山下 眞一郎/富士通九州システムズ 基盤ソリューション本部
ネットソリューション部 担当部長

 ある企業のシステム管理者から,USBメモリーの利用に関して相談を受けました。このところ流行しているウイルス「Downadup」に感染しないUSBメモリーはあるか,という内容です。取引先の職場のパソコンにUSBメモリーを持ち込んでデータを渡す必要があるため,ソリューションを探しているとのことでした。

 Downadup(別名「DOWNAD」「Conficker」)は全世界で感染が拡大中で,亜種も次々に登場しています。2008年12月にはUSBメモリー経由で感染を広げる亜種が登場し,USBメモリー使用のリスクが以前にも増して高まっています。

 USBメモリー使用のリスクに関しては,このコラムでも「会社でのUSBメモリー使用は禁止が基本,代替手段や利用時の選定/運用条件を明確に」というタイトルで,以下のような解説を行いました。

 第一に,会社では原則としてUSBメモリーの使用を禁止すること。しかし単に禁止しただけでは“隠れ使用”を促進することになりかねないので,データを受け渡す際に有効な代替手段を提示すること。その代替手段として「USBデータリンク・ケーブル」や「データ交換用サーバー」の活用が考えられること。もしUSBメモリーの使用を禁止できないのなら,最低限の製品選定条件や運用条件を明確にした会社支給のUSBメモリーを準備する必要があることを記述しました。

 さらに社給のUSBメモリーの最低限の製品選定条件として,以下のものを挙げました。

  ■その1 無条件(事前セットアップなし)に,USBメモリー全体が暗号化されている(ハードウエア的にフラッシュ・メモリーに暗号化して書き込まれる)こと
■その2 認証に8文字以上のパスワードを設定でき,パスワードを一定回数(5回程度)間違えるとロックされること。ロックの解消は,システム管理者しかできないこと
■その3 データ復元ソフトでも復元不可能な方法で,データ・イレース(完全消去)できる機能を有していること
■その4 USBメモリー本体にストラップ・ホールがあること

 現在比較的簡単に入手できる製品では,その1,2,4の条件を同時に満たす製品はあっても,「その3 データ復元ソフトでも復元不可能な方法で,データ・イレース(完全消去)できる機能を有していること」を同時に満たすものは無いようです。そのため,データ・イレース(完全消去)できる機能は,USBメモリー本体に無くとも,パソコンにそうした機能を導入して使用すればよいでしょう。

 今回の要望である「Downadup」などのウイルス感染拡大を防止する機能として,「ウイルスチェック機能付きUSBメモリー」が登場しています。具体的には,USBメモリーへ書き込まれるデータを都度スキャンし,感染ファイルだった場合にはUSBメモリー内専用フォルダに隔離するというものです。当然ながら,そのウイルスチェック機能付きUSBメモリーをインターネットに接続されたパソコンに装着した際,最新ウイルス・パターン・ファイルを自動でダウンロードします。使用にあたっては,事前にインターネットに接続されたパソコンに接続し,ウイルス・パターン・ファイルを最新の状態にしておくという運用上の工夫をする必要があると思います。

 現在販売中の製品の例として,バッファロー製「RUF2-HSCUWシリーズ」や,アイ・オー・データ機器製「ED-Vシリーズ」が存在します。

 ちなみにウイルス・パターン・ファイルの自動更新は,使用開始(アクティベーション)後1年間は無償(製品価格に含まれている)ですが,次年度以降は関連製品を導入するか,契約更新(有償)が必要となる形態となりますので,注意が必要です。

 一方,パターン・ファイルによるウイルスチェック機能は有していないものの,“Autorunウイルス対策機能”という名称で,ユーザーのドライブ・オープン時,またはドライブがオープンしている間,30秒に1回Autorun.infの変更をチェックし,[AUTORUN],ICON,LABEL,スペース,タブ,改行以外の行が追加された場合,利用者に警告した上で,Autorun.infを元に戻すというユニークな機能を有するバッファロー製「RUF2-FHSシリーズ」もあります。

 しかし,これらはUSBメモリー内にデータが書き込まれるとき,もしくは書き込まれた後にチェックする機能です。「自分が意図しないタイミング以外では一切USBメモリーに書き込ませない」という機能は実現出来ません。何は手立てはないのでしょうか? 

