2025年、陸上自衛隊で使用されていたUSBメモリからマルウェアが検出され、約1年間にわたり機密システムへ接続されていたことが報じられました。幸いにも、防衛省の調査では情報漏えいやネットワーク内への感染拡大は確認されませんでした。しかし、この出来事は「USB一本」が組織全体の情報セキュリティを揺るがしかねないことを改めて社会へ示す事例となりました。
近年はランサムウェアや標的型攻撃ばかりが注目されますが、USBメモリは現在でも企業・自治体・官公庁・防衛組織で利用され続けています。インターネットから隔離された閉域網(エアギャップ環境)であっても、人がUSBを持ち込むことでマルウェアが侵入する可能性があるためです。
本記事では、陸上自衛隊USB感染事件で何が起きたのかを整理するとともに、防衛省の説明、サイバー安全保障分野における政府方針、そしてIPA・JPCERT/CC・Microsoft・CISAが公表しているUSBセキュリティ対策を踏まえながら、現代のサプライチェーンリスクについて技術的な視点から解説します。
陸上自衛隊USB感染事件とは何だったのか
2025年に明らかになったUSBメモリ感染事案
2025年6月、日経新聞の報道を契機として、陸上自衛隊中部方面総監部において使用されていたUSBメモリからマルウェアが検出されていたことが明らかになりました。
防衛省の記者会見によれば、問題となったUSBメモリは令和7年(2025年)2月にマルウェアが検知され、そのUSBは約1年間にわたり機密システムで利用されていました。
一見すると重大な情報漏えい事件にも思えますが、防衛省は詳細な調査の結果、
- 自己増殖型の古典的なマルウェアであったこと
- 情報窃取機能は確認されなかったこと
- 外部サーバーとの通信は行われていなかったこと
- システム内部への感染拡大も確認されなかったこと
を公表しており、防衛システムへの直接的な影響は確認されなかったと説明しています。
問題となったのは「マルウェア」だけではない
今回の事案で特に重要だったのは、「USBメモリにマルウェアが存在したこと」だけではありません。
小泉進次郎防衛大臣は記者会見において、防衛省・自衛隊ではUSBメモリの利用に際して、
- 安全性の確認
- 調達時のサプライチェーン確認
- 使用前のウイルスチェック
を実施する規則が定められているにもかかわらず、
「例外なくウイルスチェックを実施するという規則が遵守されていなかった」
ことが問題であったと説明しました。
つまり、本件は単なるマルウェア感染ではなく、
運用ルールが適切に実施されていなかったこと
が重要な論点となっています。
能登半島地震対応という特殊事情
防衛省の説明では、このUSBメモリは令和6年能登半島地震への災害対応の中で物品登録され、運用されていたことも明らかになっています。
災害対応では通常とは異なる調達や機器運用が行われる場合がありますが、そのような状況であってもセキュリティ手順を省略してよいわけではありません。
現在、防衛省はUSBメモリの取得経緯について改めて調査を進めるとともに、ウイルスチェックの徹底を図るとしています。
今回の事件で最大の教訓は、「未知の高度なAPT攻撃が成功した」ということではなく、
定められていた基本的なセキュリティ運用が徹底されていなかったことにあります。
サイバー攻撃対策では、高度なAI検知システム以上に、基本ルールの確実な運用が組織全体の安全性を左右することが改めて示されました。
なぜUSB一本が機密システム全体を危険にさらすのか
陸上自衛隊のUSB感染事例が社会へ与えた最大の教訓は、「USBメモリそのものが危険」という単純な話ではありません。
重要なのは、USBメモリが組織のセキュリティ境界を物理的に越えてしまう媒体であるという点です。
企業や官公庁ではファイアウォールやEDR、ゼロトラストなどネットワーク経由の攻撃対策が進んでいます。しかし、USBメモリはインターネットを経由せず、人が直接持ち運ぶことができます。そのため、ネットワークを完全に遮断した環境であっても、USB一本によってマルウェアが持ち込まれる可能性があります。
実際、政府が近年公表しているサイバー安全保障関連資料でも、サプライチェーン全体の安全性確保や、調達から運用まで一貫したセキュリティ対策の重要性が繰り返し示されています。今回の事案も、こうした課題を象徴する事例と言えるでしょう。
閉域網(エアギャップ)は本当に安全なのか
防衛機関や重要インフラでは、インターネットから物理的に切り離した「閉域網(エアギャップ環境)」が広く利用されています。
エアギャップとは、外部ネットワークと接続しないことでサイバー攻撃を防ぐ考え方です。軍事施設、発電所、鉄道、医療機関など、高い安全性が求められる組織で採用されています。
しかし、閉域網は「ネットワークが存在しない」のではなく、「外部通信が制限されている」だけです。
データの受け渡しやソフトウェア更新、ログ収集などでは、現在でもUSBメモリや外付けSSDなどの可搬媒体が利用されるケースが少なくありません。
