「BadUSB」という非常に危険な脆弱性をご存じだろうか。まだ大きな事件として明るみに出たものはなく、あまり知られてはいない。しかし今後、様々な方法でこの脆弱性が悪用され、企業ユーザーのITシステムが狙われる危険がある(関連記事:ファームウエアを勝手に書き換える、USBの危険すぎる脆弱性「BadUSB」)。危険性を正しく知ってもらうべく、また自分自身で怖さを理解すべく、記者は今回、自ら環境を構築してBadUSBの動作を確認した――。

セキュリティ分野は特に「自分で触ってみるとよく分かる」

 記者は、自分の目で見たり触ったりして確認できたものしか基本的に信じない性格である。もちろん、記事を書くに当たって、あらゆる物事を自分で確認できるはずはない。確認できないケースについては、代わりにその事実を確認した人(一次ソース)に取材することなどにより情報を得るが、自ら確認できるチャンスが少しでもあれば、積極的に手足を動かすことにしている。

 幸いにも、IT分野で記者という仕事をしていると、この「見たがり、触りたがり」という性格がプラスに働くことが多い。記者発表会やセミナーに参加してプレゼンテーションを見てもイマイチよく分からない、個別の取材を申し込んで当事者に話を聞いてもモヤモヤが残る。ところが、自分で環境を作り、ちょっと手を動かして確認したらスッキリ理解できた――。こんなことが実際よくある。

 記者にとって、特にこうした「触って初めてよく分かった」と感じられることが多い分野は「セキュリティ分野」である(もう一つ、「ネットワーク分野」がある)。例えば、脆弱性が見つかった際に、「リモートから攻撃される危険がある」「任意のコマンドを実行される」「危険度の評価値がいくら」などと言われてもピンと来ないが、自分で触ってみたら「なるほどこれは怖い」と実感できるケースが多い。

 そんなわけでつい先日も、2014年9月末に発覚して世界中が大騒ぎとなった非常に危険な脆弱性「ShellShock」について、自らPCで仮想化ソフトを用いて環境を作って検証し、その怖さを実感した顛末を体験記として本コラムに掲載した(関連記事:記者は「ShellShock」に触れてみた、そして震え上がった)。

 前回に続いて今回も、同じように最近見つかったある危険な脆弱性について、自分で手を動かして検証を試み、何とか成功したので紹介しよう。その危険な脆弱性とは「BadUSB」と呼ばれるものだ。BadUSBがどういう脆弱性なのかについては、11月10日に公開した記者執筆の関連記事「ファームウエアを勝手に書き換える、USBの危険すぎる脆弱性「BadUSB」」で対策なども含め詳しく解説しているので参照していただきたい。