 実は,自分が意図しないタイミング以外では,一切USBメモリーに書き込ませないという機能は「ライトプロテクトスイッチ」にて,物理的に実現可能です。

 この「ライトプロテクトスイッチ」は,USBメモリーが登場した当初は数多くの製品が採用していた機能ですが,最近では見かけることが少なくなりました。現在販売中の製品の一例はバッファロー製「RUF2-LVSシリーズ」です。製品の機能紹介文にも『本製品をライトプロテクト(書き込み禁止)の状態にしておけば,AutoRunウイルスが勝手にデータを書き換えて感染するのを防げます。相手のパソコンがAutoRunウイルスに感染している場合でも,USBメモリーは安全な状態でデータをパソコンに渡すことができます』と,「Downadup」ワームを意識した特長が記載されています。

 少なくともDownadupに感染していることが疑われる,もしくは感染していないことが明確ではないパソコンにデータを渡す場面,もしくはデータの読み出ししか発生しない場面では,この「ライトプロテクトスイッチ」は非常に有効です。廃れつつある「ライトプロテクトスイッチ」ですが,現在のUSBメモリーにこそ必須の機能です。実装製品が再び増えることが望まれます。

 こうしたことを踏まえて,新たな社給のUSBメモリーの最低限の製品選定条件を挙げると,以下のようになります。

  ■その1 【必須】無条件(事前セットアップなし)に,USBメモリー全体が暗号化されている(ハードウエア的にフラッシュ・メモリーに暗号化して書き込まれる)こと
■その2 【必須】認証に8文字以上のパスワードを設定でき,パスワードを一定回数(5回程度)間違えるとロックされること。ロックの解消は,システム管理者しかできないこと
■その3 【必須】USBメモリー本体にストラップ・ホールがあること
■その4 【推奨】データ復元ソフトでも復元不可能な方法で,データ・イレース(完全消去)できる機能を有していること
■その5 【推奨】書き込まれるデータを都度スキャンし,感染ファイルだった場合にはUSBメモリー内専用フォルダに隔離する機能を有していること
■その6 【推奨】「ライトプロテクトスイッチ」を有していること

 なお,現在これらの6機能をすべて備える製品は,知る限りでは存在していません。メーカーにはぜひ,商品化をお願いしたいと思います。

 最後に余談ですが,社内持ち込みに注意しなければならないUSBメモリー製品の例を紹介したいと思います。

 USBメモリーの小型化が進んでいますが,例えばバッファロー製「RMUM/BKシリーズ」は,「“挿したまま”でいつでもパソコンと一緒に持ち運べる」というキャッチコピーがついており,パソコンに挿入した状態でも5mmしか外に出ない超小型USBメモリーです。付属しているUSBコネクター保護キャップを装着した状態では,とてもUSBメモリーには見えません。さらに,本体部はmicroSDHC対応のカードリーダーとしても使用できますので,携帯電話から外したmicroSDHCカードにパソコンのデータをコピーすることも可能です。現在市販されているmicroSDHCカードには16Gバイトの容量のものも存在しますので,膨大な量のデータを持ち出すことが可能です。

 次に,ソリッドアライアンスが同社直販店で販売する「シヤチハタUSBメモリー」は,外見や収納ケースまでもがシヤチハタ「ネーム9」とそっくりで区別できません。こうした持ち込みが容易と思われる製品が増えてきていますので,注意しましょう。

著者について
以前,ITproで「今週のSecurity Check [Windows編]」を執筆していただいた山下眞一郎氏に,情報漏えい対策に関する話題や動向を分かりやすく解説していただきます。(編集部より)