つまり、人がUSBメモリを持ち込めば、閉域網の外部に存在するデータを内部へ運び込めます。
このためUSBは古くから「エアギャップを突破する代表的な攻撃経路」として知られています。
「閉域網だから安全」という考え方は現在では十分ではありません。
USBメモリなどの可搬媒体を介した物理的なデータ移動も、サイバーセキュリティの重要な管理対象となっています。
USBは「人が運ぶネットワーク」である
USBメモリは単なる記録媒体ではありません。
サイバーセキュリティの観点では、「人が運ぶネットワーク」と考えた方が実態に近いと言えます。
通常、ネットワーク経由の攻撃ではファイアウォールや侵入検知システムが通信を監視します。しかしUSBメモリは人間が直接持ち運び、パソコンへ接続するため、ネットワーク監視だけでは防げません。
例えば次のような場面ではUSBが利用されています。
- 災害対応時のデータ受け渡し
- 設備保守用プログラムの更新
- 閉域網へのファイル搬入
- 測定機器や産業機器の設定変更
- バックアップデータの移動
これらは業務上必要な運用ですが、一つでも管理が不十分になると、マルウェアが組織内部へ持ち込まれる可能性があります。
今回、防衛省は「USB使用前のウイルスチェックを例外なく実施する」という規則が守られていなかったことを問題視しました。
つまり、USB自体よりも運用管理が重要であることが改めて示されたと言えます。
BadUSB・ショートカット感染・サプライチェーン攻撃は何が違うのか
ニュースでは「USBマルウェア」と一括りに報道されることが多いものの、実際には攻撃手法は大きく異なります。
| 種類 | 概要 | 特徴 |
|---|---|---|
| 通常のマルウェア | USB内の実行ファイルを利用者が開くことで感染 | 現在でも比較的多い手法 |
| ショートカット型(.lnk) | フォルダーに見せかけたショートカットを実行させる | 利用者をだまして感染させる |
| BadUSB | USB内部ファームウェアを書き換え、キーボードなど別機器として動作 | 通常のウイルス対策だけでは検知が難しい場合がある |
| サプライチェーン攻撃 | 製造・流通・保守の段階で機器やソフトウェアが改ざんされる | 組織全体へ影響する可能性がある |
今回、防衛省は検出されたマルウェアについて「自己増殖型の古典的なマルウェア」であり、情報窃取や外部通信は確認されなかったと説明しています。
これはBadUSBのような高度なファームウェア攻撃とは性質が異なるものですが、それでも組織内でウイルスチェックが徹底されていなかったことは重要な課題として受け止められました。
一方、近年では国家支援型攻撃(APT)においても、USBなど可搬媒体を利用した侵入経路が研究・分析されています。そのため各国政府は、USB利用そのものを禁止するのではなく、「調達」「検査」「運用」「廃棄」まで含めたライフサイクル全体で管理する方向へ移行しています。
今回の陸上自衛隊USB感染事例は、高度なゼロデイ攻撃による侵害ではなく、「基本的なセキュリティ運用の徹底」がいかに重要であるかを示した事例でした。一方で、USBは現在でもサプライチェーン攻撃や閉域網への侵入経路として利用され得るため、企業・自治体・個人を問わず継続的な管理が求められています。
政府が進めるサイバー安全保障とUSBリスクへの新たな考え方
陸上自衛隊USB感染事例は、一つの組織だけの問題ではありません。
政府は近年、サイバー攻撃の高度化やサプライチェーンの複雑化を受け、国全体のサイバー安全保障を強化するための制度整備を進めています。
その背景にあるのは、「境界防御だけでは守れない時代」が到来したという認識です。
インターネット経由の攻撃だけではなく、USBメモリや保守機器、更新プログラムなど、信頼されている経路を悪用する攻撃が世界的に増加しています。
今回の陸上自衛隊USB感染事例も、こうした流れの中で理解する必要があります。防衛省はシステムへの影響は確認されなかったと説明していますが、「規則どおりのウイルスチェックが実施されていなかった」という事実は、組織の運用管理がサイバーセキュリティの根幹であることを改めて示しました。
国家サイバー統括室が示す「サプライチェーン全体」の防御
政府が公表している「サイバー安全保障分野での対応能力の向上に向けた提言」では、従来のネットワーク防御だけでは十分ではなく、情報システムを構成する機器やソフトウェア、その調達・保守・運用まで含めたサプライチェーン全体の安全性を確保する必要性が強調されています。
この考え方では、USBメモリも単なる記録媒体ではありません。
- どこで製造されたのか
- どの経路で調達されたのか
- 安全性は確認されたのか
- 使用前の検査は実施されたのか
- 利用履歴は管理されているか
といった一連のライフサイクル全体が、サイバーセキュリティ対策の対象となります。
