Baiting

ベイティング（Baiting）とは、人間の好奇心や欲望を利用して、マルウェアに感染したデバイスやファイルを被害者に接触させるソーシャルエンジニアリング攻撃です。攻撃者は魅力的な「餌（Bait）」を用意し、被害者が自発的にそれに手を出すよう仕向けます。

ベイティングの最も代表的な手法はUSBドロップ攻撃です。マルウェアが仕込まれたUSBメモリを、ターゲット組織の駐車場、ロビー、休憩室などに意図的に放置します。「給与情報」「人事評価」「機密」などのラベルを貼ることで、拾った人が好奇心からPCに接続する確率が大幅に高まります。

デジタルの世界でも同様の手法が用いられ、無料ソフトウェア、映画・音楽の違法ダウンロード、偽のWi-Fiアクセスポイントなどが餌として使われます。ベイティングは人間の心理的弱点を直接突く攻撃であり、技術的なセキュリティ対策だけでは完全に防ぐことが困難です。

USBドロップ攻撃の仕組み

USBドロップ攻撃では、攻撃者がマルウェアを仕込んだUSBデバイスを標的の近辺に放置します。USBメモリ内のファイルを開くとマルウェアが実行されるケースだけでなく、USB接続時に自動的にキーストロークを送信するUSB Rubber Duckyのような専用デバイスが使用されることもあります。

イリノイ大学の研究では、駐車場に散布されたUSBメモリの約48%がコンピュータに接続されたという結果が報告されており、この攻撃手法の有効性が実証されています。攻撃者はUSBの外装にも工夫を凝らし、会社のロゴを模したケースや高級ブランドのパッケージに入れるなどの手法を使います。

デジタルベイティング

デジタルベイティングは、オンライン上で餌を仕掛ける手法です。代表的な例として以下があります：

• 偽の無料ソフトウェア：人気ソフトウェアの「無料版」「クラック版」を配布サイトに掲載し、マルウェアをバンドルして配布する
• 偽の映画・音楽ファイル：違法ダウンロードサイトに話題の映画やアルバムを装ったマルウェアファイルを設置する
• 偽のWi-Fiアクセスポイント：「Free_WiFi」「Hotel_Guest」などの名称で偽のアクセスポイントを設置し、接続者の通信を傍受する
• 偽の懸賞・プレゼント：「iPhone当選」「Amazonギフト券プレゼント」などの広告で個人情報の入力を誘導する

物理的ベイティングの高度化

近年のベイティングは、単純なUSBメモリの放置にとどまらず、より高度な手法が使われています。充電ケーブルにマルウェア送信機能を組み込んだO.MG Cableのようなデバイスが開発されており、見た目は通常のケーブルと区別がつきません。

また、QRコードを悪用したベイティング（Quishing）も増加しており、偽のQRコードを公共の場所に貼付して、マルウェアサイトや偽のログインページに誘導する攻撃が確認されています。

心理的メカニズム

ベイティングは好奇心、貪欲さ、恐怖心の欠如という人間の基本的な心理を悪用します。「無料で何かを手に入れたい」という欲求や、「中身を確認してみたい」という好奇心は、セキュリティ意識の高い人でも抗い難いものです。攻撃者はこれらの心理を理解した上で、最も効果的な餌を選択します。

• 01
  USBデバイスの使用ポリシー策定：出所不明のUSBデバイスを組織のPCに接続することを禁止するポリシーを策定し、全従業員に周知してください。拾得したUSBデバイスはIT部門に報告するルールを確立しましょう。
• 02
  USBポートの技術的制御：エンドポイント管理ソフトウェアやグループポリシーにより、未許可のUSBデバイスの接続を技術的にブロックしてください。許可リスト（ホワイトリスト）方式で承認済みデバイスのみ接続を許可する設定が推奨されます。
• 03
  セキュリティ啓発教育の実施：ベイティング攻撃の仕組みと実際の事例を紹介する教育プログラムを定期的に実施してください。「無料」「お得」な誘いに対する警戒心を高めることが重要です。
• 04
  ソフトウェアダウンロードの制限：公式サイト以外からのソフトウェアダウンロードを制限し、アプリケーションホワイトリスト制を導入してください。不正ソフトウェアのインストールを防止できます。
• 05
  物理セキュリティの強化：オフィスの入退室管理を強化し、不審な物品（USB、ケーブル、QRコード付き文書など）を放置・設置されにくい環境を整備してください。
• 06
  ネットワーク接続の監視：不正なWi-Fiアクセスポイントを検知するワイヤレスIDS/IPSを導入し、従業員には組織が提供するVPN経由の通信を義務付けてください。