トレンドマイクロは、ネットワーク上にあるコンピュータだけでなく、オフラインで利用される専用端末においても、業務上のデータ授受や機器メンテナンスの 際に、USBメモリなどのリムーバブルメディアを利用して不正プログラムに感染した事例が多くみられると報告した。
USBメモリ関連の不正プログラムの中でも、ワーム「オートラン」は、自身を自動実行する手段として、”Autorun.inf” を利用し、ワームに感染したUSBメモリをコンピューターに接続しただけで、ワームが自動的に実行される。
この種のワームの実行を防ぐ回避策として、従来は以下の実施が有効とされていた。
1- USBメモリの自動再生機能の無効化
2-Windowsのエクスプローラからのファイル閲覧
しかし、トレンドマイクロはワーム感染の防止策を講じたユーザであっても、サイバー犯罪者の餌食となる可能性があるとし、ワーム「オートラン」拡散に用い られる新しい手口として、autorun.inf内の「ActionKey」を利用した事例が確認されたと警告した。
ActionKey とは、「action=」にて指定する autorun.inf の機能のひとつで、リムーバブルドライブや固定ドライブ内のみで有効となるといい、このキーは、リムーバブルメディアなどをコンピュータに挿入した際、そ のメディア内に含まれるファイルを判別し、自動再生用ダイアログボックス内にどのアプリケーションを表示するか特定するために利用される。その際、リムー バブルドライブ内のautorun.inf の「open」や「shellexecute」のパラメータ情報を取得して、判別するという。
「USBメモリの自動再生機能の無効化」や「Windowsのエクスプローラからのファイル閲覧」といった防止策を回避するために、ワームは、 ActionKey内に指定されたパラメータを利用し、その際のパラメータは、以下のいずれかになるという。
1‐Open folder to view files
2‐Open folder to view files using Windows Explorer
この手口を用いたワーム「オートラン」の1つは、「WORM_KOLAB.CQ」として検出されるもので「WORM_KOLAB.CQ」により作成される autorun.inf は、文字列「action=Open folder to view files using Windows Explorer」を用いて、ユーザがWindowsのエクスプローラからファイルを閲覧しようとすると、ワームを自動的に実行する。要するに、従来の回 避策が、逆に感染のきっかけとなってしまうとのこと。
トレンドマイクロでは出所不明のUSB ドライブは使用しない、セキュリティ対策製品を最新状態にしておく、といった対策を推奨するとともにblog.trendmicro.comで上級者向け の防止策も紹介している。
blog.trendmicro.com-How to Maximize the Malware Protection of Your Removable Drives