今回、防衛省が「取得までの経緯を改めて調査している」と説明した背景にも、このサプライチェーン全体を検証するという考え方があります。
サプライチェーンリスクとは、「製造国」だけを意味する言葉ではありません。調達、物流、保守、検査、運用までを含めた一連の流れのどこでリスクが発生するかを評価する考え方です。
なぜ「USBの使用禁止」ではなく「適切な管理」が求められるのか
事件を受け、「USBメモリを全面禁止すればよいのではないか」と考える人もいるかもしれません。しかし、現実には多くの現場でUSBメモリは必要不可欠な存在です。
例えば、防衛・医療・製造・電力・交通などの分野では、閉域網で運用される機器へのソフトウェア更新やログの取得、災害時のデータ搬送など、USBメモリが業務に欠かせない場面が数多く存在します。
そのため重要なのは、「USBを使うかどうか」ではなく、「安全に管理しながら使うかどうか」です。
防衛省の説明でも、USBメモリそのものを問題視したのではなく、使用前のウイルスチェックという基本的な運用ルールが守られていなかったことが課題として挙げられています。
これは民間企業にも共通する教訓です。
最新のセキュリティ製品を導入していても、基本的なルールが守られていなければ、リスクを完全に防ぐことはできません。
IPA・JPCERT/CC・Microsoft・CISAが共通して示す対策
国内外のセキュリティ機関が公表しているガイドラインを見ると、USBメモリ対策には共通した考え方があります。
| 機関 | 主な考え方 |
|---|---|
| IPA(情報処理推進機構) | 不明なUSBを接続しない、使用前にウイルスチェックを実施する、重要データはバックアップを取得する。 |
| JPCERT/CC | インシデント対応ではUSBなど可搬媒体も感染経路として調査対象とし、利用履歴を把握することが重要。 |
| Microsoft | AutoRun機能の制限、Microsoft Defenderによるリアルタイム保護、OS・セキュリティ更新の継続を推奨。 |
| CISA(米国サイバーセキュリティ・インフラ安全保障庁) | 信頼できないUSBを使用しないこと、可搬媒体を含めたサプライチェーン管理、組織全体でのセキュリティ教育を推奨。 |
これらを比較すると、どの機関も「特殊な最新技術」ではなく、基本的なセキュリティ運用を確実に実施することを最も重視している点が共通しています。
陸上自衛隊USB感染事例も、まさにこの基本原則の重要性を示した出来事と言えるでしょう。
今回の事例から得られる教訓は、「USBは危険だから使わない」という単純な結論ではありません。
重要なのは、
- 信頼できる調達経路を選ぶこと
- 使用前のウイルスチェックを徹底すること
- 利用履歴を管理すること
- 定期的な教育と運用監査を実施すること
これらを継続することで、USBを安全に活用できる環境を維持することができます。
まとめ|陸上自衛隊USB感染事件が私たちに示したもの
陸上自衛隊で確認されたUSBメモリ感染事例は、「USB一本が組織全体のセキュリティを左右し得る」ことを改めて社会へ示しました。
幸いにも、防衛省の調査では、検出されたマルウェアは自己増殖を行う古典的なタイプであり、情報窃取や外部サーバーとの通信、システム内部への感染拡大は確認されませんでした。
しかし、本件で最も重要だったのは、防衛省・自衛隊で定められていた「USB使用前には例外なくウイルスチェックを実施する」という規則が遵守されていなかった点です。
サイバー攻撃というと、高度なゼロデイ攻撃や国家支援型APT(Advanced Persistent Threat)が注目されがちです。しかし実際には、基本的なセキュリティルールの徹底が、組織を守る最も重要な防御策であることを、この事例は改めて示しています。
また、政府が近年推進しているサイバー安全保障政策では、「境界防御」だけではなく、サプライチェーン全体の安全性を確保する考え方へ大きく舵を切っています。
USBメモリも、その調達・保管・利用・廃棄までを含めたライフサイクル全体で管理することが求められる時代になりました。
これは防衛組織だけの話ではありません。
企業、自治体、病院、学校、そして一般家庭においても、「新品だから安全」「メーカー製だから安心」と考えるのではなく、信頼できる販売経路を選び、使用前のウイルスチェックや容量確認を行うことが重要です。
- USBメモリは現在でも重要な攻撃経路の一つである。
- 閉域網(エアギャップ環境)でもUSB経由でマルウェアが侵入する可能性がある。
- 今回の事例では情報漏えいは確認されなかった。
- 問題となったのは、USB利用ルールが守られていなかったことである。
- 政府はサプライチェーン全体を対象としたサイバー安全保障へ移行している。
- 基本的なセキュリティ運用の徹底が、最も効果的な防御策である。
よくある質問(FAQ)
