サイバーセキュリティを脅かす4つのガジェットとは

画像提供：マイナビニュース

ESETは5月6日(現地時間)、「The hacker’s toolkit: 4 gadgets that could signal security trouble」において、セキュリティ機能を有するガジェットの危険性について伝えた。これらガジェットはセキュリティテストを支援するツールとして有効だが、同時に攻撃にも悪用できるとして詳細を解説している。

○諸刃の剣となる4つのガジェット

ESETは脅威になりうるガジェットとして、以下4製品を挙げて詳細を解説している。
○USB RUBBER DUCKYとBASH BUNNY

USB Rubber DuckyとBash Bunnyの2製品はいずれもHak5の製品で、USB接続のペネトレーションテストツール。

USB RUBBER DUCKYは、USBキーボードやUSBマウスなどのヒューマンインタフェースデバイス(HID: Human Interface Device)の動作をシミュレートするツール。USBポートに接続するとシステムからはUSBキーボードやUSBマウスとして認識され、事前に登録されたキーボード操作を自動的に開始する機能を持つ。攻撃者はこのデバイスを用いることで、コマンドプロンプトの起動や悪意のあるコードを自動的に実行できる。

BASH BUNNYもUSB RUBBER DUCKYと同等の機能を持ち、HIDのシミュレートが可能。また、管理者権限への昇格機能が追加されており、より危険性が高いと評価されている。

○Flipper Zero

Flipper Zeroはオープンソースのポータブル・マルチツール。さまざまな無線プロトコル、アクセス・コントロール・システム、その他ハードウェアを分析・操作できる。2024年3月にはFlipper Zeroを使用してTeslaアカウントを侵害し、車のロック解除に加えてエンジンを始動できる攻撃手法が発見されたと報じられている(参考：「Teslaアカウントを盗んで車のロック解除とエンジン始動が行える攻撃手法が発見 | TECH+（テックプラス）」)。

○O.MGケーブル

O.MGケーブルは、X(旧Twitter)にてMGを名乗るセキュリティ研究者が開発したUSBケーブル。このケーブルは通常のUSBケーブルと同じ外観だが多数の機能が組み込まれており、USB周辺機器の攻撃検知テストや訓練に活用できると宣伝されている。また、Wi-Fiアクセスポイントとしての機能を持ち、リモートからWebを介して制御可能とされる。