スポンサーサイト

--/--/-- -- --:--

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
スポンサー広告

ボランティアで派遣されているコンピュータ技術系隊員が、必ずといってもいいほど出会う問題は、ウイルス。しかも途上国は信じられないほどフラッシュドライブを介した感染が多い。

 

まるで同じ注射針での回しうちによるエイズの蔓延のようだ。

 

で、じゃあどうすればいいのかというと、まずウイルス対策ソフトをインストールすることは大前提だとしても、インストールしているソフトによっては上手くウイルスを検知して防いでくれるとは限らない。autorun.infを見つけて、その読み込みをブロックするaviraなどのウイルス対策ソフトもあるのでそういったものを選ぶというのも手だ。

 

事態を複雑にしているのは、自動実行(autorun)と自動再生(autoplay)があって、それがWindowsのバージョンによって動作が異なるというのがあげられる。

 

この内容、活動1年後の経過発表のときに少し触れたのだけれども、時間がなくて中途半端な内容しか言えなかった。早口で簡単にしか言わなかったり、対象のOSをXPを想定して言っていたりして、聞いている人には正確には伝わっていない。

 

 

簡単に言うと、

・Shiftキーを押しながら接続はCD/DVDの場合のみ有効(しかもXPだけ)。フラッシュドライブには意味がない上に、Vista以降ではそもそもこの機能は働かない。

誰かからもらったCD/DVDディスクにウイルスが入っていた場合にはやる意味がある。

 

・自動再生で表示されるメニューは良く見て選択すること。Windows7でもこの状況には変わりはない。

 

・フラッシュドライブを接続して、マイコンピュータなどからダブルクリックでドライブを開くのは非常に危険(Widows7では挙動が変わったので大丈夫。今のところは)。右クリックから、開くまたはエクスプローラで開くのが無難。

 

ということになる。

(ここでの話は、XPの場合だとKB967715、Vistaの場合はKB950582のパッチを適用している場合の話)

  

私のお勧めは、XPはKB967715、Vistaの場合はKB950582のパッチをダウンロードして適用した上で、挙動をWindows7に準拠するように変更するKB971029を適用し、(KB967715もKB971029もshell32.dllを置き換えるので両方適用したら、最後に適用したほうに置き換わるだけっていうか、KBの番号からKB971029のほうにはKB967715の内容が含まれていそうだけど、実際のところはどうなんだろう?。KB971029は自動更新でも配信されているので、KB971029の方だけでいいのかもね。こちらのほうが挙動としては好ましいので。KB967715は細かい挙動をどうしても自分で決めたい要望がある人向けって感じだね。実際にIPAで公開している資料だとそんな書き方がされているし、レジストリも弄らなきゃいけないので、普通に使うにはKB971029でFA)ウイルス対策ソフトをインストールし、フラッシュドライブを接続するたびに(怪しいと思ったら)スキャンすること。

(それからシングルクリックでドライブなどを開けるようにしている人がいるが、うっかりクリックしてしまうということを避けるため、ダブルクリックで開けるようにしたほうがいいような気もする)

 

Windowsでの「自動実行」機能の無効化手順

http://www.ipa.go.jp/security/virus/autorun/

NoDriveTypeAutoRunの設定が正しく処理されるようにするパッチ

http://support.microsoft.com/kb/967715

AutoRunの挙動をWindows7に準拠させるパッチ(フラッシュドライブでの自動実行を無効化する)

http://support.microsoft.com/kb/971029

 

 

ウイルス対策ソフト(無料で使用できるもの)へのリンク

マイクロソフト・セキュリティ・エッセンシャル(32bit,64bit対応、日本語、広告なし)

http://www.microsoft.com/security_essentials/default.aspx

AVG(32bit、64bit対応、日本語、広告あり)

http://www.avg.co.jp/home-small-office-security/free-antivirus

Avast(32bit、64bit対応、日本語、広告あり)

http://www.avast.com/ja-jp/free-antivirus-download

Avira(32bit、63bit対応、日本語、広告あり)

http://www.free-av.com/jp/

Panda(32bit,64bit対応、日本語、広告?)

