新たな手口を用いるワーム「オートラン」確認。AutoKeyを悪用

　日本では、「ガンブラー攻撃」関連の不正プログラムと並び、USBメモリ関連の不正プログラム「オートラン」の感染が数多く報告されています。トレンドマイクロへの日本国内のお客様からの感染被害報告数では、2008年および2009年ともにUSBメモリ関連の不正プログラムが第1位でした。

　ネットワーク上にあるコンピュータだけでなく、オフラインで利用されている専用端末においても、業務上のデータ授受や機器メンテナンスの際に、USBメモリなどのリムーバブルメディアを利用して不正プログラムに感染したという事例が報告されています。

　この「オートラン」ファミリの中でも、ワーム「オートラン」は、自身を自動実行する手段として、”Autorun.inf” を利用。例えば、この種のワームに感染したUSBメモリをコンピュータに接続すると、ワームは自動的に実行されます。このため、ユーザは、このワームが実行されるのを防ぐ回避策として、以下の方法を実施することが必要です。

• USBメモリの自動再生機能の無効化
• Windowsのエクスプローラからのファイル閲覧

　ユーザが回避策を考案するように、このワームの拡散を企むサイバー犯罪者もまた、新しい手口を発案し続けます。そのため、ワーム感染の防止策を講じたユーザであっても、サイバー犯罪者の餌食となる可能性があります。そして今回、ワーム「オートラン」拡散に用いられる新しい手口として、autorun.inf内の「ActionKey」を利用した事例が確認されました。

図１：自動再生用ダイアログボックス

　ActionKey とは、「action=」にて指定する autorun.inf の機能のひとつで、リムーバブルドライブや固定ドライブ内のみで有効となります。このキーは、リムーバブルメディアなどをコンピュータに挿入した際、そのメディア内に含まれるファイルを判別し、自動再生用ダイアログボックス（図１参照）内にどのアプリケーションを表示するか特定するために利用されます。その際、リムーバブルドライブ内の autorun.inf の「open」や「shellexecute」のパラメータ情報を取得して、判別します。

　「USBメモリの自動再生機能の無効化」や「Windowsのエクスプローラからのファイル閲覧」といった防止策を回避するために、ワームは、ActionKey 内に指定されたパラメータを利用します。このパラメータは、以下のいずれかになります。

• Open folder to view files
• Open folder to view files using Windows Explorer

　上述の手口を用いたワーム「オートラン」の１つは、トレンドマイクロの製品で「WORM_KOLAB.CQ」として検出されます。この「WORM_KOLAB.CQ」が作成する autorun.inf 内に含まれる文字列は、図２の通りとなります。

図２：「WORM_KOLAB.CQ」が作成する “AUTORUN.INF” 内の文字列

　「WORM_KOLAB.CQ」により作成される autorun.inf は、文字列「action=Open folder to view files using Windows Explorer」を用いて、ユーザがWindowsのエクスプローラからファイルを閲覧しようとすると、このワームの感染活動を自動的に実行します。つまり、従来の感染回避策が、逆に感染のきっかけとなってしまうのです。

　サイバー犯罪者は、標的とするコンピュータに不正プログラムを確実に侵入させるための手口を常に画策しています。そのため、ユーザもまた、不正プログラムに感染しないために更なる予防策を講じる必要があります。そして、リムーバブルドライブなどの外部接続によるデバイスを利用する際、注意を怠ってはいけません。例えば、デジタルフォトフレームやiPod、MP3プレーヤ、PDA、USBメモリなどは、適切なセキュリティ対策が施されていない場合、ユーザのコンピュータやネットワークに不具合を生じさせる不正プログラムの隠れ場所となる可能性があるのです。トレンドマイクロでは、過去にも、出荷前の携帯音楽プレーヤやデジタルフォトフレームに不正プログラムが混入されていた事例を確認しています。

　このように、もはや、自動再生機能を無効にするだけでは、これらのワーム感染の防止策となりません。出所不明のUSBドライブは使用しない、また、ご利用のセキュリティ対策製品を最新の状態にしておく、といった対策を常に心がけておくことが必要となります。企業ユーザの場合、リムーバブルドライブの使用やデータアクセスなどについて適切なセキュリティポリシーを設け、社員全員が正しく理解しそのポリシーを実施する必要があります。

　なお、上級者向けに以下の防止策（英語情報）もご紹介します。

• 「How to Maximize the Malware Protection of Your Removable Drives」

　トレンドマイクロの製品をご利用のユーザは、クラウド型技術と連携した相関分析により、今回の脅威から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」では、「ファイルレピュテーション」技術により、「WORM_KOLAB.CQ」を検出し削除します。

　また、トレンドマイクロでは、オフラインの専用端末でもソフトウェアをインストールすることなく、最新のパターンファイルでウイルスチェックができるソリューションとして、USBメモリ型ウイルス検索ツール　「Trend Micro Portable Security」を発売しています。詳細は、こちらをご覧ください。

「New AutoRun Worms Utilize Action Key」より
May 18, 2010　Roland Dela Paz

執筆者： Roland Dela Paz Threat Response Engineer Global Response TrendLabs Trend Micro Incorporated 　2007年にトレンドマイクロに入社。現在、トレンドラボにてスレット・レスポンズ・エンジニアとして不正コードの解析を担当。

　翻訳： カストロ　麻衣子（Technical Communications Specialist, TrendLabs）