「リムーバブル・メディアの使用禁止」と聞くと,厳格なITポリシーのように思えるが,これらのメディアからネットワークにワームが侵入する状況では,使用に敏感にならざるを得ない。最近では,米国防総省がネットワークをワームから保護するため,リムーバブル・メディアの禁止令を出した(関連記事:自動実行機能を悪用したマルウエアが急増/「USBウイルス」の検出数が急増中,2008年11月には10万件を突破)。
リムーバブル・メディアは,利用が拡大するにつれ,ネットワーク侵入とコンピュータ攻撃の武器に使われるようになった。パソコンへの感染の省力化に一役買っているのが,Windowsの自動実行機能だ。これは,CDやDVD,各種リムーバブル・ドライブ,その他外部記憶装置をパソコンに挿入/接続すると,プログラムを自動的に起動してくれる便利な機能だ。ただし,この便利さによってセキュリティが大きく損なわれる。詳しくは,以下のビデオの説明を見てほしい。
急速にまん延しているこの脅威から,どうやって身を守ればよいのだろうか。リムーバブル・メディアを使用禁止とすることで,感染リスクは確実に減少する。さらに,BIOSでUSBポートを無効にすれば,USB経由の感染を防げる。米シマンテックとしては,最低でも自動実行機能を無効にしておくことを推奨する。
・Windows XPの場合,米マイクロソフトの無償ツール群「Powertoy」からデスクトップ・カスタマイズ・ツール「TweakUI」をダウンロードしてインストールする。同ツールは様々なオプションを備えており,自動実行機能は[マイコンピュータ]-[自動実行]でカスタマイズできる
・Windows Vistaの場合,コントロール・パネルで,自動実行(自動再生)機能をカスタマイズできる。具体的には,コントロールパネルを開き,[ハードウエアとサウンド]-[CDまたは他のメディアの自動再生]で設定を変更する
・ネットワーク内のパソコンを管理しているのであれば,グループ・ポリシー・エディタでグループ・ポリシー・オブジェクトを作成し,各クライアントに割り当てる。Windows 2000/XP/2003の場合,自動実行オプションは,[コンピュータの構成]-[管理用テンプレート]-[システム]-[自動再生を無効にする],Windows Vista/2008の場合は,[コンピュータの構成]-[管理用テンプレート]-[システム]-[Windowsコンポーネント]-[自動再生ポリシー] で行う
・シマンテックのエンドポイント向けウイルス対策ソフト「Endpoint Protection」を使用する管理者は,リムーバブル・ドライブのプログラム実行をすべて無効にできる。同プログラムの管理コンソールで,[アプリケーションとデバイスの管理]-[アプリケーションとデバイスの管理ポリシーを追加する]-[アプリケーション管理]を選択し,「リムーバブル・デバイスのプログラム実行をブロックする」を選択したうえで,クライアントに変更を適用する。別の方法として,autorun.infの実行を完全に停止する方法もある。手順についてはサポート文書を参照してほしい
・セキュリティ対策ソフト「Norton」のユーザーは,特に対策する必要がない。Norton製品はいずれもデフォルトでウイルス対策機能を備えており,リムーバブル・デバイスをコンピュータに挿入すると,同デバイスをスキャンする
【注】
「特に対策する必要がない」としているのは,あくまでも,Autorunを使って感染を拡大する特定の脅威に対する定義ファイルが既に存在することが前提。定義ファイルが存在しない未知の脅威を防げるとは限らないため,実際にはNortonを利用していても,自動実行機能を無効化しておく方が良い。
・自動実行は,変更後もうまく機能しないことがある。マイクロソフトのナレッジ・ベースの記事では自動実行に関するFAQやうまく機能させるための設定方法を取り上げている
・最後に,ネットワーク上のドライブで自動実行を無効にする。今回のワームはリムーバブル・デバイス経由でネットワークに侵入しており,その多くがデバイスの種類を問わず,汚染されたコンピュータ上にあるドライブすべてに本体をコピーする。ターゲットのネットワーク・ドライブにアクセスすると,自動実行機能により悪意のあるコードが実行される
これらの作業をすべて実施すると,リムーバブル・ドライブからの感染リスクを大幅に減らすことができる。悪意あるコードを無意識にまん延させてしまうことを防ぐのに役立つはずだ。
Copyrights (C) 2008 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「AutoPlay Worms」でお読みいただけます。