http://www.cloudantivirus.com/ja/

Comodo(32bit、64bit、英語、企業でも利用可)

http://www.comodo.com/home/internet-security/antivirus.php

他には、Bitdefenderもかな?

http://www.bitdefender.com/PRODUCT-14-world--BitDefender-10-Free-Edition.html

 

どのソフトがいいかは、この表をみて自分で判断(2010年8月時点)。

http://www.av-comparatives.org/http://www.av-comparatives.org/images/stories/test/ondret/avc_od_aug2010.pdfより

 

なおここに書いてあることは、現時点での話であって、将来的にどうなるかは分からない。ショートカットアイコンの脆弱性や他の脆弱性と組み合わせたりして、接続しただけでウイルス感染、ということもありえるかもしれない。

 

一番の対策はきちんとアップデートを行い、不用意なデバイスの接続を避けること。

 

もう少しここで整理して説明してみようと思う。

まず自動実行と自動再生について説明すると次のようになる。

自動再生と自動実行との違いは何ですか。

 

自動実行:CD/DVDやフラッシュメモリなどをコンピュータに接続した際に、ユーザの介入無しに自動でプログラムが起動する仕組み

 

自動再生:CD/DVDやフラッシュメモリなどをコンピュータに接続した際に、動作の選択画面を表示し、どのプログラムでメディアを開くかを選択する。これは接続するデバイス(CD/DVDやフラッシュメモリ)毎に設定可能で、次回からは選択した項目を自動的に選択するようにも設定可能。

自動再生の例(XP)

 

さて、この自動実行(または自動再生)については「Shiftキーを押しながらデバイスを接続すれば自動実行(または自動再生)されない」というのを聞くことがあるかもしれない。しかし、これはWindowsのバージョンとデバイスの種類によって動作が異なってしまうので、半分本当で半分は嘘となる。そのため、「フラッシュドライブ感染型のウイルスを防止するひとつの手としてShiftキーを押しながら接続する」というのは、あまり意味がない行動になる(XPでCD/DVDなら意味が出てくる)

 

WindowsXP

CD/DVDについては自動実行と自動再生が行われる

フラッシュドライブについては、自動実行は行われず、自動再生のみが行われる。

Shiftキーを押しながらだと、無効になる。

 

WindowsVista:

CD/DVDとフラッシュドライブ両方において自動再生が行われる(自動実行は自動再生からコントロールするようになっており、この設定次第で何もしなくても音楽が自動的に再生されたりする)。

このバージョンからShiftキーの挙動が変更され、Shiftキーを押しても自動再生が無効にならない。

 

Windows7:

このバージョンからさらに仕様が変更された。CD/DVDにについては、自動再生が行われる(自動実行はここからコントロール)。フラッシュドライブについては自動再生のみで自動実行はなくなった。後述するautorun.infがあったとしてもフラッシュドライブでの自動実行は行われない。Shiftキーの挙動についてはVistaに準拠。

 

上記のような対応となっているため、CD/DVDメディアの場合は、Shiftキーを押した場合、XPのみが自動実行などが抑制され、Vista/7などでは全く意味を成さない。さらに、XPでもフラッシュデバイスでは元々自動実行はされないので、最初に述べたように、ウイルス対策としてのShiftキーを押しながら接続は、意味がないことになる。

 

そのためフラッシュドライブをさしただけでは、今のところウイルスに感染はしない。といいたいけれど、Vistaの仕様だと、感染してもおかしくない・・・気がする。試験していないので良く分からん(笑)

 

実際にウイルスに感染している人は、autorun.infがあるフラッシュドライブでの自動実行が問題なのではなく、自動再生のダイアログの中身と、それをキャンセルしたあとでドライブを開くときに問題が出てくる。

 

例えば、次のようなaurorun.infを作成する。

[AutoRun]

open=notepad.exe

 

shell\開く\command=notepad.exe

shell=開く

 

action=フォルダを開いてファイルを表示する

shellexecute=notepad.exe

 

icon=explorer.exe,13

 

こうすると、接続したときに次のようなダイアログが出てくる(XP)。

(たぶんVistaも同じ感じに・・・なる?)

