Windowsでファイルを開く前にUSBドライブを安全にスキャンする方法

¿Windows でファイルを開く前に USB ドライブをスキャンするにはどうすればよいですか? オフィスや路上でUSBドライブが落ちているのを見つけたことがあるなら、それを自分のコンピュータに接続しても良いのかと疑問に思ったことがあるかもしれません。セキュリティ業界では、「USBドロップ」攻撃が盛んに話題になっています。これは、誰かが好奇心から接続してくれることを期待して、感染したUSBドライブを放置する攻撃者のことです。 この罠を回避するには、Windows でファイルを開く前に USB ドライブをスキャンすることが重要です。 さらに、主な機器を危険にさらすことなく実行できます。

単にウイルス対策スキャンを素早く実行するだけでなく、疑わしいデバイスの動作を調査するためのさまざまな高度な手段とツールがあります。 USB を論理的に分離し、システムが認識するものを制限し、仮想マシンを使用し、さらにはマシンを犠牲にすることも可能です。しかし、これらすべてには、1 つの非常に明確な目的が念頭に置かれています。それは、検査が完了したら、深刻なレベルで侵害されていることを恐れることなく、安心してコンピューターを使い続けることができるということです。

USBドライブがなぜ危険なのか

USB デバイスは、写真や文書を保存した単なる「メモリ スティック」ではありません。 ストレージ、キーボード (HID)、ネットワーク カード、さらには複数の役割を組み合わせた複合デバイスとして機能します。つまり、接続されると、システム自体が、ユーザーには必ずしも明らかではない方法で対話を開始する可能性があるということです。

USB ドロップ攻撃では、攻撃者は USB 標準の柔軟性を悪用します。 悪意のある USB ドライブは、キーボードをシミュレートしてコマンドを入力したり、PowerShell を開いたり、マルウェアをダウンロードしたり、設定を変更したりする可能性があります。 ファイルを手動で開く必要すらありません。さらに、感染ファイルが含まれている場合、リスクはさらに増大します。

物理的およびハードウェア的な側面も考慮する必要があります。 USB のように見えても、実際には過電圧によって電気的損傷を引き起こすように設計されているデバイスがあります。電気絶縁体は、こうした種類の脅威から保護するために使用され、異常放電がマザーボードに到達するのを防ぐ障壁として機能します。

しかし、この電気的分離では、悪意のあるコードや、見た目とは異なる動作をする USB デバイスの問題は解決されません。 これを解決するには、論理的な分離について考える必要があります。つまり、オペレーティング システムが認識するもの、デバイスがマウントされる場所、デバイスが持つ権限を制限する必要があります。ここで、仮想マシン、専用ハブ、Windows 独自のセキュリティ設定が役立ちます。

高度なリスク: ファームウェア、マザーボード、そして永続的な侵害

「疑わしい」USB ドライブの分析について話すとき、目に見えるコンテンツ、つまりエクスプローラーに表示されるファイルについてのみ考えるのは簡単です。 本当の問題は、攻撃がデバイスのファームウェアや機器のハードウェア自体の脆弱性に依存している場合に発生します。その場合、オペレーティング システムをクリーンアップするだけでは不十分な可能性があります。

それが可能であることを証明する研究と実験室でのテストがあります。 USBデバイス、コントローラー、さらにはマザーボードのBIOS/UEFIのファームウェアを変更するこのようなことが悪意のある USB ドライブから実行されると、ディスクをフォーマットしたり、Windows を最初から再インストールしたりした後でも、コンピューターがほぼ永久的に侵害される可能性があります。

そのため、多くの人が「犠牲のホスト」と呼ばれるものに頼ります。 分析後に廃棄される可能性があると想定される、インターネットから切断された古いコンピュータまたは重要な情報のないコンピュータそこに疑わしい USB デバイスを接続し、そのファイルと動作を観察し、何か問題が発生した場合でもメインコンピュータが危険にさらされないようにします。

