IPAは、毎月発表するコンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、USBメモリなどを感染経路とする新たな攻撃手口を持つウイルスの出現について注意を喚起している。
USBメモリ経由で感染する新たなウイルス:Stuxnet
今回、新たに検知されたウイルスはW32/Stuxnet(以下Stuxnetと略記。スタスクネットと呼称する)である。IPAでは、Stuxnetウイルスを入手し、その感染手口の解析を行った。その分析結果であるが、「細工されたショートカットファイル(lnkファイル)が入っているフォルダをエクスプローラで開くだけで、ウイルスが起動する」という特徴が浮かび上がった。では、これがどのように新しい手口であるか、順を追って解説しよう。まずは、USBメモリにStuxnetウイルスが入っているとし、そのUSBメモリをPCに挿入する(図1)。
USBメモリ内のファイルを参照するために、エクスプローラでStuxnetウイルスを含むフォルダを開く。
たったこの操作だけで、ファイルに触れていなくてもStuxnetウイルスが起動する。実際には、隠し属性が設定され、アイコンは表示されないことが普通である(ここでは、わかりやすくするためにアイコンを表示した、またファイル名も実際とは異なる)。USBメモリ経由で感染するウイルスは、現在でもその被害が報告されているW32/Autorun(オートラン)などの複数のウイルスがある。では、これらのウイルスと異なる点はどこにあるのか?そこを見ていこう。
脆弱性を悪用するStuxnetウイルス
Stuxnetウイルスは、Windowsの脆弱性を巧みに悪用している。今回、狙われた脆弱性は、以下のものである。
すでにマイクロソフトから、2010年6月と7月に脆弱性に関する情報と攻撃からの回避策が公開されている。この脆弱性に関しては、回避策が講じられるまでには、若干の時間的な猶予があった。悪意を持った攻撃者は、この隙を狙ったゼロデイ攻撃が行ったわけだ。PCは、わずかの期間まったくの無防備な状態となり、非常に危険な状態になった。そこでIPAでも上述の注意喚起を行ったという経緯である。
さて、ではどのように脆弱性が悪用されたのであろうか。Stuxnetウイルスは、「Windowsシェルの脆弱性(MS10-046)について」を狙った。この脆弱性(MS10-046)は、エクスプローラなどで、ショートカットファイルのアイコンを表示しようとする際、アイコン画像の参照先ファイルをWindowsが正確に解析しない、というものだ(つまり、アイコン画像はずが画像データでなくてもよくなってしまう)。
この脆弱性が悪用されると、ショートカットファイルのアイコン画像を画像ファイルではなく、悪意あるコードを含むファイルとすることで、そのコードが実行される危険性がある。これまでにない新しい手口であるのは、この脆弱性を悪用し、自動実行機能を使っていない点である。これまでのオートランなどでのウイルスでは、Windowsの自動実行機能を無効にすることで感染を防げた。しかし、Stuxnetが行う攻撃では自動実行機能は使われないので、自動実行機能を無効化するだけでは攻撃を回避することはできない。
Stuxnetのその他の感染経路と対策
IPAによれば、Stuxnetウイルスは、USBメモリ経由以外でも以下のような手口によって感染することが判明している。
- ネットワークの共有フォルダを経由した感染
- メール添付で送られてきたファイルを保存、フォルダを開いて感染
- 細工された文書ファイルを開いて感染
- 改ざんされたWebサイトを閲覧して感染
Stuxnetウイルスへの対策は、第一にWindowsの脆弱性の解消である。この脆弱性の修正プログラムはマイクロソフトより、すでに公開されているので(対象は、Windows XP SP3、Windows Vista SP1以降、Windows 7)、すぐにでも脆弱性の解消を行うべきである。脆弱性を放置すると、フォルダを参照しただけで感染するので、感染を防ぐことは非常に難しい。速やかな対応が求められる。
また、ウイルス対策の最も基本であり重要な対策となるのが、ウイルス対策ソフトである。正規のウイルス対策ソフトを導入し、つねに最新の定義ファイルに更新を行い、PCを安全な状態に保つことである。また、IPAでは、一般利用者向けのウイルス対策ソフトとして、危険なWebサイトの閲覧防止機能などを備えた「統合型」を推奨している。感染例の最後にあげたように、改ざんされたWebサイトを閲覧しただけで、感染の可能性もある。注意力のみで感染を防ぐことが非常に難しくなっている。総合的な対策を講じてほしい。