落とした USB は拾われるとどうなるか？

落とした USB は拾われるとかなりの確率で PC に接続されることをフィールドテストで実証した研究^*1が興味深かったのでメモ。
予想通り不用意に PC に繋いでしまう人が多いようで、これくらいの確率になるとソーシャルエンジニアリング的な手法として十分実用になりそうです。

【海外セキュリティ】 USBメモリばらまき実験／セキュリティベンダーの年次報告書 - INTERNET Watch

これは、GoogleのElie Bursztein氏と、イリノイ大学アーバナ・シャンペーン校およびミシガン大学の研究者らによって行われた実験で、計297個のUSBメモリをイリノイ大学アーバナ・シャンペーン校のキャンパス内のさまざまな場所に落としておいたところ、その48％がPCに接続され、中にあるファイルがクリックされたそうです。しかも、最も早いものでは落としてから6分以内に接続されたとのことです。

原文は以下から読めます。調べてみたら 37th IEEE Symposium on Security and Privacy という国際会議に採録されているようです。
会期は今月の23日から25日までということで、これから発表される論文なんですね。

• Matthew Tischer, Zakir Durumeric, Sam Foster, Sunny Duan, Alec Mori, Elie Bursztein, Michael Bailey, "Users Really Do Plug in USB Drives They Find," 37th IEEE Symposium on Security and Privacy (S&P 2016), May 23-25, 2016 (to appear).

• ^*1: Concerns about USB security are real: 48% of people do plug-in USB drives found in parking lots