USBメモリからのウイルス感染

(1/1)
USB メモリから不正プログラムが感染するケースが急増しています。問題は、Windows のオートラン機能(autorun.inf)にあります。

状況

USBワーム
トレンドマイクロは、2008 年(平成 20 年)12 月 5 日、「脅威マンスリーレポート - 2008 年(平成 20 年)11 月度」を発表しました。それによると、不正プログラム感染被害の総報告数は 5,207 件で、最近4 ヶ月は徐々に減少しています。
一方、感染被害報告数ランキングでは、USB メモリ関連の不正プログラムである「MAL_OTORUN」(オートラン)が 4 ヶ月連続1 位となり、感染報告が 3 倍以上に増加しています。
MAL_OTORUN以外にも、トレンドマイクロの研究室に持ち込まれた新たな検体の半数以上が、USB メモリを介して感染する能力を有していました。
さらに、USB メモリに保存されている正常なファイルと同じ名前で不正プログラム本体のコピーを作成し、フォルダのアイコンで偽装する機能も確認されているとのことです。
2008 年(平成 20 年)11 月、日本ビクターが販売促進のために配布した USB メモリに、ウイルスが混入していたことがわかりました。混入したウイルスは、オンラインゲームの ID とパスワードを盗み出すトロイの木馬「TSPY_QQPASS.CKS」や「Mal_Otorun1」でした。感染経路は公表されていません。

感染の仕組み

オートラン」による感染の仕組みは、非常に原始的です。

Windows では、USB メモリや CD-ROM、DVD などを挿入した際、"autorun.inf" というファイルがあればそれに従い、プログラムを自動実行します。つまり、"autorun.inf" にマルウェアを実行するように設定しておけば、簡単に感染させられるのです。

最近では、ネットワークのセキュリティはだいぶ強化されたましが、USB メモリ、CD-ROM、DVD といったメディアに対する防御手段が講じられてこなかったところを突かれた形です。

なお、MacOS X や Linux には、こうしたオートラン機能はありません。

すぐにできる対策

  • USB メモリ、CD-ROM、DVD を挿入し、エクスプローラ上にドライブ・アイコンが表示されたら、ダブルクリックを行わない。
  • 「次のプログラムを実行しますか」というウィンドウが表示されても、「何もしない」を選択する。

抜本的な対策

オートラン機能を無効化します。下記ページを参照してください。

「オートラン機能無効化」が効かないUSBメモリ感染ウイルス

2010 年(平成 22 年)8 月に感染が確認されたStuxnet ウイルスは、USB メモリのオートラン機能を無効化しても感染することが分かりました。脆弱性が解消されていない Windows パソコンに、Stuxnet ウイルスファイルが入っている USB メモリを挿した場合、ウイルスファイルが入っているフォルダを開くだけで、当該ファイルに触れなくてもウイルス攻撃が開始されてしまいます。

対策としては、Windows の修正パッチを適用することです。自動更新にしていれば、8 月のパッチ公開時点で修正が適用されています。

忘れ物のUSBメモリ、3分の2がマルウェアに感染

英セキュリティ企業の Sophos は 2011 年(平成 23 年)12 月、オーストラリアの列車の車内に置き忘れられた USB メモリを調べたところ、約 3 分の 2 がマルウェアに感染していたと発表しました。(Lost USB keys have 66% chance of malware

USB メモリには、税額控除の資料、会議録、学校の宿題、家族の写真アルバム、AutoCAD の図面、履歴書、ソフトウェアや Web のソースコードなどが保存され、相当量の個人情報が含まれていたといいます。暗号がかけられていたメモリは 1 つもなく、いずれも簡単に開くことができてしまいました。

参考サイト

(この項おわり)
header