この戦略の問題点は、非常に偏執的な考え方をした場合、 その犠牲のホストは、二度と完全に信頼されないかもしれない。攻撃によって低レベルのファームウェアまたは重要なコンポーネントが変更された可能性があると考えられる場合、唯一真に安全な方法は、その機器を恒久的に隔離するか、単にサービスから削除することです。

この文脈こそが検索の動機となる USBドライブの動作を調査できる論理分離とUSBデバイス制御ソリューション ハードウェアや日常の作業ベースシステムに危険が及ぶという合理的なリスクなしに。

USBの論理分離の概念

論理的分離は以下から構成されます システム内でUSBが見える範囲やアクセス可能な範囲を制限するこれにより、デバイスが物理的にコンピュータに接続されている場合でも、環境内の高度に制御された部分のみがデバイスにアクセスできます。つまり、攻撃を受けた際に侵害される可能性があるのは、この「バブル」部分のみであるという考え方です。

この分離を実装する最も実用的な方法の1つは USBドライブをゲスト仮想マシンからのみ表示できるようにするこれにより、ホストシステムがこれをキーボード、マウス、その他のHIDデバイスとして扱うことが防止されます。これは、仮想化レイヤーと、場合によっては専用のUSBハブやコントローラーを組み合わせることで実現されます。

理想的なシナリオでは、ホストは仮想化された USB コントローラーのみを認識し、それに接続されているすべてのものは仮想マシンにのみ公開されます。 したがって、デバイスがHID、ネットワークカード、または外部要素として動作しようとする試みは、仮想環境に「ロック」されます。メインデスクトップや他のデバイスと直接対話することはできません。

論理的分離は魔法ではありません。 ハイパーバイザーまたは USB 仮想化自体に脆弱性が存在する場合、非常に高度な攻撃によってそれが悪用される可能性があります。しかし、ほとんどの家庭や職場のシナリオでは、この分離バリアを高めることで、USB ドライブを実際のシステムに直接接続する場合に比べてリスクが大幅に軽減されます。

仮想マシンを使用してUSBドライブを分析する

ほとんどの Windows ユーザーにとって、USB ドライブを分離する最も簡単な方法は、仮想マシンを使用することです。 Hyper-V (Windows の特定のエディションに統合されています)、VirtualBox、VMware Workstation などのプログラムを使用すると、USB デバイスをホストからゲストにリダイレクトできます。重要なのは、ホストが USB ドライブを仮想マシンに転送する以外はほとんど操作しないように構成することです。

これらの環境では、USB ドライブを接続するときに、どの仮想マシンに割り当てるかを選択できます。 理想的には、最小限の Windows または Linux システム、個人データなし、以前のバージョンに戻すためのスナップショット、適切なセキュリティ ツールがインストールされた、分析専用の VM を作成する必要があります。USB で行うすべての操作は、ゲスト オペレーティング システム内で実行されます。

異常な動作が検出された場合、または仮想マシンに何かが感染している疑いがある場合は、 侵害されたスナップショットを削除し、クリーンな状態を復元するか、VMを最初から再作成します。ハイパーバイザーとホストが影響を受けない限り、メインシステムはそのまま残ります。

ただし、すべての仮想化スイートが USB デバイスに対して同じレベルの細分性を提供するわけではありません。 場合によっては、USB ドライブが最初にホストに提示され、その後リダイレクトされますが、他の場合には、USB ドライブがゲストに直接送信されることもあります。セキュリティの観点からは、ホストとのやり取りが少ないほど良いです。

こちらもお勧めです USB デバイスを接続するときにトリガーされる可能性のあるホスト上の自動実行 (自動実行/自動再生) およびその他の動作を無効にします。すぐにVMに移行する予定ですが、これは通常のルーチンで何か問題が発生した場合に備えて、追加の保護レイヤーとして機能します。

ホスト上でUSBがHIDとして機能するのを防ぐ

このようなシナリオで特に懸念されるのは、疑わしい USB デバイスがヒューマン インターフェイス デバイス (HID)、つまりキーボード、マウス、またはその他の入力周辺機器として機能することです。 よく知られている「Rubber Ducky」攻撃はまさにこの点に基づいています。つまり、デバイスがキーボードを装い、フルスピードでコマンドを実行します。 ユーザーは何もする必要はありません。

