テクノロジーガイド

USBイーサネットなりすましでWindows/Macのログインパスワードを盗む仕組み

1 min read セキュリティ 更新されました 19 Oct 2025
USBイーサネットなりすましでパスワード窃取の仕組み
USBイーサネットなりすましでパスワード窃取の仕組み

USBイーサネットアダプタを接続したロック画面のPC

概要

あるセキュリティ研究者が、USBベースのSoCデバイス(USBドングル)を改造して、Plug-and-Playのインストールプロセスを悪用し、認証情報を盗む方法を公開しました。攻撃はWindowsと一部のMac OSで動作することが示され、手順としてはデバイスがシステムに「イーサネットアダプタ」として認識されると、攻撃用ドングルがシステムのネットワークゲートウェイ、DNS、WPAD(Web Proxy Autodiscovery Protocol)を装い、PCから資格情報を送らせて捕まえる、というものです。

  • 研究者: Rob Fuller
  • 使用したデバイス: USB Armory、Hak5 Turtle
  • 動作確認されたOS: Windows 98 / 2000 / XP SP3 / 7 SP1 / 10 (Home/Enterprise)、OS X El Capitan / Mavericks(ただしMac側は設定差や環境依存の可能性あり)

重要: この攻撃は物理アクセスが必要で、攻撃が機能するためには対象PCでユーザーがログインしている必要があります。

1行定義

Plug-and-Playと自動ネットワーク設定の組み合わせを悪用し、偽のネットワークインフラを提示して認証情報を誘導・窃取する手法。

なぜ動くのか(メンタルモデル)

多くのOSはUSBデバイスの自動インストールを許可しており、イーサネットが許可されたデバイス種別であれば、OSは自動的にネットワーク接続を試みます。プロキシ自動検出(WPAD)や自動的に受け入れるネットワーク構成があると、認証情報がネットワーク上に流れ、なりすましデバイスがそれを受け取れます。

いつ失敗するか(反例)

  • システムがロック中にデバイスのインストールを制限している場合
  • ドライバー署名やデバイス制限ポリシーで未承認デバイスが拒否される場合
  • WPADや自動プロキシ検出が無効化されている場合
  • ネットワーク接続前にユーザー認証が要求される環境(ネットワークログインなど)
  • Linux系での動作は十分にテストされていないため不明

攻撃の流れ(簡易)

  1. 攻撃者が改造ドングルを準備する(USB上でイーサネットを装う)
  2. 物理的に対象PCに接続する
  3. OSがデバイスをイーサネットアダプタとしてインストールする
  4. ドングルが偽のゲートウェイ/DNS/WPADレスポンスを返す
  5. PCがプロキシ自動検出やネットワーク設定を実行し、認証情報を送信する
  6. ドングルで認証情報を捕獲する
flowchart TD
  A[攻撃者がドングルを準備] --> B[PCに物理接続]
  B --> C[OSがデバイスを自動インストール]
  C --> D[ドングルが偽のネットワーク応答を提供]
  D --> E[PCが認証情報を送信]
  E --> F[認証情報をドングルが記録]

具体的な環境と制約

  • 攻撃は「ログイン済みのユーザーがいる状態」または少なくともユーザーのプロファイルが利用可能な状態を前提に動作することが確認されています。
  • 最新のOSではデバイス種別やインストール制限が強化されつつあるため、すべての状況で成功するわけではありません。
  • 研究者はWindows系で広範に確認しており、Macについては環境依存の可能性があるとしています。

防御と緩和(セキュリティハードニング)

重要: 物理アクセスを防ぐことが最も効果的な対策です。

  • 物理対策

    • 未承認者の物理アクセスを防ぐ(鍵付きルーム、ロックケース、USBポートを物理的に封鎖)
    • 重要端末ではUSBポートの物理ロックを導入

  • OS / 管理対策

    • グループポリシーで未承認デバイスの自動インストールを禁止
    • デバイス承認のホワイトリスト化(ハードウェアIDベース)
    • ドライバー署名検証とSecure Bootを有効化
    • WPAD / 自動プロキシ検出の無効化(管理者が許可した環境のみで有効にする)
    • ネットワーク認証前にユーザー入力を求める設定や多要素認証の導入

  • 運用上の対策

    • エンドユーザーへの教育: 不明なUSB機器は決して接続しない
    • 定期的な監査ログの確認(新しいネットワークデバイスの追加など)
    • EDR(Endpoint Detection and Response)で不審なネットワーク構成の変更を検出

管理者向けチェックリスト

  • すべきこと

    • USBデバイスのポリシーを見直し、未承認デバイスを拒否する
    • WPADや自動プロキシ設定の企業内標準を定め、必要がなければ無効にする
    • 端末の物理アクセス権を整理し、公開エリアの端末は特に保護する
    • 操作ログとデバイスインストール履歴を集約して監視する

  • できること(中長期)

    • ハードウェアベースの認証(スマートカード、TPM連携)を導入
    • USBポートの制御ソリューションを導入して柔軟な例外管理を行う

攻撃者と防御者の視点チェックリスト

攻撃者ができること:

  • 物理的にアクセスして改造ドングルを挿す
  • WPAD/DNS応答で認証情報を誘導

防御者がすべきこと:

  • 物理アクセスを遮断
  • 自動インストールとWPADを制御
  • ログ監視と異常検出を整備

テストケースと受け入れ基準

  • テスト環境で未承認USBを挿した場合に自動インストールが行われないこと
  • WPADが無効化されている場合、プロキシ自動検出要求が行かないこと
  • 新しいネットワークデバイスが作成された際にアラートが生成されること

まとめ

USB経由のイーサネットなりすまし攻撃はシンプルだが効果的な手口です。最大のリスクは物理アクセスとOSの自動インストール機能の組み合わせにあります。最も有効な防御は物理アクセスの厳格な管理と、デバイスインストールやWPADの制御を組み合わせた多層防御です。

重要: 本記事は攻撃方法の説明を通じて防御強化を促す目的でまとめています。実際の攻撃や不正利用は法的に問題があります。

共有する: X/Twitter Facebook LinkedIn Telegram
著者
編集

類似の素材

WiKID 4.0 を Quick-setup で設定する方法
認証

WiKID 4.0 を Quick-setup で設定する方法

Google+ Hangouts On Airで配信と録画をする方法
配信ガイド

Google+ Hangouts On Airで配信と録画をする方法

Feathr.itでツイートを短縮する方法
ソーシャルメディア

Feathr.itでツイートを短縮する方法

CleanfoxでGmailの迷惑メールとニュースレターを一括整理
メール管理

CleanfoxでGmailの迷惑メールとニュースレターを一括整理

X2GoをUbuntu 12.04でWiKID二要素認証で保護
セキュリティ

X2GoをUbuntu 12.04でWiKID二要素認証で保護

WikiLeaks:Grasshopper流出とCIAのWindowsマルウェア
セキュリティ

WikiLeaks:Grasshopper流出とCIAのWindowsマルウェア