2008年から猛威をふるっているウイルスに「USBワーム(オートラン)」と呼ばれるウイルスがあります。このウイルスは、USBメモリなどのリムーバブルメディアを媒体として感染を拡げるものです。近年、低価格化と大容量化が進み、手軽なリムーバブルメディアとして、普及が進んでいます。しかし、ウイルスの感染経路としても、悪意を持った攻撃者の格好の標的となっています。まずは、事例から見ていきます。

海外出張でウイルスに感染!

大手企業のAさんは、年に数回海外出張をします。出張の際には、自分のノートPCを持参し、企画書やプレゼン資料などを利用します。それ以外にも、電子メールなどを出張先でみることなども重要な業務1つです。本社からの業務連絡を受けるには必要不可欠です。当然ですが、業務でも使用することからも、セキュリティ対策やウイルス対策も十二分に行っています。

今回の海外出張は1週間ほどで、米国に赴くこととなりました。いつものように、ノートPCを持参し、訪問先などで使用していました。そこで、資料などの受け渡しにUSBメモリを使いました。帰国後もいつも通りに業務を行っていました。帰国後、しばらくすると、ウイルス対策ソフトが、ウイルスを検知するようになりました。同様の現象が、自宅のPCや会社の同僚のPCからも発せられるようになり、ウイルスを駆除しても、一向に収まる気配がありませんでした。Aさんは、どうしてこんなにも身近でウイルスが蔓延しているのか、原因がわからず非常に苦慮する事態となりました。

実は、海外出張の際に、データの受け渡しをする際に、ウイルスに感染していたのです。このウイルスの多くは冒頭でもふれたように、USBメモリなどを主な感染経路とする「オートラン」と呼ばれるものです。

「USBワーム(オートラン)」は、USBメモリにAutoRun.infという設定ファイルを作成し、その仕組みを悪用します。ここではその実態を紹介します。USBワームの一種であるWORM_AGENT.HBが感染した状態を見ていきます。しかし、WORM_AGENT.HBは巧妙にみずからの姿を隠そうとします。具体的には、WORM_AGENT.HBが作成したファイルやフォルダに対し、ファイルを隠し属性とシステム属性を設定します。これらのファイルを表示するには、フォルダオプションの[表示]タブ内の[ファイルとフォルダの表示]で[すべてのファイルとフォルダを表示する]を選択し、さらに[保護されたオペレーティングシステムファイルを表示しない(推奨)]のチェックを外す必要があります(図1)。

図1 フォルダオプション

しかし、この設定をしようとするとWindows XPは次のような警告を出します(図2)。

図2 Windows XPの警告