トレンドマイクロがUSBメモリーから感染するタイプのウイルス(USBウイルス)が流行しているとの報告を出した。筆者にも先頃,外部媒体から不正プログラムが混入した可能性の有無を調査してほしいという依頼があった。
最近流行しているUSBウイルスの動作はこうだ(図1)。ウイルスが仕込まれたUSBメモリーをパソコンに挿すと,オートラン(Autorun.inf)が不正プログラムを自動起動し,パソコンに感染する。さらにウイルスはパソコンのインターネット接続状況を確認し,悪質サイトから不正プログラムをダウンロードしたり,攻撃者のサイトに機密情報を勝手に送信したりする。
外部媒体からのウイルス感染は決して新しい手口ではない。フロッピ・ディスクやCD-ROMからのウイルス感染は従来から知られている感染経路で,むしろ古典的である。それが今になって,この手の感染件数が増加している。
背景には犯罪者の新たな試みがあるように思えてならない。今後のコンピュータ・セキュリティを考える上で,外部デバイスは重要なキーワードだ。
うっかり社内のパソコンにつなぐと…
外部媒体は電子メールに比べてユーザーの警戒心が緩むようだ。以前,米国のDark Reading誌に興味深い記事が掲載された。ある企業で駐車場や喫煙所など社員がよく使う場所にUSBメモリーを放置した実験についての記事である。20カ所のうち15カ所のUSBメモリーが社員によって拾われ,社内のパソコンに接続されたという。落ちているUSBメモリーが,いとも簡単に社内ネットワークへ持ち込まれる。
これはソーシャル・エンジニアリングの手法の一つとして,外部媒体・デバイスが標的型攻撃に悪用される可能性があることを示している。
しかも最近出回っているUSBウイルスは,古典的な外部媒体から入り込むウイルスに比べて巧妙さを増している。例えばパソコンに接続されている別の外部デバイスを調査し,勝手に感染を広げる。
背後に高機能ルートキットの影
これは筆者の推測だが,現在,USBメモリーを経由して感染するウイルスが増加している背景には,ルートキットの進化がありそうだ。
例えば今年2月に話題になったMBR(マスター・ブート・レコード)ルートキットを含むウイルスは種類によって,パソコンに接続されているほかのデバイスに勝手に感染を広げる。MBRはパソコンの起動時に最初に読み込まれるハード・ディスク上のセクター。有名なウイルスに「Rustock」がある。非常に巧妙な動作をするため,発見が遅れてしまう。
これらのウイルスは既に,悪質サイトからの自動ダウンロードによって広がっていた。これがUSBウイルスに利用されているということは,感染経路はネットワークと物理媒体の両方ということになる。
感染経路が多様になると,「USBメモリーの元の持ち主が容疑者と接触している可能性」は低くなる。つまり,間接的攻撃が可能であるということになるのである。ユーザーを直接狙うのではなく,家族や同僚,取引先を経由して攻撃を仕掛けてくる可能性がある。
実際に筆者の手元にある検体を調べたところ,動作は次のようだった。
(1)ユーザーAが悪意ある実行ファイルをクリックする
(2)USBメモリーに悪意あるプログラムの実行を指示したAutorun.infが作成される
(3)ユーザーBにUSBメモリーを渡す
(4)ユーザーBがUSBメモリーをパソコンに挿し,感染する
