • IPアドレス / Port に対する制御

RunDXは企業の機密情報を守ることに特化したソリューション。USB接続のストレージデバイスに対して制限をかけることが可能なほか、デバイス単位で使用の許可を行うこともできる。たとえば、USBメモリへのアクセス権や光学ドライブへの読取/書込の許可などをきめ細かく設定できる。

またWi-FiやBluetoothデバイスの制御も可能だ。
もちろん、「スマートデバイス」を対象とした制御項目を設けており、Androidのデバックモード接続を制御できる。

USB接続でも情報漏えいのおそれのないデバイス、たとえばマウスやキーボードなどは制限の対象にすることで、ユーザの使い勝手も維持できる製品である。

前述の通り、既存のデバイス制御には“抜け道”があり、せっかく資産管理ソフトなどを導入してもリスクが存在したままというケースが少なくない。そんなときは、RunDXを導入し両者を組み合わせて使えば、より高度な情報漏えい対策が実現するだろう。
RunDXで労力やコストにおいても負荷なく情報漏洩対策を行っていただきたい。