このリスクを軽減するために、様々な戦略が考えられます。一部の高度なUSBコントローラや特定のハブでは、 大容量ストレージユニットのみが受け入れられ、HID またはその他のクラスがブロックされるようにデバイス タイプをフィルターします。このタイプのハードウェアは、産業環境や高セキュリティ環境でより一般的ですが、商用オフィス ソリューションにも登場し始めています。

ソフトウェア側では、特定の仮想化とオペレーティングシステムの構成により、 物理USBポートを仮想マシン専用にバインドするしたがって、キーボードとして動作しようとするデバイスが接続された場合でも、その効果はゲスト内でのみ有効であり、ホスト デスクトップでは有効ではありません。

もう一つの方法は、Windowsのグループポリシーとセキュリティポリシーを使用して 特定のクラスのUSBデバイスの使用を制限するただし、このアプローチは正しく調整するのが複雑になる可能性があり、繊細なフォレンジック分析よりも、企業環境での USB のブロックに適用されることが多いです。

いずれにせよ、主な考えは明らかです。 USBがホストシステムに与える攻撃対象領域を可能な限り制限するデータ入力とドライバーのインストール、または新しいインターフェイスの公開の両方のレベルで行われます。

Windows Defender は疑わしい USB ドライブに対して何ができますか?

デバイスの論理的分離が完了したら、その内容を分析します。 Windows には、Windows セキュリティ アプリに統合された Microsoft Defender ウイルス対策が既定で含まれています。これにより、USB ドライブ上の特定のファイルやフォルダーを直接調べることができます。

USBドライブ上の特定のファイルやフォルダをチェックしたい場合は、 ファイル エクスプローラーでその項目を右クリックし、「その他のオプションを表示」オプションを選択します。 Windows 11 の最新バージョンでは、表示されるクラシック メニューで「Microsoft Defender でスキャン」を選択すると、ウイルス対策でその選択範囲のみをスキャンできます。

分析が完了すると、 試験のオプションまたは結果を示すページが表示されます。ここでは、脅威が検出されたかどうか、ファイルがクリーンかどうか、または何らかのアクションが適用されたかどうか（たとえば、USB ドライブで検出された悪意のある実行可能ファイルを隔離するなど）が示されます。

悪意のある可能性のあるUSBドライブを操作する前に、ウイルス対策ソフトが有効になっていることを確認することが重要です。そのためには、 Windows セキュリティ アプリを開き、「ウイルスと脅威の防止」セクションに移動します。そのパネル内の「誰が私を保護しているのか？」セクションで、「プロバイダーの管理」をクリックすると、どのウイルス対策エンジンがデバイスを保護しているかを確認できます。

何らかの理由でリアルタイム保護が無効になっている場合は、同じパネルから有効にすることができます。 「ウイルスと脅威の防止設定」で、「設定の管理」をクリックし、「リアルタイム保護」スイッチをオンにします。これにより、Microsoft Defender ウイルス対策が実行され、USB ドライブ上のファイルへのアクセスが自動的に監視されます。

USBフォルダとファイルを選択的に分析する

USB ドライブの内容を一度にすべて開くことは必ずしも良い考えではありません。 より慎重なアプローチは、フォルダーごと、ファイルごとに調べることです。最も疑わしいもの（実行可能ファイル、スクリプト、奇妙な名前のファイルなど）から始めます。

USBドライブの個々の項目で「Microsoft Defenderでスキャン」コンテキストメニューを使用すると、 本当に確認する必要がある内容に集中できます。これにより、偶発的に異常な事態が発生する可能性が低減し、ワークフローをより適切に制御できるようになります。

さらに、それは役に立つかもしれない 特定のファイルをさらに制御された環境（たとえば、仮想マシン内の隔離されたフォルダ）にコピーし、他のツールでさらに分析を実行します。サードパーティ製のウイルス対策ソフトウェア、オンライン エンジン、自動サンドボックスなどのアプリケーションを、ホスト上で直接実行することなく実行できます。

スキャンが完了するたびに、「スキャン オプション」セクションまたは Windows セキュリティ保護履歴が更新されます。 分析された内容、検出された内容、実行されたアクションが表示されます。各ステップで何が起こったかを正確に理解するために、これらの記録を確認することをお勧めします。

このプロセス全体は、専用のVMと自動動作の無効化と組み合わされ、 これは、USB を不快な驚きの源ではなく、管理された研究対象にするのに役立ちます。.

