こんにちは、株式会社TIMEWELLの濱本です。
2026年6月、少し背筋が寒くなるニュースが流れました。陸上自衛隊の中部方面総監部で、機密を扱うシステムの端末に、マルウェアに感染した中国製のUSBメモリが接続されていた。しかも、それが約1年ものあいだ気づかれずにいた、というのです^1。ここで正確に書いておきたいのですが、防衛省の説明によれば、このマルウェアは自己増殖するだけの古典的なもので、情報の窃取や外部への通信は確認されていません^2。つまり「機密が中国に流出した」という話ではない。それでも、この事案が突きつけたものは重いと感じます。物理的な入口の管理が、たった一つのUSBメモリで破綻しうるということを、はっきり見せたからです。
情報漏えいというと、高度なサイバー攻撃を想像しがちです。ですが実際には、USBを挿す、ケーブルをつなぐ、フリーWiFiに接続する、といった日常のうっかりが入口になることが少なくありません。今回は、こうした物理的な経路のリスクを、確認できた事実にもとづいて整理します。派手さはないけれど、ここを塞ぐことが、結局はいちばん確実な流出対策になる。そういう話です。自社のデータ管理が大丈夫か気になる方は、先にAI活用の準備状況診断で足元を確かめてから読んでみてください。
USBメモリと外部記憶デバイス、いちばん古くて、いちばん効く入口
自衛隊の事案が示したように、USBメモリはいまだに最も警戒すべき入口です。ネットにつながっていない隔離されたシステム、いわゆるエアギャップ環境ですら、USBは越えてきます。
歴史がそれを証明しています。2008年、米国防総省の機密ネットワークが、中東の基地でノートPCに挿された一本の感染USBメモリから侵入を許しました。当時の国防副長官が後に公式に明かした、米軍史上最も深刻とされた侵害です[^3]。2010年にイランの核施設を襲ったStuxnetも、ネットから切り離された制御機器への最後の一跳びを、USB経由で果たしました[^4]。国家レベルの厳重な環境ですら、この経路で破られてきたのです。
やっかいなのは、USBの脅威がウイルスファイルだけではないことです。2014年に研究者が公表した「BadUSB」は、USB機器のファームウェアを書き換えてUSBメモリをキーボードになりすませる手口で、勝手にコマンドを打ち込みます。恐ろしいのは、ウイルス対策ソフトでは検知できず、再フォーマットしても消えないという点です[^5]。見た目はただのUSBメモリなのに、中身は攻撃者の手先になっている。
そして人間は、思っている以上に無防備です。イリノイ大学などの研究チームが、キャンパスに297本のUSBメモリをわざと落とす実験をしました。結果、98パーセントが持ち去られ、45パーセントは中のファイルまで開かれていました[^6]。落ちているUSBは、かなりの確率で誰かのパソコンに挿さるのです。国内でも、大手教育事業者から約3,500万件の顧客情報が持ち出された事件では、委託先の技術者が業務用パソコンから私物スマートフォンへケーブルで転送していました[^7]。悪意の持ち出しも、拾ったUSBのうっかりも、同じ物理経路から起きます。
対策は、突き詰めればシンプルです。素性のわからない外部記憶デバイスは接続しない。機密を扱う端末では、USBの使用そのものを制御し、接続された媒体を必ずウイルスチェックの対象にする。自衛隊の事案で問題視されたのは、まさにこのウイルスチェックの規則が守られず、USBが検査対象から外れていた点でした^2。ルールがあっても、運用で破れる。だからこそ、人の注意力に頼らず仕組みで止めることが要るのです。
給電ケーブルと充電口、ケーブルは細工されうる
次に見落とされがちなのが、充電まわりです。「充電するだけなら安全だろう」という思い込みが、ここでは危険になります。
象徴的なのが、研究者が公開したO.MGケーブルです。見た目はどこにでもある普通の充電ケーブルなのに、筐体のなかにWi-Fiチップとキーロガーが仕込まれていて、遠隔からキー入力を記録したり、勝手にコマンドを注入したりできる。2021年には量産化され、市販もされています[^8]。USBメモリの形をしながら猛烈な速度でキー入力を自動実行する「USB Rubber Ducky」のような道具も、ずっと前から出回っています。ケーブルもメモリも、見た目で安全性は判断できないのです。
公共の充電スタンドについては、FBIやFCCが、空港やホテル、商業施設の無料USB充電口の利用を避けるよう注意を促しています。改造されたUSBポートからマルウェアを送り込まれる、いわゆるジュースジャッキングのリスクがあるからです[^9]。ここは正直に書いておきます。FBIの注意喚起は一般的な啓発であって、ジュースジャッキングによる実際の被害が公的に記録された事例は、いまのところ確認されていません[^9]。ですから過度に怯える必要はありません。ただ、O.MGケーブルのような道具が現実に売られている以上、備えておいて損はない。
