マイクロソフトは2009年1月24日、Windowsの脆弱(ぜいじゃく)性を悪用して感染を広げるウイルスについて注意を呼びかけた。USBメモリーなどを介して感染を広げる機能も持つ亜種(変種)は、自動再生のダイアログを偽装して、ユーザーをだまそうとするという。ほかのセキュリティ企業も、同様の注意を呼びかけている。
セキュリティ企業各社は2009年1月以降、Windowsの脆弱性を悪用するウイルスが大きな被害をもたらしているとして警告している。例えばフィンランドのエフセキュアによれば、全世界で900万台弱のパソコンが感染しているという。
感染を広げているのは、「Downadup」や「DOWNAD(ダウンアド)」「Conficker(コンフィッカー)」などと呼ばれるウイルス。メーカーによって呼び名が異なる。このウイルスは、2008年10月24日に緊急公開されたWindowsの脆弱性「MS08-067」を悪用する。脆弱性が存在するパソコンでは、攻撃データを送信されるだけ、つまり、ネットワークに接続するだけで、同ウイルスに感染する恐れがある。
加えてこのウイルスの亜種は、USBメモリーなどを介して感染を広げる。具体的には、感染パソコンにUSBメモリーなどが接続されると、ウイルス自身と、ウイルスを自動再生させるような設定ファイル(Autorun.inf)をコピー。このUSBメモリーを別のパソコンに接続すると、Windowsの自動再生機能により感染が拡大する恐れがある。
ただし、いずれのWindowsについても、初期設定では接続するだけで感染することはない。例えばWindows Vistaの初期設定では、動作確認のダイアログが表示される。ユーザーがプログラム(ウイルス)の実行を明示的に選択しなければ、ウイルスは実行されない。
そこで今回のウイルスは、ダイアログの内容を偽装するという。設定ファイルの“工夫”により、本来は「Run [プログラムファイル名]」(日本語では「[プログラムファイル名]の実行」)と表示されるべきところを、「Open folder to view files」(日本語では「フォルダを開いてファイルを表示」)と表示させる(図1)。
ユーザーが、フォルダーを開くつもりで、偽装された「Open folder to view files」をクリックすると、ウイルスが動き出す。この偽装にだまされないためには、「General options(全般のオプション)」の下の「Open folder to view files(フォルダを開いてファイルを表示)」をクリックするようにする。
なお、現在確認されている偽装は、「Open folder to view files」と表示するものだけ。つまり、英語版Windowsのユーザーを狙うものに限られている。日本語版のWindowsでも、偽装メッセージは英語で表示されるので、だまされるユーザーは比較的少ないと考えられる(図2)。
