IPAの2008年12月の「今月の呼びかけ」 - 外部記憶メディアのセキュリティ対策を再確認しよう!

IPAは、毎月発表するコンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、USBメモリを介したウイルスによる被害が増加していることへの注意を呼びかけている。

USBメモリ感染型ウイルスの被害状況

IPAに寄せられたウイルス届出のうち「USBメモリを経由して感染を広げるウイルス」の検出数が、9月に11,722件、10月に62,555件、11月は101,090件と急増している。この種のウイルスの手口であるが、Windows 2000以降、PCにUSBメモリが接続されると、そのUSBメモリのプログラムを自動的に実行する機能がある(オートランと呼ばれる)。

USBメモリ感染型ウイルスは、この機能を悪用して感染活動を行う。実際には、エクスプローラからは見えないAutorun.infというファイルをUSBメモリ内に作成することで、ウイルス自身が自動実行される状態にする。そして、このウイルスに感染したPCに、別のUSBメモリを接続すると、そのUSBメモリにウイルスが感染する。USBメモリはかつてのフロッピーディスクに代わり、データやファイルの移動に使われることが多い。職場などでは、一気に感染が拡大することもある。

このような感染方法は、USBメモリだけではなく、USB接続のハードディスク、SDカードやメモリスティックなどでも同様の可能性がある。いずれのメディアも、ドライバが不要、低価格が進むなどの理由から、ごく普通に利用される機会が増加している。他人のPCにデータを移動するために、接続をしただけで感染してしまう。また、街のパソコン教室でデータを持ちかえろうとしたら、USBメモリ感染型ウイルスが感染し、職場のPCにもウイルスが感染してしまった、といった事例も報告されている。

USBメモリ感染型ウイルスの特徴

最近のUSBメモリ感染型ウイルスには、大きな特徴が見られる(多くの亜種が存在するので、そのすべてが同じ特徴を持つとは限らない)。その1つは、駆除や発見を困難にするために様々な偽装・妨害を行うことである。具体的には、ウイルス自体が自らを偽装することもある。図1のように、あたかも普通のデータであるかのアイコンを装う。

ウイルス対策ソフトに対しては、以下のような、被害事例がある。

• 起動中のウイルス対策ソフトを停止する
• ウイルス定義ファイルを更新するWebサイトへのアドレスを変更し、更新を不能にする
• 複数のウイルスを同時実行し、一方が活動停止されても、他方から再起動を行う

このように、ウイルス対策ソフトがあっても、その効力を無効化し、感染し続けようとする。結果として、感染がさらに拡大するということになる。 具体的な被害としては、

• Windowsが正常に動作するために必要なシステムファイルが破壊される
• オンラインゲームのアカウント情報(IDやパスワード)が盗まれる
• 他のウイルスをダウンロードさせられる

がある。

USBメモリ感染型ウイルスの対策

まずは、ウイルス対策ソフトであるが、ウイルス定義ファイルをつねに最新のものとすること、そして、常時ウイルス検知を行うことである。さらに、PCだけでなく、USBメモリなどの外部記憶装置に対しても定期的なウイルスチェックを行うことである。また、USBメモリ感染型ウイルスは、Windowsなどの脆弱性を悪用することが多い。Windows Updateなどの更新も必ず行っておきたい。さらに、USBメモリ感染型ウイルスの感染を防ぐためには、以下のような点にも注意を払うべきであろう。

• 所有者の不明なUSBメモリは、自身のパソコンには接続しない
• 不特定多数が利用するパソコンには、USBメモリを接続しない
• 自宅や職場で、USBメモリを共用しない

さらに、Windowsの自動実行機能を使わない設定にする方法も有効な方法といえる。簡単に、その方法を紹介しておこう。 Windows Vistaは、[スタートメニュー] → [コントロールパネル] → [ハードウェアとサウンド]から、[CDまたは他のメディアの自動再生]を選択する。自動再生のダイアログが表示される(図2)。

ここで、[ソフトウェアとゲーム]で、プルダウンメニューの[何もしない]を選択し、[保存]ボタンをクリックする。これで自動実行が行われず、ウイルスが自動的に感染活動を行うことを防ぐことができる。ただし、マイクロソフトが公開した「Windowsエクスプローラの脆弱性により、リモートでコードが実行される(MS08-038)」という脆弱性があり、これへの対応を行う必要がある。詳細は、マイクロソフトのWebページを参照してほしい。

Windows XPでは、USBメモリ内に、Autorun.infファイルと実行ファイルがあっても、PCに接続した時点で自動実行は行われない。しかし、[マイコンピュータ]から、USBメモリをダブルクリックすると、USBメモリ感染型ウイルスが起動してしまう。ここで自動実行を行わない ようにするには、

• 「Windowsで強制"無効"に自動実行レジストリキーを修正する方法」
• 「Windows XP用の更新プログラム(KB950582)」

で対応が可能となる。