ベイティング - ベイティング
マルウェア入りUSBメモリや偽のソフトウェアなど、魅力的な餌で標的を誘導する攻撃手法。
概念図
攻撃シナリオ
物理メディアによるベイティング
bash
駐車場に「給与明細 2025Q4」とラベルの貼られた USB メモリを放置
→ 拾った従業員が PC に接続 → 自動実行でバックドア設置海賊版ソフトを装ったベイティング
bash
「無料で最新の Adobe Photoshop をダウンロード!」と書かれた
偽の広告 → クリックするとマルウェアがダウンロードされるベイティングの仕組み
ベイティング(Baiting = 餌付け)は、人間の好奇心・欲・不安につけ込み、自ら罠に飛び込ませる攻撃です。
相手が「得する」「重要そう」「緊急そう」と感じる餌を用意し、開く・接続する・ダウンロードするといった行動を自発的に取らせます。
主な餌の種類:
- 物理メディア: USB メモリ、SD カード、CD/DVD をオフィス周辺や駐車場、トイレなどに意図的に落とす。拾った従業員が「中身を確認しよう」と PC に接続した瞬間に autorun / LNK 脆弱性で感染
- 魅力的なダウンロードリンク: 「無料」「リーク版」「先行公開」などのキーワードで釣り、実行ファイルやマクロ付き文書を掴ませる
- クラウドストレージの共有リンク: Google Drive や SharePoint の共有リンクを装い、フィッシングサイトに誘導
- 偽広告(Malvertising): 検索結果やニュースサイトに偽の広告を出稿し、正規ソフトの名前で偽インストーラーを配布
ベイティングが成功する最大の理由は「従業員が自分の意思で操作する」ため、ブロック可能な境界防御をすり抜けやすい点にあります。
著名な事例
| 年 | 事例 | 概要 |
|---|---|---|
| 2008 | agent.btz / Buckshot Yankee | 米中東方面の米軍基地に放置された USB メモリが拾われ、米国防総省 SIPRNet に接続されたことで機密ネットワークに感染が広がった。米軍史上最悪のサイバーインシデントの 1 つとされる |
| 2010 | Stuxnet | イラン核施設のエアギャップネットワークへ USB 経由で侵入したとされる。LNK 脆弱性(CVE-2010-2568)を悪用 |
| 2016 | Illinois 大学研究 | キャンパスに 297 本の USB を意図的に落とす実験で、45〜98% が拾得者によって PC に接続された。多くが「持ち主を探そう」という善意からの行動だった |
| 2024 | 偽 AI ツール広告 | Google 広告経由で「ChatGPT デスクトップアプリ」「Midjourney ダウンロード」を装うマルバタイジングが大量発生。Vidar / Redline 系スティーラーが配布された |
重要: ベイティングは技術的な脆弱性ではなく、人間の「助けたい」「得をしたい」という感情が攻撃面になります。
対策の優先順位
| 対策領域 | 具体例 | 効果 |
|---|---|---|
| エンドポイント制御 | USB 自動実行の無効化、デバイス制御ポリシー(Intune, Crowdstrike)で未登録メディアをブロック | 高 |
| ソフトウェア調達ルール | 管理者権限がないとインストールできないようにする、公式ストア / 社内ポータル経由のみ許可 | 高 |
| 広告ブロック | uBlock Origin、DNS ベースの広告ブロック(NextDNS、Pi-hole)で悪意ある広告経路を遮断 | 中 |
| 教育 | 「拾った USB は情シスへ」「知らない Office ファイルのマクロは絶対に有効化しない」を繰り返し伝える | 中 |
| EDR / AV | 実行時に振る舞い検知で隔離。Gatekeeper / SmartScreen のブロック表示を無視させない | 中 |