コンピュータ・ウイルスを筆頭としたマルウエアと言えば,大半の人はインターネットと結び付ける。ただ,すべてがこの図式に当てはまるわけではない。コンピュータの脅威が最初に登場したのは,フロッピ・ディスクやリムーバブル・メディアの時代だ。それがインターネットの出現により,ハッカーがメールやネットワーク経由で悪質なコードを蔓延させるようになり,リムーバブル・メディアを利用した攻撃は目立たなくなった。
年月の経過とともに,フロッピ・ディスクは,サム・ドライブ(USBドライブ),携帯型ハード・ディスク(HDD),フラッシュ・カードなどを始めとするリムーバブル・データ・ストレージに代わった。これらリムーバブル・デバイスの記憶容量は,往年のフロッピ・ディスクに比べ1万倍以上多い。たくさんのデータを記録するだけでなく,ソフトウエアを持ち運んで実行したり,OSそのものを起動したりでき,すぐれた機能を備えている。
リムーバブル・ストレージ・メディアの人気が出たことで,ウイルスの作者は即座に同メディアを媒介とする攻撃に出た。これらの攻撃を大きく後押ししたのが,OSの「Autorun」と呼ばれる便利な機能だ。この機能により,ユーザーが操作しなくともリムーバブル・ディスク上のコンテンツは自動実行される。
米マカフィーのウイルス対策技術研究機関「Avert Labs」の監視によると,Autorunを介したマルウエアは驚異的に増えている(関連記事:「USBウイルスは海外でも猛威」―セキュリティ組織や企業が警告)。Autorunの自動実行を利用した従来型ワームのほか,純粋にバックドアとして機能するもの,パスワードを搾取するもの,一般的なトロイの木馬――。システム感染に実行可能ファイルのダブルクリックが必要な寄生型ウイルスまでもが,自動実行を感染手段として取り入れ始めている。
自動実行機能を悪用したマルウエアが実際にどのくらい蔓延しているかを表す例として,マカフィーのウイルス感染統計マップを以下に示す。同マップは,全世界におけるマカフィー・ユーザーの感染数を追跡したものだ。
このマップに掲載されている「Generic!atr」は,マカフィーのウイルス対策ソフトが設定ファイル(autorun.inf)として検出する。同ファイルには,自動実行を必要とするマルウエアの実行可能ファイルを指すパスが指定されている。過去には,200万個を超えるファイルが検出されており,このシグネチャがマカフィーのウイルス定義ファイル(DAT)に追加されて以来,全世界の感染数ランキングで常にワースト5以内に入っている。この感染数は,マカフィーのウイルス対策ソフトがインストールされたコンピュータで検出させる。しかもユーザーが報告したケースしか集計していない。インターネット上には無数のコンピュータが存在しており,ほかのセキュリティ・ベンダーに検出された同様の自動実行関係の脅威を考えると,今回の問題がいかに重要か分かるはずだ。
とりわけWindows OSを搭載したマシンで,自動実行機能を媒介した感染がこれほどまでに蔓延しているのはなぜか。Windows OSは,最新版の「Windows Vista」や「Windows Server 2008」を含むすべてのバージョンで,同機能が最初から有効となっている。感染したWindowsマシンにリムーバブル・ディスクを差し込むだけで,ユーザーが何もせずともマルウエアは自分自身を自動的に複製し,リムーバル・ディスクに感染する。また,この自動複製は1回限りではなく,感染したリムーバル・ディスクが新しいマシンに挿入されるたびに続く。
では,ユーザーはどうすればこのマルウエアから身を守れるのか。自動実行機能はWindowsグループ・ポリシー・エディタで簡単に無効化できる。読者がシステム管理者ならば,アクティブ・ディレクトリで同機能を無効化し,このポリシーを社内全体に適用するのがよいだろう。USBディスクやUSBドライブを一斉に禁止するよりも,予防策を打っておく方がよい。ただ,米マイクロソフトがこのように悪用される機能をWindowsの次のアップデートでなぜ修正してくれないのか,という疑問は拭いきれないだろう。
Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「The Rise in Autorun-Based Malware」でお読みいただけます。
