JPCERT/CCが報告書

USBメモリ経由のマルウェア対策は?

2009/06/19

 JPCERT/CCは6月19日、USBメモリをはじめとするリムーバブルメディアを介して感染するウイルスが増加していることを背景に、傾向や感染能力の検証結果、対策をまとめた報告書「USBメモリ経由の感染機能を持つマルウェア調査報告書」を公開した。

 セキュリティベンダやIPA(情報処理推進機構)の調べによると、NimdaやSlammerのようなインターネット経由で大規模な被害をもたらしたネットワーク型のマルウェアに代わり、2008年以降はUSBメモリに代表されるリムーバブルメディア経由でも広まるマルウェアが増加を続けている。2009年に入ってからは、OSの脆弱性を悪用するだけでなく、USBメモリ経由でも感染する、通称「Conficker」が全世界的に広がった。

 JPCERT/CCの真鍋敬士氏は、この傾向について「従来から存在するマルウェアが、変化の過程でリムーバブルメディアという手段を得た。マルウェアからすれば、リムーバブルメディアは手段の1つにしか過ぎない」と述べた。

 「これまでのセキュリティ対策は『ネットワークさえ守れば大丈夫』という具合に、ネットワークに偏重していたが、その足をすくわれた」(同氏)。

対策は設定変更、でも……

 USBメモリを介して感染を広めるマルウェアは、一定の時間を置いてPCに接続されているドライブをスキャンする。もしリムーバブルメディアが接続されていれば、自分自身をコピーするとともにそれを起動する「autorun.inf」ファイルを書き込む。こうしてマルウェアが書き込まれたメディアが別のPCに接続されると、「自動実行機能」や「自動再生機能」により、自動的に実行されてしまうという仕掛けだ。また、USBやSDメモリーカードのような媒体だけでなく、DVDドライブやネットワークドライブも感染活動の対象になる点に注意が必要だという。

 真鍋氏によると対策は、設定やレジストリを変更して自動実行/自動再生機能を無効にすることだ。企業の場合は、グループポリシーを組み合わせると、より効果的に行えるという。ただ、一般ユーザーにとっては難解な操作である上に、「自動実行や自動再生は非常に便利な機能であることも事実。『不必要な自動実行は無効にする』といっても、必要なものと必要でないものの区別が難しい」という。

 最終的には、基本的なところに立ち戻って「OSやアプリケーションを最新の状態にアップデートし、ウイルス対策ソフトウェアを導入すること。また、リムーバブルメディアというものを運用手順の中でケアしていくことも必要」(同氏)と説明した。

 また、リムーバブルメディアを介した感染自体は検出が困難としても、「マルウェアにとってリムーバブルメディアは手段の1つであり、ほかのアクティビティも行う。通常どおりにネットワークを監視していれば、気付いてもおかしくない」という。

 なお報告書では、SDメモリーカードが備える上書きロック機能や、暗号化/パスワード認証といったセキュリティ機能やウイルス対策ソフトウェアを組み入れたUSBメモリが、こうしたマルウェア対策に有効かどうかについても検証を行っている。例えば、ウイルス対策機能を備えたUSBメモリでは、PCに接続したときにマルウェアを検知できるという結果が得られた。ただこれも、検知できるのはパターンファイルでカバーされているマルウェアのみ。最新のファイルにアップデートする必要があるほか、作成されたばかりの亜種については感染してしまう恐れもあるという。

関連リンク

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間