現実的な対策はこうです。充電には自分の純正ケーブルと、できればACアダプター、つまり壁のコンセントを使う。どうしても公共のUSB口を使うなら、データ通信の線を物理的に遮断するデータブロッカーをかませる。そして、出所のわからないケーブルを人から借りて自分の端末に挿さない。たったこれだけで、細工されたケーブル経由のリスクはほぼ消せます。
HDMIとスマートTV、フリーWiFi、映像と電波の落とし穴
会議室のテレビや、外出先のネットワークにも、うっかりの入口があります。
まずスマートTVです。実はこの点、直感を裏づける訴訟が現実に起きています。2025年12月、米テキサス州のパクストン司法長官が、Sony、Samsung、LG、そして中国系のHisenseとTCLという大手5社を提訴しました[^10]。争点は、これらのテレビが搭載するACR(自動コンテンツ認識)という技術です。ACRは画面に映る音と映像を500ミリ秒ごとに取得し、ストリーミングだけでなく、ケーブルボックスやゲーム機など、HDMIで接続した外部機器の表示内容まで監視して外部へ送っていた、と司法長官は主張しています。集めた視聴データはデータブローカーに広告目的で販売されていたとされ、訴えはテキサス州の欺瞞的取引慣行法にもとづきます。すでにHisenseとSamsungにはデータ収集を差し止める仮の命令が出ており、訴状は、HisenseとTCLが集めたデータが中国の国家安全法の下で当局と共有されうる点にも触れました。裁判の最終結果はまだ確定していませんが、「HDMIでつないだ外部機器の画面までテレビが監視・送信していた」という主張が、州の司法長官によって正式に持ち出されたのです。
この構図は研究でも裏づけられています。2024年の学術研究では、テレビを単なる外部ディスプレイとしてHDMIでつないで使っている場合でも、そのHDMI入力の画面内容までACRが取得することが実証されました[^11]。過去には米国のメーカーが、約1,100万台のテレビから同意なく視聴データを集めて販売し、当局と220万ドルで和解した例もあります[^12]。ACR自体は中国製に固有の話ではなく、スマートTV全般に共通するリスクです。ただし今回テキサスが訴えた5社のうち2社が中国系で、中国の法制度が名指しで懸念された点は、経済安全保障の観点から見過ごせません。会議室で機密資料を映すテレビが、ネットにつながったスマートTVでないか。一度、確認する価値があります。
もうひとつがフリーWiFiです。正規のものとそっくりの偽アクセスポイントを立てて通信を盗む「Evil Twin」という手口があり、これは理論ではなく実際の犯罪として起きています。2024年、オーストラリアでは、空港や機内で偽の無料WiFiを運用し、接続してきた人の認証情報を盗んだ人物が訴追され、実刑判決を受けました[^13]。FBIも、ホテルのWiFiが偽アクセスポイントや偽ログインページに悪用されうると名指しで警告しています[^14]。対策の基本は変わりません。機微なやり取りをフリーWiFiでしない。使うならVPNを通すか、スマートフォンのテザリングを使う。接続先が本物か、通信が暗号化されているかを確認する。地味ですが、効きます。
見落としがちな、その他のうっかり
ここまでの三つ以外にも、うっかりの入口はまだあります。まとめて挙げておきます。
- のぞき見:新幹線やカフェで画面を後ろから見られる、いわゆるショルダーハッキング。ある実験では、のぞき見による情報の取得成功率は91パーセントに達しました[^15]。プライバシーフィルターと、席の選び方で大きく変わります。
- 放置した端末への物理的な仕込み:ホテルの部屋に置いた暗号化ノートPCに短時間触れて細工する「Evil Maid攻撃」が知られています。実際に、英国の銀行では、IT作業員を装った犯人が支店のパソコンに遠隔操作用の機器を秘密裏に接続し、多額を送金させた事件も起きました[^16]。
- QRコードの偽装:正規のQRコードにシールを貼り替えて偽サイトへ誘導する「クイッシング」。FBIやFTCが繰り返し注意喚起しています。
- Bluetooth:ペアリング不要で乗っ取りうる脆弱性が過去に見つかっています。使わないときはオフにする、が基本です。
- 離席時のロック:ロックせずに離席した端末に、キーボード偽装のUSBを一瞬挿すだけで、痕跡を残さず操作される。
