JPCERT/CCが報告書
USBメモリ経由のマルウェア対策は?
2009/06/19
JPCERT/CCは6月19日、USBメモリをはじめとするリムーバブルメディアを介して感染するウイルスが増加していることを背景に、傾向や感染能力の検証結果、対策をまとめた報告書「USBメモリ経由の感染機能を持つマルウェア調査報告書」を公開した。
セキュリティベンダやIPA(情報処理推進機構)の調べによると、NimdaやSlammerのようなインターネット経由で大規模な被害をもたらしたネットワーク型のマルウェアに代わり、2008年以降はUSBメモリに代表されるリムーバブルメディア経由でも広まるマルウェアが増加を続けている。2009年に入ってからは、OSの脆弱性を悪用するだけでなく、USBメモリ経由でも感染する、通称「Conficker」が全世界的に広がった。
JPCERT/CCの真鍋敬士氏は、この傾向について「従来から存在するマルウェアが、変化の過程でリムーバブルメディアという手段を得た。マルウェアからすれば、リムーバブルメディアは手段の1つにしか過ぎない」と述べた。
「これまでのセキュリティ対策は『ネットワークさえ守れば大丈夫』という具合に、ネットワークに偏重していたが、その足をすくわれた」(同氏)。
対策は設定変更、でも……
USBメモリを介して感染を広めるマルウェアは、一定の時間を置いてPCに接続されているドライブをスキャンする。もしリムーバブルメディアが接続されていれば、自分自身をコピーするとともにそれを起動する「autorun.inf」ファイルを書き込む。こうしてマルウェアが書き込まれたメディアが別のPCに接続されると、「自動実行機能」や「自動再生機能」により、自動的に実行されてしまうという仕掛けだ。また、USBやSDメモリーカードのような媒体だけでなく、DVDドライブやネットワークドライブも感染活動の対象になる点に注意が必要だという。
真鍋氏によると対策は、設定やレジストリを変更して自動実行/自動再生機能を無効にすることだ。企業の場合は、グループポリシーを組み合わせると、より効果的に行えるという。ただ、一般ユーザーにとっては難解な操作である上に、「自動実行や自動再生は非常に便利な機能であることも事実。『不必要な自動実行は無効にする』といっても、必要なものと必要でないものの区別が難しい」という。
最終的には、基本的なところに立ち戻って「OSやアプリケーションを最新の状態にアップデートし、ウイルス対策ソフトウェアを導入すること。また、リムーバブルメディアというものを運用手順の中でケアしていくことも必要」(同氏)と説明した。
また、リムーバブルメディアを介した感染自体は検出が困難としても、「マルウェアにとってリムーバブルメディアは手段の1つであり、ほかのアクティビティも行う。通常どおりにネットワークを監視していれば、気付いてもおかしくない」という。
なお報告書では、SDメモリーカードが備える上書きロック機能や、暗号化/パスワード認証といったセキュリティ機能やウイルス対策ソフトウェアを組み入れたUSBメモリが、こうしたマルウェア対策に有効かどうかについても検証を行っている。例えば、ウイルス対策機能を備えたUSBメモリでは、PCに接続したときにマルウェアを検知できるという結果が得られた。ただこれも、検知できるのはパターンファイルでカバーされているマルウェアのみ。最新のファイルにアップデートする必要があるほか、作成されたばかりの亜種については感染してしまう恐れもあるという。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。