USBメモリを介して感染する「Autorunウイルス」が勢いを強めるなか、JPCERTコーディネーションセンター(JPCERT/CC)は「USBメモリ経由の感染機能を持つマルウエア調査報告書」を公表した。
調査によると、USBメモリはじめリムーバブルメディアを介したウイルス感染は、2007年10月を期に感染報告が増加し、昨年初めに爆発的に広がった。JPCERT/CCは、リムーバブルメディア経由のウイルス感染は、Webサイト経由、電子メール経由に並ぶ感染手法としての地位を確立したと述べている。
【リムーバブルメディア経由ウイルス感染の特徴】
JPCERT/CCは、感染事例からみられる特徴として、USBメモリなどの小型化、低価格化に従って手軽な扱い方が浸透していたり、音楽プレーヤーやデジタルカメラといった単独で使用するデバイスの「コンピュータとは距離のある」位置づけがリムーバブルメディア経由での感染を誘発しているとしている。また、インターネットに直接接続していない組織内ネットワークで感染が広がるケースの場合、インターネットから隔離することでセキュリティを維持しようとして基本的セキュリティ対策をおろそかにしてしまうと、インターネット以外の媒体に対して非常に脆弱になると述べている。
・SDカードは感染媒体になるか?
JPCERT/CCは、ストレージ機能を主としたリムーバブルメディアとして、SDカードがUSBメモリーのように感染媒体になるかどうかの検証を行った。その結果、Windows XP SP3/Vista SP1について、コンピュータからSDカードへの感染が確認されたが、物理的にロック(書き込み禁止)されているSDカードは感染しなかった。また、SDカードからの感染については、ドライブアイコンをダブルクリックした際に自働実行してしまうXPでは感染したが、自働実行しないVistaは感染しなかったという。
・デジタルカメラでの検証
パソコンの外部ストレージとして機能する機器として、デジタルカメラでも同じ検証を行ったところ、SDカードと同様の結果となった。ただし、デジタルカメラなどの機器にはロック機能がないためロックでの防衛は行えない。
・機能拡張USBメモリでの検証
「ウイルス対策機能」「パスワード認証機能」「暗号化機能」などの機能拡張USBメモリについても同様の検証が行われた。感染が防げたのは「ウイルス対策機能」つきのUSBメモリのみで、「パスワード認証機能」「暗号化機能」つきのUSBメモリには感染防止効果はなかった。
【リムーバブルメディア経由ウイルス感染を防ぐ3つのポイント】
ウイルスは、メールやWebから感染するケースが依然として多数を占めるが、Autorun機能に目をつけた手法が現れたことで、本報告の感染事例のような、これまでウイルスが侵入してこないと思われていた経路から感染が広がった。今後はリムーバブルメディアの取り扱いには十分注意が必要だ。
リムーバブルメディアを介したウイルス感染を防ぐためには、(1)ウイルス対策ソフトを使用する、(2)Autorun機能の無効化する、(3)書き込む必要のない場合は書き込み禁止にしておく、の対策をすべて行う必要がある。ウイルス対策機能つきUSBメモリについては、コンピュータ側のウイルス対策を十分に行っていれば特に必要ではない。(2)のAutorun機能の無効化については、先月IPAが詳しい方法を公表しているので参考にしていただきたい。
(2009/06/23 ネットセキュリティニュース)
■USB メモリ経由の感染機能を持つマルウエア調査報告書(JPCERT/CC)
http://www.jpcert.or.jp/research/index.html#usbmalware
■コンピュータウイルス・不正アクセスの届出状況[4月分]について(IPA)
http://www.ipa.go.jp/security/txt/2009/05outline.html