今さらなぜ?――セキュリティ企業各社、Windowsの「AutoRun」バグを悪用するマルウェアに注意喚起

■ すでに対策済みにも関わらずマルウェアが蔓延した背景に注目

 「Windows AutoRun」ソフトウェアに存在し、DVDもしくはUSBデバイス上でプログラムを自動実行するのに悪用される有名なバグを介してコンピュータに感染するマルウェアが蔓延していると、ウイルス対策ベンダーらが顧客に対して警告を発した。

 ただWindows 7およびWindows 8 PCは「autorun.inf」ファイルを起動しない。また、それより古いシステムに関してはMicrosoftが2つのパッチをすでに提供しているため、こうした感染を深刻化させた原因には識者らの関心が集まっている。セキュリティ専門家は、パッチを適用していないコンピュータ、共有フォルダおよびファイル、ソーシャル・メディアといった要素が絡み合い、感染が広がっているのではと推測している。


 問題のマルウェアが仕込まれたUSBドライブやメモリ・スティックをマシンに挿入すると、パッチ未適用の場合はこれに感染する。ほかにも、ネットワークを共有したり、感染ファイルあるいはフォルダを誰かがクリックしたりすることで同マルウェアに感染してしまうケースがあるそうだ。Trend Microは、「Facebook」サイト上でこのマルウェアが拡散していると述べている。

 Facebook上で同マルウェアをクリックすると、企業ネットワークにある共有フォルダへの"近道"が必ず開かれると、Sophosの上級セキュリティ・アドバイザーを務めるチェスター・ウィスニースキー(Chester Wisniewski)氏は説明した。

■ Microsoftは2009年にパッチをリリース

 Microsoftは2009年にAutoRunのパッチをリリースしている。US-CERT(U.S. Computer Emergency Readiness Team)が、Windows 2000およびXP、Windows Server 2003が同機能を適切に無効化できないと警告した1カ月後のことだった。同社はその前年にも、Windows Vista、Windows Server 2008のAutoRunバグにパッチをあてていた。

 悪名高い「Stuxnet」マルウェアもautorun.infファイルを自ら作成し、USBドライブ経由でコンピュータに感染する。

 最新版の同マルウェアは、元のファイル名やフォルダ名を隠し、書き込み可能なネットワーク・シェアやリムーバブル・デバイス内の別のファイルもしくはフォルダを装う。また、「porn」「sexy」といった名称の実行ファイルや、「passwords」と名付けられたフォルダを作り、ユーザーがこれらをクリックするよう誘導しているとSophosは語った。

 同マルウェアはレジストリ・キーを追加するため、PCのブートと同時に自分自身を起動できる。一部の亜種には、Windows Updateを無効にして、標的ユーザーが同マルウェアを無力化するパッチをダウンロードしないよう画策するものもあるそうだ。

 PCに一度感染すると、当該のマルウェアは同種の悪質なソフトウェアに典型的な行動を取る。まずはC&C(command-and-control)サーバに接続して指示を受け、別のアプリケーションを取得してくるのだ。Sophosによれば、それらの中にはオンライン・バンキング情報を盗む「Zeus/Zbot」ファミリのトロイの木馬も含まれているという。

 同マルウェアを阻止するには、あらゆるWindowsオペレーティング・システム搭載システムでAutoRunを無効にし、ファイル・シェアへの書き込みに制限を設けるのがよいとセキュリティ専門家らはアドバイスしている。ウイルス対策ベンダーによってこのマルウェアの名称は異なっており、現状では「W32/VBNA-X」「W32/Autorun.worm.aaeb」「W32.ChangeUp」「WORM_VOBFUS」などと呼ばれている。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121203-00000004-cwj-sci