ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB09003:USBメモリの自動再生/自動実行

-仮想体験デモ(2)-

更新日:2009年4月9日

2008年の2月頃から、USBメモリを介したウイルス(以降、USBメモリ型ウイルス)感染が報告されはじめ、2008年の年末からは、USBメモリなど複数の感染手段を持つConficker (Downadup)と呼ばれるウイルスによる感染被害が多数発生しました。

公開されている対策情報の中から、USBメモリ型ウイルスの感染がどのように起きるのかを調べてみると、複数の挙動が報告されています。

  • 感染したUSBメモリをパソコンに接続した時や、「マイコンピュータ」からディスクドライブのアイコンをダブルクリックした時に、USBメモリ内のウイルスが起動し、パソコンにウイルスが感染してしまいます。
  • ウイルスに感染したUSBメモリを使用することで、コンピュータに感染します。コンピュータの設定や操作によってはウイルスが自動的に起動、USBメモリをコンピュータに挿した瞬間に感染します。
  • [プログラムのインストール/実行] の下の [Open folder to view files 発行元は指定されていません] オプションがワームにより追加されました。<<中略>>最初のオプションを選択した場合、ワームが実行されます。

このように挙動が異なるのは、USBメモリ型ウイルスが、利用者がUSBメモリをパソコンに接続したときに参照する自動再生/自動実行の設定ファイル(autorun.inf)に工夫を凝らしていることと、Windows XP、Windows Vistaなどのオペレーティングシステム毎にUSBメモリ接続時の既定動作が異なることに起因するようです。

ただ、USBメモリ型ウイルスの感染活動を見たことのない方は、『自動的に起動、USBメモリをコンピュータに挿した瞬間に感染』は防げないと思うにしても、『「マイコンピュータ」からディスクドライブのアイコンをダブルクリック』という感染手段なんかに引っかかるわけがないと思っているかもしれません。

そこで、HIRT-PUB09003では、自動再生/自動実行の設定ファイル(autorun.inf)に工夫を凝らすと、用意された騙しの手段に引っかからない方が難しいことを紹介したいと思います。

仮想体験デモ

仮想体験デモは、ボタン操作(デモ開始、始めに戻るなど)の可能なFlashファイルのムービーです。デモを開始することにより、実際のウイルス感染活動が発生するわけではありませんので、USBメモリの自動再生/自動実行とウイルス感染の可能性について体験してみてください。

仮想体験デモは、次のようなシナリオで構成されています。 USBメモリをWindows XP SP2パソコンに接続した後、『自動再生ダイアログでの実行』『マイコンピュータ上でUSBメモリのドライブをダブルクリック』を行います。次に、USB メモリのドライブを右クリックした後、メニューから『自動再生』『開く』『エクスプローラ』を選択して、その動作を確認します。

Adobe Flash Playerのダウンロード
Flash形式のファイルをご覧になるには、Adobe Systems Incorporated(アドビシステムズ社)のAdobe Flash Playerが必要です。

対策

USBメモリ型ウイルスに感染しないようにするために、次の3つの予防対策に心がけましょう。特に、USBメモリやCD-ROMを頻繁に使うパソコンには、多少の利便性は下がりますが、『KB950582:Windows で強制"無効"に自動実行レジストリキーを修正する方法』での対策実施をお奨めします。

  • ウイルス定義ファイルを最新状態としたウイルス対策ソフトを使用する。
  • 自分のパソコンには、持ち主のはっきりしないUSBメモリを接続しない。自分のUSBを、自分が管理していないパソコンや不特定多数が利用するパソコンに接続しない。
  • USBメモリの自動再生/自動実行を無効化する。

KB950582:Windows で強制"無効"に自動実行レジストリキーを修正する方法
http://support.microsoft.com/kb/953252/ja

Windows Vistaの場合

前提条件

  • MS08-038を適用していること

手順

  • [スタート] → [ファイル名を指定して実行] ボックスに「Gpedit.msc」と入力し、Enterキーを押す。
  • [ローカルコンピュータポリシー] → [コンピュータの構成] → [管理用テンプレート] → [システム] の順にクリックする。
  • [ローカルコンピュータポリシー] → [コンピュータの構成] → [管理用テンプレート] → [Windows コンポーネント] → [自動再生のポリシー] の順にクリックする。
  • 設定ウィンドウで、[自動再生機能をオフにする] をダブルクリックする。
  • [有効] をクリックし、[自動再生機能をオフにする] ボックスで [すべてのドライブ] を選択し、すべてのドライブで自動実行を無効にする。
  • パソコンを再起動する。

Windows 2000、Windows XP、Windows2003の場合

前提条件

  • KB950582更新プログラムを適用していること

手順

  • [スタート] → [ファイル名を指定して実行] ボックスに「Gpedit.msc」と入力し、Enterキーを押す。
  • [ローカルコンピュータポリシー] → [コンピュータの構成] → [管理用テンプレート] → [システム] の順にクリックする。
  • [ローカルコンピュータポリシー] → [コンピュータの構成] → [管理用テンプレート] → [Windows コンポーネント] → [自動再生のポリシー] の順にクリックする。
  • 設定ウィンドウで、[自動再生機能をオフにする] をダブルクリックする。
  • [[有効] をクリックし、[自動再生機能をオフにする] ボックスで [すべてのドライブ] を選択し、すべてのドライブで自動実行を無効にする。
  • パソコンを再起動する。

図2:グループポリシーウインドウ
図2:グループポリシーウインドウ

図 3:[自動再生機能をオフにする] 設定ウィンド
図 3:[自動再生機能をオフにする] 設定ウィンド

対策のための参考情報

USBメモリ型ウイルスの対策全般

USBメモリ型ウイルスの感染動作

関連情報

更新履歴

2009年4月9日
  • このページを新規作成および公開しました。

寺田、藤原/HIRT