2013年3月29日金曜日

USBドライブによるマルウェア感染は、なぜ無くならないのか。

  • このエントリーをはてなブックマークに追加
USBドライブは、個人法人問わず、情報セキュリティ上の大きなチャレンジの1つです。

Win32/Pronny worm(英語)という最近の記事を読んでいただけば、そのような悪意あるウイルスが破壊的で、データを盗みながら大暴れするのが分かります。

USBドライブからの悪意あるコードの感染を防ぐ技術は、ドライブの歴史と同じくらい古いのですが、保護が十分でないホストからのUSBドライブへの伝染を防ぐことは最近まできちんと対策がとられていませんでした。

ESETセキュリティブログ:USBフラッシュドライブ
問題を論ずる前に、USBドライブを経由する感染の恐ろしさについてまず認識していただきたいと思います。

Stuxnetというマルウェアがもっとも有名なものの1つなのですが、2008年にイランのNatanzという核施設の内部に、親指大のUSBドライブを経由して侵入したというのが通説です。これにより、高価な機械である遠心分離機が破壊され、イランの核実験計画に大きな影響を与えたと考えられています。詳細は、以下の新聞記事(英語)を参照ください。

後に詳説いたしますが、USBドライブからの感染の脅威とその対抗策は比較的よく理解されています。ではなぜ悪意ある企てがいまだにやまないのかという疑問がわいてきます。その答えは、実際には、旅行中・プレゼン・会議・見本市など様々な場面で、USBドライブが保護が十分でない機器に差し込まれることが常に起こっているからです。

もちろん、USBドライブが差し込まれる側の機器は、差し込まれたUSBドライブにウイルスがないか自動的にスキャンし、マルウェアを除去するようプログラムすることは可能です。また、USBドライブ上のプログラムが自動的に実行(オートラン)されないようにすることも可能です。

しかし、USBドライブが差し込まれた時にセキュリテイ機能を実行する「ログオン・パーティション アプリ」をオートランする必要があります。

現実には、そのような防御プログラムが対策されていないドライブも多数存在します。ですから、感染したUSBドライブがネットワークに悪意あるコードを隅々まで撒き散らす危険は存在するのです。


では、USBドライブはどうやって感染するのでしょうか?

それは、不意の場合と意図的な場合の2つがあります。Stuxnetは後者で、悪意あるコードをシステムに侵入させることを目的にコードをUSBドライブ組み込んだ場合です。不意の場合は、保護が十分でないホストにUSBドライブを差し込んだ場合などです。

感染状況は後々わかり、自分のコンピュータに差し込むまでにすでに大きな感染をしでかしているということになりかねません。例えば、感染してしまっているUSBドライブを数名の人と共有したとしましょう。そうなると、USBは破壊的な伝染装置と成り代わってしまいます。


2012年前半に米国政府の産業制御システムサイバー緊急事態対応特別チームによって報告されたあるケースについて考察してみましょう。

原子力関連施設での事故で呼び出されたチームが現場の6つのハードドライブを調査したところ「マリポサ・ボットネット」と関連するマルウェアに感染した形跡を発見しました。

感染は以下のシナリオだったようです。

「従業員が業界のあるイベントに出席し、講師のUSBメモリを借りてノートパソコンにプレゼン資料をダウンロードしました。このドライブはマリポサ・ボットネットに感染しており、この従業員が会社に戻りノートパソコンで会社のネットワークにつないだところ、そのネットワーク上の100以上のホストコンピュータが感染してしまったのです。詳細は、(ICS-CERT Incident Summary Report, June 28, 2012)を参照。」

100単位の原子力施設のホストコンピュータの感染など、大したことはないと思われる向きがあれば、考え直していただきたいです。

この従業員によれば、参加したイベントでこの感染したUSBを使用したのはその人だけではなく、複数名の原子力施設の人たちだったということでした。もちろん、この講師の人が意図的にマルウェアをまきちらしたとは思えませんので、もう1つの可能性が濃厚です。

すなわち、この講師はホテルのビジネスセンターや空港のラウンジ、ネットカフェなど感染に対する防御が不十分な場所で感染した可能性が高いのです。その結果、このUSBは「攻撃ベクトル」となり、感染をまきちらす源泉と化してしまったのです。


では、セキュリティが十分でないシステムに差し込まなくてはならない場合、USBドライブをどう保護すればいいのでしょうか?

それは、ウイルス対策ソフトをドライブそのものに組み込み、差し込んだらそれをオートランするのです。ホストシステムに依存しない形でウイルス対策ソフトをUSBドライブにインストールすることは、プログラムの進歩で可能になりました。

ESETはClevX DriveSeciryという製品を持っていますが、これは、ホストコンピュータからのインストールなしに、USBドライブから直接プログラムをオートランすることができます。そのため、どんな環境で使用しても、USBドライブから保護プログラムをオートランすることができ、トロヤンなど様々なウイルスに対抗することができます。

ClevX はDriveSecurity 商品に、相対的に小さい「フットプリント」の割に有効なESET NOD32の発見的アルゴリズムを選択しました。

そのような考慮が重要なのは、ドライブを差し込むポータブル機器は必ずしもネットにつながった状態ではないからです。DriveSecurityがネットにつながっている場合はもちろんその内容は常に最新の状態にアップデートされるようになっています。

あなたが次に、ウイルス対策が万全でなさそうなハードにUSBドライブを差し込む必要がある場合、このようなやり方で保護を施すようにしたほうが良いでしょう。他の人にウイルスを撒き散らしたり、データ漏洩を引き起こして広く報道されてしまったり、高い罰金を払うはめにならなくて済むよう、セキュリティレベルを引き上げてくれます。


出典:blog.eset.com
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る