こうした一つひとつは些細に見えます。ですが、国も企業も、まさにこの「物理的な入口」を制度で塞ぎにきています。防衛省は2007年の訓令で私物USBの接続を禁じていましたし[^17]、内閣府が2025年に示した経済安全保障の適合事業者向けガイドラインでは、重要な情報を扱う端末をインターネットに接続しないこと、可搬媒体への書き出しや印刷のログを残すこと、区画へのスマートフォンや録音機、カメラの持ち込みを禁じることまで、明文で求めています[^18]。物理的な流出経路を断つことが、技術流出を防ぐ土台だと、制度の側もはっきり認識しているのです。
「うっかり」を、仕組みで潰す
ここまで並べてきて、共通して見えてくることがあります。どれも、個人の注意力に頼っているうちは、いつか破れるということです。自衛隊の事案も、ルールはあったのに運用で守られませんでした。人は忙しいと、拾ったUSBを挿し、空港で充電し、フリーWiFiにつなぎます。だからこそ、注意を促すだけでなく、そもそも危険な行為ができない仕組みにしておくことが効くのです。
USBポートを制御し、媒体を暗号化し、機微な情報を扱う環境を隔離する。こうしたエンドポイントの守りに加えて、そもそも「守るべきデータがどこにあり、誰がアクセスできるか」を自分たちで把握できていることが、流出リスクを二重に下げます。私たちが提供しているエンタープライズAIのZEROCKは、AWSの国内サーバーでデータを扱い、どの情報を誰が使えるかをコントロールできるように設計しました。物理的な入口を塞ぐ努力と、扱うデータ自体を管理できる基盤。この両輪がそろってはじめて、情報は漏れにくくなります。フィジカルAIやIoT機器そのものが持つリスクについては、デバイスのデータの行き先を確認する記事でも詳しく書きました。あわせて読んでいただくと、入口から出口までの全体像がつかめると思います。
情報流出は、たいてい派手な事件ではなく、静かなうっかりから始まります。USBを挿す前に、ケーブルを借りる前に、WiFiにつなぐ前に、一呼吸おく。その一呼吸を、個人の心がけではなく組織の仕組みに変えていくことが、これからの技術流出対策の現実解だと私は考えています。自社の情報保全をどう固めるか相談したい方は、個別のご相談からお声がけください。
参考文献
[^3]: 2008年、米国防総省の機密ネットワークが中東の基地で挿された感染USBメモリから侵入を許した事案(Operation Buckshot Yankee)。国防副長官William J. Lynn III による公式開示。Foreign Affairs(2010年)。https://www.foreignaffairs.com/articles/united-states/2010-09-01/defending-new-domain [^4]: Stuxnet(2010年)がリムーバブルドライブ(USB)経由でエアギャップ環境へ侵入し、LNK脆弱性CVE-2010-2568を悪用した点。Symantec「W32.Stuxnet Dossier」。https://nsarchive2.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber-044.pdf [^5]: BadUSB(USB機器をキーボードになりすませる攻撃、ウイルス対策ソフトで検知不可・再フォーマットで駆除できない)。Karsten Nohl ら(SR Labs、Black Hat USA 2014)。https://radetskiy.wordpress.com/wp-content/uploads/2014/08/srlabs-badusb-blackhat-v1.pdf [^6]: 落ちているUSBメモリを人が接続するかを検証した研究(297本中98%が持ち去られ、45%でファイルが開かれた)。Tischer, Durumeric ほか、IEEE Symposium on Security and Privacy 2016。https://ieeexplore.ieee.org/document/7546509/ [^7]: 大手教育事業者からの顧客情報持ち出し事件(委託先技術者が業務用PCから私物スマートフォンへケーブル転送、不正競争防止法違反)。各報道(2014年)。 [^8]: O.MGケーブル(充電ケーブルにWi-Fiチップとキーロガーを内蔵、2021年に量産化・市販)。Vice(2021年9月2日)およびHak5公式。https://www.vice.com/en/article/k789me/omg-cables-keylogger-usbc-lightning [^9]: 公共USB充電(ジュースジャッキング)に関するFBI・FCCの注意喚起、およびジュースジャッキングによる実被害の公的記録が確認されていない点。KrebsOnSecurity(2023年)、FCC消費者アドバイザリ。