USBワームの感染力は? セキュリティ対策USBメモリなどで検証


 JPCERTコーディネーションセンター(JPCERT/CC)は19日、USBメモリを経由して感染するマルウェアの特徴や被害実態をとりまとめた「USBメモリ経由の感染機能を持つマルウエア調査報告書」を公開した。JPCERT/CCのサイトから無料でダウンロードできる。

 USBメモリなどを介して感染を広げるマルウェアは、Windowsの自動再生/自動実行機能を悪用するのが特徴。感染したPCにリムーバブルメディアが接続されると、マルウェア自身のコピーと、それを起動する自動実行ファイルをリムーバブルメディアに書き込む。

 その後、感染したリムーバブルメディアが別のPCに接続された際には、自動実行/自動再生機能により自動実行ファイルが解釈され、感染のためにマルウェアのコピーが実行される仕組みだ。

 報告書はPDFファイル形式で全57ページ。USBメモリをはじめとするリムーバブルメディアがマルウェアの感染経路として悪用されるようになった背景に加えて、国内外の被害状況、感染事例の調査結果、対策方法などを紹介している。

 このほか報告書では、リムーバブルメディアを経由して感染するマルウェアが、SDメモリカード、デジタルカメラの内蔵メモリ、セキュリティ機能を備えるUSBメモリなどに感染するかどうかについても検証している。

 検証方法としては、USBメモリ経由で感染するマルウェア「WORM_AGENT.AAQT」に感染したPCから各機器への感染の有無、および同マルウェアに感染した各機器から未感染のPCへの感染の有無を確認。PCの環境は、Windows XP SP3およびWindows Vista Sp1の2種類。

 マルウェアに感染したPCからSDメモリカードへの感染の有無では、XP SP3およびVista SP1の双方で感染を確認した。一方、マルウェアに感染したSDメモリカードから未感染PCへの感染の有無では、XP SP3のみで感染が確認された。

 SDメモリカードではこのほか、保有データの削除や上書きを禁止するためのロック機構を有効にしたケースでも検証を行った。その結果、感染PCに接続したとしてもSDメモリカードに感染しなかったとしている。

 また、マルウェアに感染したPCからUSBケーブルで接続したデジタルカメラ内蔵メモリへの感染の有無は、ロック機構を有効にしていないSDメモリカードと同じ結果だった。JPCERT/CCは「ストレージ機能を内蔵する外部接続機器でもマルウェアに感染する可能性がある」としている。

 セキュリティ機能を搭載するUSBメモリに関しては、「ウイルス対策機能」「パスワード認証機能」「暗号化機能」のいずれかを備える3種類の製品を実験対象とした。その結果、ウイルス対策機能を組み込んだ製品は、感染PCへの接続時にマルウェアが検知できたが、パスワード認証機能と暗号化機能のみを持つ製品はマルウェアに感染したという。

 JPCERT/CCでは、「USBメモリを利用する場合、ウイルス対策機能を持つ製品を利用することで、感染の危険性を低減させることができる」と指摘。ただし、検知できるのはパターンファイルで対応しているマルウェアのみで、作成されたばかりの亜種には感染してしまう可能性が残るとしている。

 対策方法についてJPCERT/CCの真鍋敬士氏は、OSやアプリケーションのアップデート、ウイルス対策製品の正しい運用、リムーバブルメディアの運用ルールの制定・順守など基本的なセキュリティ対策を再確認することが有効であると説明。また、必要のない自動実行/自動再生機能を無効化することも効果的だとしている。


関連情報

(増田 覚)

2009/6/19 18:58