USBの根幹に脆弱性発覚、死角はファームウェア

もう悪用されてる可能性も。

USBメモリはもちろん、パソコンとスマートフォンとか
マウスとかいろんなデヴァイスをつなぐとき、
USBにはみんなお世話になってます。でも新たな研究で、
USBの動き方自体にセキュリティ上の根本的な欠陥が見つかりました。
これによって、どんなコンピュータでも気づかないうちに
乗っ取られてしまうか、もう乗っ取られているかもしれないんです。

Wiredによれば、セキュリティ研究者のKarsten NohlさんとJakob Lellさんが、
USBの基本的な通信機能をコントロールするファームウェアを
リヴァース・エンジニアしました。彼らはさらにBadUSBというマルウェアも
作り、ファームウェア内部に入れ込みました。それによって
「USBデヴァイスにインストールすれば完全にPCを乗っ取ることができ、
見えないところでファイルをメモリスティックから書き換えたり、ユーザーの
インターネットトラフィックをリダイレクトしたりもできる」ようになってしまいます。

USBメモリやキーボード、スマートフォンなどのUSBデヴァイスには
コントローラチップが埋め込まれ、接続されたデヴァイスと
コンピュータの間の情報のやりとりを可能にしています。NohlさんとLellさんは、
このコントローラチップをターゲットにしました。つまり彼らのマルウェアは、
フラッシュメモリのストレージの中（コンピュータにつなぐとファイルとして
見える部分）にあるのではなく、ファームウェアに隠されていて、
削除するにはかなりの技術的知識が必要です。
LellさんはWiredに語っています。

それをITセキュリティの人に渡せば、彼らはスキャンしてファイルを
いくつか削除し、「もうきれいになったよ」と言って返してくれるでしょう。
［略］（でもこれらの）問題はパッチできません。
我々はUSBの設計そのものを悪用したのです。
怖いのは、デヴァイスのファームウェアにマルウェアが含まれているか
どうか基本的にチェックのしようがないことです。そしてもしチェックできても、
それと比較するための信頼できるヴァージョンがありません。
しかもそのマルウェアは双方向、つまりUSBメモリからコンピュータに
感染させることも、コンピュータからUSBデヴァイスに感染
http://www.gizmodo.jp/2014/08/usb_169.html