https://krebsonsecurity.com/2023/04/why-is-juice-jacking-suddenly-back-in-the-news/ および https://www.fcc.gov/juice-jacking-dangers-public-usb-charging-stations [^10]: 米テキサス州のパクストン司法長官が、スマートTV5社(Sony、Samsung、LG、および中国系のHisense、TCL)をACR(自動コンテンツ認識)による無断のデータ収集で提訴した事案(2025年12月15日)。ACRは画面の音・映像を500ミリ秒ごとに取得し、ケーブルボックスやHDMI接続機器の表示内容も監視・送信するとされ、テキサス州欺瞞的取引慣行法(DTPA)違反を主張。HisenseとSamsungにはデータ収集を差し止める仮処分(TRO)。訴状はHisense・TCLのデータが中国の国家安全法の下で当局と共有されうる点にも言及。裁判結果は未確定。テキサス州司法長官発表、およびAlston & Bird、IAPPの解説。https://www.texasattorneygeneral.gov/news/releases/attorney-general-paxton-sues-five-major-tv-companies-including-some-ties-ccp-spying-texans および https://iapp.org/news/a/automated-content-recognition-technology-takes-privacy-enforcement-spotlight [^11]: スマートTVのACR(自動コンテンツ認識)が、HDMI接続の外部機器の画面内容も取得してサーバー送信することを実証した研究。Anselmi, Vekaria ほか「Watching TV with the Second-Party」ACM IMC 2024。https://arxiv.org/abs/2409.06203 [^12]: 米国メーカーがACRで約1,100万台のテレビから同意なく視聴データを収集・販売し、米連邦取引委員会等と220万ドルで和解した事案(2017年2月)。FTC。https://www.ftc.gov/news-events/news/press-releases/2017/02/vizio-pay-22-million-ftc-state-new-jersey-settle-charges-it-collected-viewing-histories-11-million [^13]: 空港・機内で偽の無料WiFi(Evil Twin)を運用し認証情報を盗んだ人物の訴追・実刑。オーストラリア連邦警察(AFP、2024年6月)。https://www.afp.gov.au/news-centre/media-release/man-charged-over-creation-evil-twin-free-wifi-networks-access-personal [^14]: ホテルWiFiのリスク(偽アクセスポイント・偽ログインページ・端末監視)に関するFBI/IC3の注意喚起(2020年10月6日、PSA)。https://www.ic3.gov/PSA/2020/PSA201006 [^15]: ビジュアルハッキング(のぞき見)による情報取得の成功率91%(8か国でのグローバル実験)。Ponemon Institute・3M。https://multimedia.3m.com/mws/media/1254330O/global-visual-hacking-experiment-whitepaper.pdf [^16]: 英国の銀行支店で、IT作業員を装った犯人がKVMスイッチと通信機器を秘密裏に接続し遠隔送金した事件(2013年、判決2014年)。The Register。https://www.theregister.com/2014/04/25/kvm_crooks_jailed/ [^17]: 防衛省「情報保証に関する訓令」(平成19年訓令第160号、2007年)第45条による私物USB等の情報システム接続禁止。https://www.clearing.mod.go.jp/kunrei_data/a_fd/2007/ax20070920_00160_000.pdf [^18]: 内閣府「重要経済安保情報の保護及び活用に関する適合事業者向けガイドライン」(2025年5月)。重要情報を扱う端末のインターネット非接続、可搬媒体への書き出し・印刷ログの保存、区画へのスマートフォン・録音機・カメラ等の持ち込み禁止、媒体の暗号化保管を明文で要求。https://www.cao.go.jp/keizai_anzen_hosho/hogokatsuyou/doc/jigyousyagl.pdf
