USBメモリなどを介して感染するウイルスの被害が急増中だ。手軽に持ち運べる利便性から普及したが、それを逆手に取って感染が拡大する。USBメモリウイルスからシステムを守る方法を紹介しよう。
数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、IT初心者の日常生活に潜む情報セキュリティの危険や対策を毎週土曜日に解説しています。
過去の連載記事はこちらで読めます!
今回は「USBメモリで広まるウイルス感染の脅威」について紹介します。既に2006年後半から報告されている脅威ですが、9月末現在でも相当な勢力を保っており、10月と比較しても被害件数は群を抜いて1位となっています(2位の被害件数の約8倍)。
最近、読者のみなさんの周囲で以下のようなエピソードを耳にしてはいませんか。
A「秋葉原の露天商から16GバイトのUSBメモリを1000円で買ったよ」
B「おいおい、そりゃ何でも安すぎるだろう。どうしてそんなに安いのだろうか」
A「店員によると、中古品が大量に売却されたが、動作確認や内容の確認作業をしないで手間がかかっていないから安いらしいよ」
B「そうなのか。それで使えるのかい? 」
A「一応その場でノートPCに差し込んで認識できたよ。昨日も自宅のPCに接続したけど、全く問題なかったね」
そして、Aさんが毎日楽しみしていたオンラインゲームで、売買価格が5万円にもなる貴重なアイテムが無くなったのはそれから数日後のことであった。
このウイルスは、USBメモリを媒介にして感染を広げるもので、通常はオンラインゲームのアカウント情報やメールアドレスを盗み出すほか、さらに別のウイルスをダウンロードしてPCをボットに感染させ、第三者が遠隔操作をできるようにします。感染パターンには主に2つのケースがあり、1つはUSBメモリ内に不正な「autorun.inf」が仕込まれ、PCに接続した時点で自動的に不正プログラムを実行するケースです。もう1つは、PCがすでに感染しており、そこで作成された悪質なファイルがUSBメモリにコピーされ、そのUSBメモリをほかのPCで使用することで感染を広げるというものです。
インターネットでこのウイルスに対する予防方法を検索すると、「出所不明のUSBメモリを使わない」といったものが挙げられていますが、実際にはこの方法を徹底することが難しいと思われます。まずはウイルス対策ソフトウェアを最新の状態にしましょう。そして、感染しないための方法として次の3種類の方法があります。
Windows XPでは標準設定でUSBメモリなどを接続すると操作内容をユーザーに尋ねますが、Windows Vistaではautorun.infが実行されてしまいます。autorun.infは、USBメモリに限らずメモリカードや外付け型HDDなどでも使用します。感染を防止するために、自動再生の設定をオフにします。
Windows XPの場合、マイコンピュータ上から外部メディアとして認識されているデバイスをクリックし、「プロパティ」を選択します(図1)。
次に「自動再生」のタブから表示されているファイルタイプすべてに「何もしない」を選択します(図2)。
Windows Vistaの場合は、「スタートメニュー」の「コントロールパネル」から「ハードウェアとサウンド」を選択します。「自動再生」の項目にある「CDまたは他のメディアの自動再生」をクリックして、「すべてのメディアとデバイスで自動再生を使う」のチェックを外します。
自動再生機能のautorun.inf極めて簡単なテキストで構成されたプログラムで、通常はせいぜい数十バイトから数百バイトしかないものです。
[autorun]
open=XXX.exe
icon=xxx.exe
つまり、「XXX.exeというプログラムを実行しなさい」ということで、このファイル名を見つけると指示通りに実行するわけです。多くの場合、ウイルスの名前は、「XXX.exe」となっていますので、この名称をチェックする方法もよいでしょう。
セキュリティ機能付きのUSBメモリには、パスワード認証や指紋認証など機能が搭載されています。本来は情報漏えい対策などが目的で、ウイルス対策用途ではありませんが、例えば認証に10回失敗すると内部のデータを消去するなどの機能があります。また、データを書き込みできなくさせるものもあります。これらの機能を利用すれば、マルウェアなどの不正プログラムをPCに取り込まないようにすることもできます。
抜本的にPCでUSBメモリを使用できなくすれば、さらに強固な対策となるでしょう。企業ではポリシーに基づいて、情報セキュリティ担当など正規権限者がPC管理ツールなど用い、USBメモリを接続してもデータの読み書きを制限する、USBメモリのデバイスインストールを制限するといった設定変更を行います。
Copyright © ITmedia, Inc. All Rights Reserved.