ワームの4分の1がUSBデバイスを経由して拡散するとの調査報告
フラッシュ・ドライブを介した攻撃があいかわらず続く2008年、USBドライブが米軍のネットワークに対する攻撃に使用されたことが報じられたのに続き、あるセキュリティ企業が、すべての新型ワームの25%は携帯ストレージ・デバイスを介して感染を広げるよう設計されていると8月26日に発表した。
スペインのセキュリティ会社Panda Securityのリサーチ部門PandaLabsでテクニカル・ディレクターを務めるルイス・コロンズ(Luis Corrons)氏は26日に出した声明の中で、「現在まん延しているマルウェアの大半が、こうしたデバイスを経由して拡散する仕組みになっている。マルウェアはこれらのガジェットに自身を複製するのみならず、USBドライブがコンピュータに接続されると同時に自動的にシステムを感染させる。一連の動作はユーザーには見えないところで行われる」と述べた。
2010年に発見された全ワームの4分の1が、USBデバイスをPC感染の足がかりとして悪用していたという。また、1万社以上の中小企業を対象としたPandaの最新調査では、2009年にマルウェアの被害にあった組織の27%が、フラッシュ・ドライブをはじめとするUSBドライブが感染源となって攻撃を受けたと報告していることがわかった。
スマートフォンやカメラ、音楽プレーヤといった、USB経由でPCに接続するそのほかのデバイスもまた脅威であると、コロンズ氏は指摘している。「これらのデバイスはどれもメモリ・カードや内部メモリを用いるため、例えば自分の携帯電話が知らぬ間にウイルスを持ち運んでいるというケースは簡単に起こりうるのだ」(コロンズ氏)
USBデバイスを使用する脅威の中で2010年最も目立っていたのが、「Stuxnet」ワームである。7月には、大手製造会社やユーティリティ企業が有する、大規模な工業制御システム管理ソフトウェアが稼働しているPCが同ワームにねらわれた。この攻撃は、Windowsのショートカット・ファイルに存在する未修整のぜい弱性をつくものだった。
「Windows Explorer」などのファイル・マネージャからワームに感染したUSBドライブの中身を閲覧すると、StuxnetがPCに侵入する仕組みになっていたという。
Microsoftはこうした事態を受け、8月2日に同ショートカットのセキュリティ・ホールを修正する緊急“例外”アップデートを配布した。
USBを感染経路とするやり口は以前から存在している。例えば2年前には、「Conficker」と呼ばれるワームがほかならぬフラッシュ・ドライブを悪用して感染を広げ、世界中で報道された。
今週初め、米国防副長官であるウィリアム・リン(William Lynn)氏が、アメリカ中央軍(CENTCOM)のネットワーク内にあるPCに感染USBが接続され、そこからネットワーク全体に影響が及んだと発表した。CENTCOMは、イラクやアフガニスタンを含む中東を管轄する地域別統合軍の1つだ。
Confickerが登場してから、MicrosoftはWindowsのバグにパッチをあて、ユーザーが「AutoRun」機能を無効にできるようにした。ハッカーらはこの機能を利用し、USBドライブが挿入されると同時に自動的にPCを感染させていたのである。同社は「Windows 7」でもAutoRunの動作に変更を加え、こうした攻撃を妨害するくふうをしている。
コロンズ氏は26日、AutoRunを完全に無効化するユーティリティ・ツール「USB Vaccine」についての発表も行った。同ツールはPandaのWebサイトからダウンロードできる。USB Vaccineは無料だが、利用希望者はダウンロードに際して、氏名、電話番号、電子メールアドレスを申告しなければならない。
(Gregg Keizer/Computerworld米国版)
