IPAは、毎月発表するコンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、USBメモリなどの自動実行(オートラン)機能の無効化を呼びかけている。

継続するUSBメモリ経由のウイルス感染

IPAでは、これまでも注意喚起を行ってきたが、再度、USBメモリの自動実行(オートラン)機能を無効化するように注意喚起している。その背景には依然として、自動実行機能を悪用したウイルス感染が猛威を振るっているからだ。以下のウイルスが代表的なものである。

  • W32/Autorun
  • W32/Downad(別名でConfickerと表記されこともある)
  • W32/Sality
  • W32/Virut
  • Stuxnet

特に、W32/AutorunやW32/Downadは、2008年頃からその感染拡大が指摘されて、現在でも被害報告や検地報告で上位にランキングされている。また、中東の原子力設備を攻撃目標としたStuxnetも、USBメモリでの感染が行われる。W32/DownadやW32/Virutは、出現した当初はその機能がなかったが、その後の亜種にその機能が追加されることもあった。このように、自動実行機能を悪用するウイルスは減る兆しすら見えない。その理由は、

  • HDDなどのウイルスチェックは行われるが、USBメモリのチェックがあまい
  • USBメモリの使い回しにより、感染の拡大が続く
  • 会社や組織内で感染が拡大すると完全な駆除が難しい

などがある。特に、自宅と会社でUSBメモリを使用する場合、セキュリティ対策をしていない自宅でそのようなウイルスに感染してしまうと、いくら会社でウイルス対策を施しても、効果が期待できないことがある。

自動実行機能を悪用した感染活動

では、どのように感染するのか。その流れをIPAでは以下のように紹介している。

図1 自動実行機能を悪用した感染例(今月の呼びかけより)

  1. USBメモリ、もしくはメールの添付ファイルなどから、自動実行機能を悪用するウイルスに感染したPC
  2. 感染したPCにUSBメモリを接続すると、ウイルスはUSBメモリにウイルス自身のコピーを作成して潜伏する。同時に、自動実行機能を悪用するための命令を仕掛ける
  3. ウイルスが潜伏しているUSBメモリを、ウイルス対策が不十分な別のPCに接続すると、ウイルスが自動実行される。これにより、このPCもウイルスに感染する
  4. この繰り返しにより、連鎖的に感染が広がる

これらのウイルス被害であるが、セキュリティソフトが使えなくなる、オンラインゲームのアカウント情報などのPC内の情報が外部に漏えいする、といった被害が報告されている。

MyJVNセキュリティ設定チェッカで無効を確認

まずは、自動実行機能が無効になっているかを確認したい。IPAでは、自動実行機能が無効となっているかを確認できるツール:MyJVNセキュリティ設定チェッカを提供している。

図2 MyJVNセキュリティ設定チェッカ

Webブラウザから実行できる。ただし、Javaのランタイムなど必要になるので、指示に従いインストールしてほしい。初めてMyJVNセキュリティ設定チェッカを起動すると、図3のような画面が表示されるが、適切に対応する。

図3 実行確認

すると、図4の画面となるので、チェックをする項目を選び、[実行]をクリックする。もし、なんの無効化もしていないと、図4のようになる。

図4 一切の無効化がされていない状態

このようになったら、すみやかに無効化をすべきである。

自動実行(オートラン)機能の無効化手順

自動実行機能は、Windows Updateにより、デフォルトで無効となるようになった(Windows 7では、最初から無効になっているので設定は不要)。無効化の方法はいくつかあるが、ここでは最も簡単な方法であるWindows Updateを紹介しよう。スタートメニューから[Windows Update]を選択し、[高速]ボタンで優先度の高い更新プログラムを表示する(Vistaでは、「重要」となる)。ここに表示されている「KB971029」をインストールする。Windows Updateでうまくいかない場合は、こちらから、更新プログラムをダウンロードできる。

図5 KB71029をインストール

インストール後、再起動し、MyJVNセキュリティ設定チェッカを実行してみよう。図6のように、KB971029が適用されていることがわかる。

図6 Windows Update後のMyJVNセキュリティ設定チェッカ

下の「USBメモリ自動実行機能の無効化設定」は、グループポリシーを設定する方法である。詳細はこちらを参照。

図7 グループポリシーにより自動実行を無効化

MyJVNセキュリティ設定チェッカは、図7のようになる。

図8 KB967715を適用後、グループポリシーを変更

その他の対策と組み合わせる

IPAでは、自動実行機能の無効化だけでなく、それ以外の対策を組み合わせることで、より効果が期待できるとしている。

  • ウイルス対策ソフトの利用
  • 脆弱性を解消する(Windows Updateの利用)

PCやウイルス対策ソフトをつねに最新の状態に保つことで、ウイルスなどの脅威を防ぐことが可能になる。くれぐれも、怠らないようにしたい。さらに、自動実行機能を悪用するウイルスなどが減らない理由として、USBメモリの使い回しをあげた。運用・管理面からは、次のような対策が求められる。

  • 自身が管理していないPCや不特定多数が利用するPCに、むやみに自身のUSBメモリを接続しない
  • 自身が管理していないUSBメモリや所有者不明なUSBメモリを、むやみに自分のPCに接続しない

最近では、セキュリティ対策機能を内蔵するUSBメモリなども市販されるようになった。これらも有効な対策となるだろう。USBメモリは、安価で大容量であることから、普及率も高い。その一方で、不注意や紛失から情報流出の原因となることも少なくない。企業や組織などでは、改めてUSBメモリの運用や管理方法のガイドラインなどを作成することも必要だろう。