 

 

こんな感じで、アイコンも簡単に偽装して、まるでただ単にフォルダを開くだけかのように見せかけることができるが、この「フォルダを開いてファイルを表示する(デバイスで指定されたプログラム仕様)」を選択すると、メモ帳が起動する。つまりプログラムが実行されてしまう。これがウイルスであればウイルスに感染してしまうということになる。

 

でもさすがにこのままだと、間違える人はそんなにいないかもしれない。同じのが二つあるのであれ?と思う人もいるだろう。そこで、フラッシュドライブに適当に画像ファイルや音楽ファイル、動画ファイルを置いておくと、このダイアログは次のように変わる。

 

 

こうすると、他の選択肢で正しい選択である「フォルダを開いて~」が下に追いやれらて見えなくなり、偽者だけがユーザーの目に付く。こうなると、もう無条件にOKを押してしまっても仕方がないだろう。これは、autorun.infの

 

action=フォルダを開いてファイルを表示する

shellexecute=notepad.exe

icon=explorer.exe,13

の部分。

 

そして、少しでも知識がある人が「これは駄目だ」とキャンセルしても次の問題が控えている。ここで開かなかった場合、マイコンピュータなどからドライブをダブルクリック(設定によってはシングルクリック)で開くことになるが、これについても注意しないとプログラムが実行されてしまう。

 

 

これはフラッシュドライブを右クリックしたものだが、ダブルクリックした場合のデフォルトの動作が、太字の「開く」になっている。しかし、これは偽者で、本物はエクスプローラ(X)の上にある「開く(O)」である。このデフォルトで実行される開くは、

 

shell\開く\command=notepad.exe

shell=開く

 

の部分で偽者にすりかえられている。そのため、フラッシュドライブをダブルクリック(シングルクリック)で開いてはいけない。右クリックから正しい「開く」を選択するか、「エクスプローラ」を選択する必要がある。

 

ドライブを開いてもまだ試練は続き、安易にクリックせずに今クリックしようとしているものが自分が望んだものかどうかを確認しなくてはいけない。フォルダアイコンへの偽装などがあるためだ。

 

一見何もないように見える普通のフラッシュドライブの中身でも・・・・・・

 

隠しファイルなどを表示させる設定にすると、次のようになる。

 

 

先ほどまで正しいフォルダだと思われていたものは、実はショートカットでアイコンがフォルダに偽装されたもの。本物のフォルダは不可視(隠し)属性となって見えなくなっている。

 

私は、個人的に書き込み禁止スイッチがついているフラッシュドライブを利用しているが、よくデジタルカメラなどで利用される「SDメモリーカード」にもこの機能がある。しかし、このSDメモリーカードの書き込み禁止スイッチは、ハードウエア的に強制して書込み禁止しているわけではなく、ソフトウェア的な?実装のため、SDメモリカードリーダーの仕様によってはこのスイッチの設定が無視されて書き込み可能状態になってしまうものもある。原理は、懐かしいカセットテープやビデオテープ、フロッピーディスクなどの書き込み禁止設定窓(爪?)と同じ。

とても便利で、安全にデータを渡せるので隊員として活動に行く人は一つは持っておいたほうがよいと思う。

 

参考

http://www.st.rim.or.jp/~shio/winsec/autorun/

http://blog.lucanian.net/archives/51199862.html

http://www.microsoft.com/japan/technet/security/advisory/967940.mspx

http://www.f-secure.com/weblog/archives/00001586.html

http://blog.f-secure.jp/archives/50427676.html

http://internet.watch.impress.co.jp/docs/special/20090831_312102.html

セキュリティ | コメント(0) | トラックバック(0)
コメント

管理者のみに表示

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。