W32/Autorunワーム、コンピューターに住み着くやっかいな「虫」

Windowsの自動実行(Autorun)機能を悪用する不正プログラムの感染が再び拡大傾向にあるという。傾向と対策とは?

» 2013年01月15日 11時51分 公開
[ Gary Davis,McAfee]

(このコンテンツはマカフィー「McAfee Blog Central」からの転載です。一部を変更しています。)

 「マルウェア」という言葉を聞いたとき、何を思い浮かべますか。ほとんどの人は、「ウイルス」(ハッカーによってコンピューターに仕込まれ、業務を妨害したり、情報を盗んだりするプログラム)という一般的な用語を連想するでしょう。実際には、マルウェア(不正なソフトウェア)はハッカーが使用するさまざまなツールを含んでいるため、ウイルスはその一部に過ぎず、ほかにもトロイの木馬、スパイウェア、そして、今日のテーマであるコンピューターワームなどが挙げられます。

 最近、Windowsマシンをターゲットにした非常に感染力の強いコンピューターワームが発見され、W32/Autorunと命名されました。W32/Autorunのようなワームが特徴的なのは、狭義のウイルスとは異なり、コンピュータから実際には何も盗まないという点です。その代わり、急速に感染を広げて、なるべく多くのセキュリティホールを空けるように設計されており、最終的には、ハッカーたちがそのセキュリティホールを悪用することで、ワームに感染したコンピューターのユーザーは、情報、お金、またはその両方を盗む別の形態のマルウェア(ユーザーの金融機関の情報を狙うウイルスやトロイの木馬など)をダウンロードしてしまうことになるのです。

ワームが広まる仕組み

 W32/Autorunワームは、物理的な接触を介して広まります。読者のみなさんのコンピューターで言えば、感染したUSBメモリを装着したり、共有設定されたインターネット接続にログインしたり、または外付けの共有HDDに接続するといったことがこれに相当します。このインターネット接続やデバイスを介してワームが新しいコンピュータに感染すると、ワームは自身を何度も複製し、感染を広げるためにさらに多くの感染経路を探します。

W32/Autorunがコンピュータの防御を突破する主な方法は2種類

1.Windows AutoRun:マルウェアの自動進入路

 W32/AutoRunは、MicrosoftのAutoRun機能を利用します。この機能は、まさにここで述べるようなセキュリティ上の理由からWindows 8には含まれていませんが、しばらくアップグレードをされていないような旧式のWindowsマシンには多く存在します。AutoRun機能を備えた旧式のWindowsマシンにデバイスを挿入すると、デバイスの内容を自動実行するかどうかを尋ねるダイアログボックスが表示されます。想像がつくかもしれませんが、この機能にはセキュリティ上の大きなリスクがあります。無防備なユーザーが「実行する」をクリックすると、W32/Autorunワームに実行許可を与えてしまうのです。

2.犠牲者を誘い込む偽のフォルダ

 Windows 8ユーザーなど、AutoRunを有効にしていないユーザーに対し、W32/Autorunは自身を面白そうなファイルやフォルダに見せかけ、ユーザーをだましてワームをダウンロードさせようとします。よくある例では、感染したUSBメモリや共有設定されたインターネット接続に「ポルノ」や「セクシー」といった虚偽の名前を付けたファイルを作成してユーザーを誘い、クリックさせようとします。ファイルをクリックして開くと、AutoRunの実行許可を与えたのと同じ結果となり、ファイルが実行されてコンピュータが感染します。

 効果を最大限に高めるため、ワームはコンピュータの設定を変更して、起動時に毎回ワームが実行されるように設定することも可能です。一部の亜種では、Windowsの更新機能を無効にし、システムがセキュリティ修正ファイルをダウンロードできないようにすることさえあります。このプロセスにより、ワームは自身の目的が確実に果たせるようにします。これは、コンピュータに接触したすべてのデバイスを感染させ、犠牲をもたらすあらゆるウイルスをハッカーが思いのままにインストールできるようにするための扉を開くということです。

W32/Autorunの感染を防ぐには

1.AutoRunを無効にする

 CDを挿入したとき、新しいインターネット接続にログインしたとき、あるいはUSBメモリを挿入したときに、いまだにアプリケーションを自動で実行しますかと尋ねるポップアップが表示されるようなら、早急にコンピュータをアップデートしてください。MicrosoftのWebサイトを訪れ、自分が使用しているWindowsのバージョンでAutoRunを無効にする方法を調べてください。ソフトウェアをアップデートせずにAutoRunを無効にするには、Disable AutoRunのようなフリーのユーティリティをダウンロードするのが最も簡単な方法でしょう。

2.リムーバブルデバイスの共有に注意

 このワームは、感染力が非常に高いということを忘れないでください。コンピュータが感染している友人とUSBメモリを共有すると、そのUSBメモリによって自分のコンピュータにワームが運ばれてくるかもしれません。どうしてもデバイスを共有する必要がある場合は、デバイスを挿入したときにAutoRunが有効にならないよう設定し、また、誤って感染したファイルをクリックすることがないよう、使用しているセキュリティソフトに新しいドライブをスキャンする機能が搭載されているかどうか確認してください。

信頼性の高いウイルス対策:すでに感染してしまった場合の処置

 最初の2つのアドバイスは予防に関するものですが、コンピュータが感染してしまった場合は、信頼できるセキュリティソリューションを使用すればワームを駆除することが可能です。McAfee All Access(マカフィーオールアクセス)のようなソリューションはW32/Autorunワームやその他のマルウェアを捕らえ、誤って友人や家族のコンピューターが感染されないようにします。もし、すでにマカフィーのソリューションをインストール済みでしたら、当社のWebサイトを訪れてW32/Autorunワームに対する最新の対策システムのダウンロード方法をチェックしてください。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