テクノ雑学

第110回　感染注意報発令中　−USBウイルス−

2007年ごろから話題になり始めた不正ソフトウェア「USBウイルス」が、猛威をふるっています。

　トレンドマイクロ社が毎月発表している、不正ソフトウェアの種類別感染報告ランキングでは、USBウイルスの一種である「MAL_OTORUN※」が、2008年のうち9カ月にも渡って1位にランクされています。情報処理推進機構（IPA）の発表によれば、2008年11月のUSBウイルスに関する届出件数（届出者から寄せられたウイルスの発見個数）はおよそ10万1000件に達しました。そして1月25日には、警視庁のオンラインシステムに接続している端末が、やはりUSBウイルスの一種に感染し、対処のため断続的にオンライン業務を停止したと報道されました。

　共有コンピュータを使う企業や大学などでの感染報告が目立っていますが、後述する動作上の特徴から、1人1台の環境であっても油断は禁物です。

※名称はトレンドマイクロ社の規定によります

便利さの裏側に

便利さの裏側に

総称で「USBウイルス」と呼ばれているのは、おもな感染媒介として「USBメモリ」が使われていることが理由です。

　USBメモリはたいへん便利な記録メディアです。WindowsでもMacintoshでも、特別なソフトウェアなどをインストールすることなく、USBポートに挿し込むだけで使えますし、ギガバイト単位の大容量記録にも余裕で対応します。低価格化が進んだことで、最近ではCD-ROMやDVD-ROMなどの光学メディアに代わってデータ配布用途にも使われています。かつてのフロッピーディスクか、それ以上にメジャーな記録メディアになりつつあるといっても過言ではないでしょう。

　しかし、メジャーな存在であるということは、不正ソフトウェアの作者にとって、効率よく感染被害を拡大させるために都合がいい媒介、ということにもなります。さらに、その感染の仕組みによって、USBメモリ以外にも、「USBで接続」する「リムーバブルメディア扱いになる機器」を広く媒介として使える点も、不正ソフト作者にとっては大きな利点です。具体的には、USB接続の外付けハードディスクや、ポータブルオーディオ機器、SDメモリカードなどにも感染させられ、被害を拡げる媒介となってしまうのです。

　以下の説明では、USBで接続するメモリや外付けハードディスクなどのリムーバブルメディア（場合によってはNASなどのネットワークドライブも含む）を代表するもの、という意味で「USBメモリ」と記しますが、USBメモリ製品以外の機器にも感染することは、くれぐれも忘れないでください。

　すでにUSBウイルスに感染しているパソコンにUSBメモリを接続すると、USBウイルスは自らのコピーと、他のパソコンに感染するための仕組みを、USBメモリにコピーします。この時、コピーするファイルの属性を「隠しファイル」にする…といった隠蔽工作が同時に行なわれることもあります。

■ 感染のメカニズム

　USBウイルスが感染する仕組みにはいくつかの種類がありますが、代表的なものは、Windowsの「Autorun.inf」という機能を悪用するものです。
　Windowsの「.inf」は、各種の設定情報を収めたファイルを表わす拡張子です。また「Autorun.inf」は、プログラム本体など実行形式のファイルを自動的に実行させる.infファイルに割り当てられているファイル名です。

　たとえばアプリケーションソフトを購入して、パッケージに入っているCD-ROMをドライブに入れると、ほとんどの場合、そのまま何もしなくても自動的にインストール操作用の画面が立ち上がってきます。このような動作を実現するのが、Autorun.infの機能です。

　Autorun.infは、記述内容しだいでさまざまな動作を実現できますが、Windowsのバージョンと、それが記されているメディアの種類によって、動作の内容は異なってきます。

　Windows XPの場合、USB端子に接続されて認識したリムーバブルメディアの中にAutorun.infがあると、そこに記述された内容に従って自動実行プロセスに入りますが、そこから先の挙動は、メディアによって異なります。

　CD-ROMなど光学メディアの場合は、Autorun.infの記述内容に従ってドライブアイコンを変更し、指定されたファイルが実行されます。一方、USBメモリでは、ドライブアイコンは変更されますが、実行形式ファイルの指定は無視されます。また、いずれもAutorun.infが存在しない場合は、動作の選択画面が出ます。

