ポッド・スラーピング(Pod Slurping)とは,USBストレージを利用して企業ネットから情報を盗み出す不正行為を指す言葉である。セキュリティ分野で最近登場した用語で,iPodなどのUSBストレージを使って企業ネットワーク内部から重要なデータを根こそぎ盗み出される可能性がある。
「ポッド・スラーピング」と聞いて,ポッドキャストのような新しい便利なサービスを想像した人もいるかもしれない。このポッド・スラーピングという言葉,まだほとんどなじみがなく,国内で明るみに出た事件もない。しかし,いつどの企業で事件が起こっても不思議ではなく,近い将来,大事件が起こって話題になる可能性は十分ある。
そもそも“slurp”とはどういう意味かを辞書で調べてみると,「音を立てて食べたり飲む行為」を指す言葉と書いてある。スープなどをズズーッと音を立てて行儀悪くすする様子のイメージである。ここから転じて,IT分野では「企業内の重要データを無作法に根こそぎ吸い出す行為」を示す言葉としてslurpという単語を使っている。
なお,海外の事情に詳しいセキュリティ専門家の古川 泰弘氏によれば,「携帯用ゲーム機を改造するためにファームウエアを吸い出すハッキング技法のこともスラーピングと呼んだりする」とのこと。また,DRM (著作権保護機能)がかかった音楽データをiPodなどから不正に抜き出す行為をポッド・スラーピングと呼ぶケースもあるようだ。
具体的に,ポッド・スラーピングがどのような手順で実行されるのかを見ていこう。まず,データを盗もうとするクラッカ(破壊者)は,社内にある他人のパソコンにiPodを接続する。最近では,携帯音楽プレーヤが広く普及しており,会社のパソコンにiPodをつないでいても,とくに気にも留めない人が多いだろう。iPodユーザーなら「充電中か」などとのんきに思ってしまうかもしれない(図1)。
ところが実際には,充電しているのではなく,裏でせっせと悪さを働いている。クラッカは,iPodの中に入っているポッド・スラーピング用プログラムをつないだパソコンで実行する。携帯音楽プレーヤの多くは,パソコンから見れば取り外し可能なディスクに見えるため,中にプログラムを入れておけば簡単に実行できてしまう。実行されたポッド・スラーピング用プログラムは,パソコンの中やLAN上の共有フォルダをくまなく検索して,データと思われるdocやxls,pdfといった拡張子のファイルを見つけると片っ端から自分の中にコピーする(図2)。このようにして大量のデータを盗んでしまうわけである。
英国のセキュリティ・ベンダーであるGFIの発表によれば,ポッド・スラーピングによって,ローカルのパソコンにあるデータなら,2分以内に100Mバイトもの容量をコピーできてしまうという。ほんの1~2分なら,そもそもiPodをつないだことさえ誰にも気づかれずに盗めてしまうだろう。しかも,どんなファイルを外部ディスクにコピーしたかを逐一記録しているパソコンなどまずないので,痕跡も残らない。
こうしたポッド・スラーピングの脅威にどう対処すればよいのだろう。現状ではどんな企業にも通用するような万能な防御策はない。一つの手は,すべてのパソコンのUSBポートを物理的に使えないようにすることである。金融機関などセキュリティに厳しい企業は実際にこうした対策をとっているケースがある。ただ,一般の企業では「実効性がなくナンセンス」(ラックの岩井 博樹コンピュータセキュリティ研究所長)とセキュリティ専門家はキッパリ否定する。
では,どうするのがよいのだろう。利用できるUSBデバイスに制限をかけたり,席を離れるときはパソコンをロックするといった対策が基本となる。さらに,岩井氏は有効な対策の一つとして「従業員や訪問者に『監視していますよ』というメッセージを強く伝わる形で見せること」を挙げている。そのためには,デスクトップ管理やネットワーク監視のシステムが有効となる。
最近では,パソコンにつないだだけでプログラムが自動起動するタイプのUSBメモリーが出始めたり,ペン型のUSBメモリーなど一見USBストレージに見えないようなデバイスが増加しており,ますますポッド・スラーピングをしやすい状況になっている。事件が起こる前に,ポッド・スラーピング対策をしっかり考えておいた方がよいだろう。
