HIRT-PUB09003：USBメモリの自動再生／自動実行

更新日：2009年4月9日

2008年の2月頃から、USBメモリを介したウイルス（以降、USBメモリ型ウイルス）感染が報告されはじめ、2008年の年末からは、USBメモリなど複数の感染手段を持つConficker (Downadup)と呼ばれるウイルスによる感染被害が多数発生しました。

トレンドマイクロ、ウイルス感染被害マンスリーレポート【2008年2月度】(2008-03-04)
～ アジアを中心にUSBメモリによる感染が流行 ～
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20080304020658.html　(トレンドマイクロのサイトへ）

コンピュータウイルス・不正アクセスの届出状況[1月分]について (2009-02-03)
http://www.ipa.go.jp/security/txt/2009/02outline.html　（IPAのサイトへ）

MS08-067 を悪用する Conficker/Downadup の活動継続 (2009-02-14)
http://jvn.jp/tr/JVNTR-2009-06/index.html（JVNのサイトへ）

Conficker コンピューター ワームから身を守る (2009-02-10)
http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspxl（マイクロソフトのサイトへ）

公開されている対策情報の中から、USBメモリ型ウイルスの感染がどのように起きるのかを調べてみると、複数の挙動が報告されています。

• 感染したUSBメモリをパソコンに接続した時や、「マイコンピュータ」からディスクドライブのアイコンをダブルクリックした時に、USBメモリ内のウイルスが起動し、パソコンにウイルスが感染してしまいます。

http://www.ipa.go.jp/security/txt/2009/02outline.html　（IPAのサイトへ）

• ウイルスに感染したUSBメモリを使用することで、コンピュータに感染します。コンピュータの設定や操作によってはウイルスが自動的に起動、USBメモリをコンピュータに挿した瞬間に感染します。

http://jp.trendmicro.com/jp/threat/solutions/usb/　（トレンドマイクロのサイトへ）

• [プログラムのインストール/実行] の下の [Open folder to view files 発行元は指定されていません] オプションがワームにより追加されました。＜＜中略＞＞最初のオプションを選択した場合、ワームが実行されます。

http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx

このように挙動が異なるのは、USBメモリ型ウイルスが、利用者がUSBメモリをパソコンに接続したときに参照する自動再生／自動実行の設定ファイル(autorun.inf)に工夫を凝らしていることと、Windows XP、Windows Vistaなどのオペレーティングシステム毎にUSBメモリ接続時の既定動作が異なることに起因するようです。

ただ、USBメモリ型ウイルスの感染活動を見たことのない方は、『自動的に起動、USBメモリをコンピュータに挿した瞬間に感染』は防げないと思うにしても、『「マイコンピュータ」からディスクドライブのアイコンをダブルクリック』という感染手段なんかに引っかかるわけがないと思っているかもしれません。

そこで、HIRT-PUB09003では、自動再生／自動実行の設定ファイル(autorun.inf)に工夫を凝らすと、用意された騙しの手段に引っかからない方が難しいことを紹介したいと思います。

仮想体験デモは、Flash ファイルのムービーをアニメーション GIF ファイルに変換したものを提供しています。デモを開始することにより、実際のウイルス感染活動が発生するわけではありませんので、USBメモリの自動再生／自動実行とウイルス感染の可能性について体験してみてください。

仮想体験デモは、次のようなシナリオで構成されています。 USBメモリをWindows XP SP2パソコンに接続した後、『自動再生ダイアログでの実行』『マイコンピュータ上でUSBメモリのドライブをダブルクリック』を行います。次に、USB メモリのドライブを右クリックした後、メニューから『自動再生』『開く』『エクスプローラ』を選択して、その動作を確認します。

USBメモリ型ウイルスに感染しないようにするために、次の3つの予防対策に心がけましょう。特に、USBメモリやCD-ROMを頻繁に使うパソコンには、多少の利便性は下がりますが、『KB950582：Windows で強制"無効"に自動実行レジストリキーを修正する方法』での対策実施をお奨めします。

• ウイルス定義ファイルを最新状態としたウイルス対策ソフトを使用する。
• 自分のパソコンには、持ち主のはっきりしないUSBメモリを接続しない。自分のUSBを、自分が管理していないパソコンや不特定多数が利用するパソコンに接続しない。
• USBメモリの自動再生／自動実行を無効化する。

KB950582：Windows で強制"無効"に自動実行レジストリキーを修正する方法
http://support.microsoft.com/kb/953252/ja

Windows Vistaの場合

前提条件

• MS08-038を適用していること

手順

• [スタート] → [ファイル名を指定して実行] ボックスに「Gpedit.msc」と入力し、Enterキーを押す。
• [ローカルコンピュータポリシー] → [コンピュータの構成] → [管理用テンプレート] → [システム] の順にクリックする。
• [ローカルコンピュータポリシー] → [コンピュータの構成] → [管理用テンプレート] → [Windows コンポーネント] → [自動再生のポリシー] の順にクリックする。
• 設定ウィンドウで、[自動再生機能をオフにする] をダブルクリックする。
• [有効] をクリックし、[自動再生機能をオフにする] ボックスで [すべてのドライブ] を選択し、すべてのドライブで自動実行を無効にする。
• パソコンを再起動する。

Windows 2000、Windows XP、Windows2003の場合

前提条件

• KB950582更新プログラムを適用していること

手順

• [スタート] → [ファイル名を指定して実行] ボックスに「Gpedit.msc」と入力し、Enterキーを押す。
• [ローカルコンピュータポリシー] → [コンピュータの構成] → [管理用テンプレート] → [システム] の順にクリックする。
• [ローカルコンピュータポリシー] → [コンピュータの構成] → [管理用テンプレート] → [Windows コンポーネント] → [自動再生のポリシー] の順にクリックする。
• 設定ウィンドウで、[自動再生機能をオフにする] をダブルクリックする。
• [[有効] をクリックし、[自動再生機能をオフにする] ボックスで [すべてのドライブ] を選択し、すべてのドライブで自動実行を無効にする。
• パソコンを再起動する。

対策のための参考情報

USBメモリ型ウイルスの対策全般

• USBメモリで広まるウイルス～感染してしまったら？　感染しないためには？～ (2008-7-14)
  http://is702.jp/special/usb/ （トレンドマイクロのサイトへ）
• 外部記憶メディアのセキュリティ対策を再確認しよう！
  http://www.ipa.go.jp/security/txt/2008/12outline.html （IPAのサイトへ）

USBメモリ型ウイルスの感染動作

• 依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を (2008-12-17)
  http://blog.trendmicro.co.jp/archives/2334 （トレンドマイクロのサイトへ）

右クリックで「開く」を選んでも感染、「USBウイルス」だましの手口
日立のセキュリティ組織がデモを公開、ウイルス感染を"仮想体験"
http://pc.nikkeibp.co.jp/article/news/20090409/1014049/　(日経BP社 PC Onlineのページへ)

仮想体験デモ(1)：CSS2008のCFPを騙ったウイルスメール受信

HIRT-PUB09002：ウイルス添付メールの今と昔

寺田、藤原／HIRT