USBメモリからのウイルス感染

(1/1)
USBメモリから不正プログラムが感染するケースが急増しています。問題は、Windowsのオートラン機能(autorun.inf)にあります。

状況

USBワーム
トレンドマイクロは、2008年(平成20年)12月5日、「脅威マンスリーレポート - 2008年(平成20年)11月度」を発表しました。それによると、不正プログラム感染被害の総報告数は5,207件で、最近4ヶ月は徐々に減少しています。
一方、感染被害報告数ランキングでは、USBメモリ関連の不正プログラムである「MAL_OTORUN」(オートラン)が4ヶ月連続1位となり、感染報告が3倍以上に増加しています。
MAL_OTORUN以外にも、トレンドマイクロの研究室に持ち込まれた新たな検体の半数以上が、USBメモリを介して感染する能力を有していました。
さらに、USBメモリに保存されている正常なファイルと同じ名前で不正プログラム本体のコピーを作成し、フォルダのアイコンで偽装する機能も確認されているとのことです。
2008年(平成20年)11月、日本ビクターが販売促進のために配布したUSBメモリに、ウイルスが混入していたことがわかりました。混入したウイルスは、オンラインゲームのIDとパスワードを盗み出すトロイの木馬「TSPY_QQPASS.CKS」や「Mal_Otorun1」でした。感染経路は公表されていません。

感染の仕組み

オートラン」による感染の仕組みは、非常に原始的です。

Windowsでは、USBメモリやCD-ROM、DVDなどを挿入した際、"autorun.inf" というファイルがあればそれに従い、プログラムを自動実行します。つまり、"autorun.inf" にマルウェアを実行するように設定しておけば、簡単に感染させられるのです。

最近では、ネットワークのセキュリティはだいぶ強化されたましが、USBメモリ、CD-ROM、DVDといったメディアに対する防御手段が講じられてこなかったところを突かれた形です。

なお、MacOS X や Linux には、こうしたオートラン機能はありません。

すぐにできる対策

  • USBメモリ、CD-ROM、DVDを挿入し、エクスプローラ上にドライブ・アイコンが表示されたら、ダブルクリックを行わない。
  • 「次のプログラムを実行しますか」というウィンドウが表示されても、「何もしない」を選択する。

抜本的な対策

オートラン機能を無効化します。下記ページを参照してください。

「オートラン機能無効化」が効かないUSBメモリ感染ウイルス

2010年(平成22年)8月に感染が確認されたStuxnetウイルスは、USBメモリのオートラン機能を無効化しても感染することが分かりました。脆弱性が解消されていないWindowsパソコンに、Stuxnetウイルスファイルが入っているUSBメモリを挿した場合、ウイルスファイルが入っているフォルダを開くだけで、当該ファイルに触れなくてもウイルス攻撃が開始されてしまいます。

対策としては、Windowsの修正パッチを適用することです。自動更新にしていれば、8月のパッチ公開時点で修正が適用されています。

忘れ物のUSBメモリ、3分の2がマルウェアに感染

英セキュリティ企業のSophosは2011年(平成23年)12月、オーストラリアの列車の車内に置き忘れられたUSBメモリを調べたところ、約3分の2がマルウェアに感染していたと発表しました。(Lost USB keys have 66% chance of malware

USBメモリには、税額控除の資料、会議録、学校の宿題、家族の写真アルバム、AutoCADの図面、履歴書、ソフトウェアやWebのソースコードなどが保存され、相当量の個人情報が含まれていたといいます。暗号がかけられていたメモリは1つもなく、いずれも簡単に開くことができてしまいました。

参考サイト

(この項おわり)
header