Windowsの保護を確認して強化する

分析する USB ドライブを接続する前であっても、システムに基本的な防御が整っているかどうかを確認する価値があります。 Defender がアクティブであることを確認するだけでなく、リアルタイム保護、クラウド、アプリケーション制御の設定を確認することをお勧めします。.

これらは Windows セキュリティ セクションで見つかります。 クラウドベースの保護、自動サンプル送信、疑わしい行動のブロックなどの追加オプションこれらは VM を使用した強力な分離に代わるものではありませんが、USB から実行しようとする一般的な脅威に対して追加のレイヤーを提供します。

もう一つの一般的な推奨事項は、 Windows、ドライバー、重要なアプリケーションは完全に更新されています多くの USB 感染は、システムまたはブラウザ、PDF リーダー、Office などのコンポーネントの古い脆弱性を悪用するため、この既知の脆弱性の表面積を減らすことは常に有益です。

さらに、仮想マシンを分析に頻繁に使用する場合は、 また、その VM のセキュリティ パッチを最新の状態に保ってください。使い捨ての環境であるにもかかわらず、古い VM は、より複雑な目的に使用できる最新のマルウェアにとって非常に便利な環境になる可能性があります。

組み合わせる 良好な Windows セキュリティ状態、Defender の適切なアクティブ化、USB ドライブの処理方法に関する明確な計画。分析プロセスはより体系的になり、リスクが低くなります。

犠牲宿主と再利用可能な隔離

疑わしい USB を接続するための専用の「戦争用コンピュータ」を用意するというアイデアは、そのシンプルさゆえに魅力的です。接続して必要なことを確認し、何か問題が発生した場合、被害はそのコンピュータに限定されます。 しかし、セキュリティを非常に真剣に考える人は、高度な攻撃を受けた後ではそのホストを再び本当に信頼することが難しいという問題に気づきます。.

もし、脅威が マザーボードのファームウェア、コントローラ、または内部デバイスに残るソフトウェアベースのクリーニングはもはや完全な消毒を保証するものではありません。そのため、多くの専門家はホストデバイスを文字通り消耗品とみなし、最終的には廃棄されるか、永久に隔離されるものと考えています。

再利用可能な論理分離アプローチの目標は、 珍しい USB ドライブが登場するたびに、メイン コンピューターを消耗品にする必要はありません。代わりに、仮想化およびデバイス制御アーキテクチャが構築され、これが適切に設計されていれば、ホストの永続的な侵害のリスクが合理的な最小限にまで軽減されます。

実際には、これには 分析レイヤー (仮想マシン、専用コントローラー、フィルター ハブ) を、重要なデータが保存されているシステムから明確に分離します。ホストは実行プラットフォームとして使用されますが、USB の動作に直接公開されることはありません。

絶対的なセキュリティは存在せず、影響を受けるハードウェアを破壊する以外に100%の保証がないような極端なシナリオも常に存在します。それでもなお、 ほとんどのユーザーと組織にとって、論理的に適切に分離された分析ワークフローを設定することは、はるかに現実的で持続可能かつ便利なソリューションです。 常に機器を犠牲にするよりも。

これまで説明してきたことを踏まえると、 Windowsでファイルを開く前にUSBドライブを分析するには、適切なシステムプラクティス、Windowsセキュリティの賢明な使用、そして マイクロソフトディフェンダーさらに進んで、仮想化技術とデバイスの論理的分離が必要になります。このステップバイステップのアプローチに従うことで、毎日使用するコンピューターや本当に重要なデータを危険にさらすことなく、潜在的に危険な USB ドライブを調査または調査することが可能になります。