　つまり、Windows XPの場合、USBメモリを挿しただけでウイルスに感染することはありません。しかし、Autorun.inf内の記述を工夫することで、「マイコンピュータ」などに表示されたUSBメモリのドライブアイコンをダブルクリックして内容を表示させようとすると、それだけでウイルスが実行されてしまうことがあるのです。

　Windows Vistaの場合は問題が深刻で、設定を初期状態のままにしていた場合、USBメモリでもAutorun.infで指定された実行形式ファイルが実行されてしまいます。つまり、USBメモリを挿しただけでウイルスに感染してしまうわけです。

　USBウイルスに感染したパソコンの上で起こる症状は、ウイルスの種類によってさまざまですが、悪質なものになると、ネット上から複数のウイルスをダウンロードして連係動作したり、会員制サービスなどのアカウントを盗んだり、パソコンを遠隔操作可能な状態にしたり、といった症例が報告されています。

■ 対策は？

　では、USBウイルスの感染を防ぐには、どのようにすればいいのでしょうか？
　まずはアンチウイルスソフトをインストールし、パターンファイルなどを最新の状態にしておくことが大前提です。既知のUSBウイルスに関しては、それだけでほとんどの場合、感染を防ぐことができます。

　ただし、ウイルスは日々新しいものが作られているので、慢心は禁物です。より積極的に感染を防ぐため、比較的簡単で安全に行なえる対策を、以下にいくつか記しておきます。

自分の所有するUSBメモリへの感染を防ぐには？

感染防止機能付きのUSBメモリ製品を使う。USBメモリ内に感染防止プログラムを備え、Autorun.infの作成をブロックする、といった機能を持つ製品が登場しています。

USBメモリに、あらかじめ「Autorun.inf」という名前のフォルダを作り、その内部にも適当なフォルダを作っておく。さらに、いずれも属性を「読み取り専用」にしておく。ウイルスがAutorun.infを書き込もうとすると、アラートが表示されることで感染を防げる。ただし、100％安心な手とは言えないので注意。

自分のパソコンへの感染を防ぐには？

出所が怪しかったり、対策をしていない疑いがあるUSBメモリなどのリムーバブルドライブを、パソコンに接続しない。仕事の取引先などに「これにファイルを…」などと言われた場合には、そのメディアが検疫済みであることを確認する。

USBメモリを接続する場合、左Shiftキーを押しながら端子を接続することで、自動実行をキャンセルできる。ただし、設定の状態によっては100％安全とはいえないので注意。

Windows Vistaの場合は、まず自動更新機能やMicrosoft Updateなどで、以下のセキュリティ更新プログラムを適用する。
「Windows エクスプローラの脆弱性により、リモートでコードが実行される（MS08-038）」
http://www.microsoft.com/japan/security/bulletins/ms08-038e.mspx
　その上で、自動実行機能を無効にする。「コントロールパネル」→「ハードウェアとサウンド」→「CDまたは他のメディアの自動再生」で、「ソフトウェアとゲーム」の項目を「何もしない」に設定する。

Windows XPでの、ドライブアイコンのダブルクリックによる感染を防ぐには、以下のセキュリティ更新プログラムを適用する。これによって、ドライブアイコンをダブルクリックしても、プログラムは実行されずに、内容が表示されるだけに留まる。
「Windows XP用の更新プログラム（KB950582）」
http://www.microsoft.com/downloads/details.aspx?FamilyID=CC4FB38C-579B-40F7-89C4-1721D7B8DAA5&displaylang=ja

　他にも「グループポリシーを編集する」「レジストリキーを編集する」「マイクロソフトが配布しているツール集『Tweak UI』を使う」といった方法がありますが、システムファイルを操作する類の話になってしまうので、ここでは詳細に触れないでおきます。より詳細な情報は、セキュリティ情報系サイトなどで確認してみていただきたいと思います。

著者プロフィール：松田勇治（マツダユウジ）
1964年東京都出身。青山学院大学法学部卒業。在学中よりフリーランスライター／エディターとして活動。
卒業後、雑誌編集部勤務を経て独立。
現在はMotorFan illustrated誌、日経トレンディネットなどに執筆。
著書／共著書／編集協力書
「手にとるようにWindows用語がわかる本」「手にとるようにパソコン用語がわかる本 2004年版」（かんき出版）
「記録型DVD完全マスター2003」「買う！録る！楽しむ！HDD＆DVDレコーダー」「PC自作の鉄則！2005」（日経BP社）
「図解雑学・量子コンピュータ」（ナツメ社）など