Q. USBメモリは挿しただけで感染しますか?
現在のWindowsではAutoRun機能が大幅に制限されているため、従来より「挿しただけ」で感染するケースは少なくなっています。ただし、BadUSBのような特殊な攻撃や、不正なプログラムを利用者が実行した場合には感染する可能性があります。
Q. 陸上自衛隊では情報漏えいが起きたのですか?
防衛省の説明では、検出されたマルウェアは情報窃取や外部通信を行うものではなく、システムへの感染拡大も確認されなかったとされています。
Q. なぜ問題になったのでしょうか?
最大の問題は、USB使用前に実施すべきウイルスチェックが規則どおり行われていなかった点です。技術的な問題だけでなく、運用管理の重要性が改めて浮き彫りとなりました。
Q. BadUSBとは何ですか?
BadUSBとは、USBメモリ内部のファームウェアを書き換え、本来は記録媒体であるUSBをキーボードやネットワーク機器として動作させる攻撃手法です。通常のウイルス対策ソフトだけでは検知が難しい場合があります。
Q. サプライチェーンリスクとは何ですか?
製造・輸送・販売・保守・運用など、一連の供給過程のどこかでセキュリティ上の問題が発生するリスクを指します。近年はソフトウェアだけでなく、USBメモリなどのハードウェアも対象となっています。
Q. 一般企業も同じ対策が必要ですか?
はい。企業規模を問わず、USB利用ルールの整備、使用前のウイルスチェック、資産管理、従業員教育は重要です。
Q. USBメモリは使わない方が安全ですか?
完全に使用を禁止することは現実的ではありません。重要なのは、安全な調達、利用前の検査、適切な運用管理を継続することです。
Q. 外付けSSDでも同じリスクがありますか?
あります。USB接続で利用する外付けSSDやHDDも可搬媒体であり、マルウェアの持ち込み経路となる可能性があります。
Q. 一般家庭では何を心掛ければよいですか?
信頼できるメーカー・販売店から購入し、初回利用時にウイルススキャンを実施すること、重要なデータは複数の場所へバックアップすることをおすすめします。
Q. この事件から最も学ぶべきことは何ですか?
高度なサイバー攻撃対策だけでは十分ではなく、「決められた運用ルールを確実に実施すること」が組織の安全性を支える基本であるという点です。
参考文献・出典
- 防衛省・自衛隊 小泉防衛大臣記者会見(2025年6月)
- 日本経済新聞「陸上自衛隊でウイルス感染USBメモリーを機密システムで使用」に関する報道
- 国家サイバー統括室(NCO)「サイバー安全保障分野での対応能力の向上に向けた提言」
- 情報処理推進機構(IPA)「情報セキュリティ10大脅威」およびUSBメモリ利用に関する各種注意喚起
- JPCERT/CC インシデント対応およびマルウェア対策資料
- Microsoft Learn AutoRun・Microsoft Defender・USBデバイスセキュリティ関連ドキュメント
- CISA(Cybersecurity and Infrastructure Security Agency)USB Device Security Guidance、Supply Chain Risk Management Guidance
〆最後に〆
以上、間違い・ご意見は
次のアドレスまでお願いします。
最近は全て返信出来てませんが
適時、返信して改定をします。nowkouji226@gmail.com
【全体の纏め記事へ】
