AVAST Software: 8つのマルウェア攻撃のうち1つが USB 経由

2010年11月3日チェコ、プラハ - 受賞歴を誇るアバスト!アンチウイルスプログラムの開発者であるAVAST Softwareは Windows とプラグイン USB ドライブの自動実行機能を標的としたマルウェア攻撃の数が増加していることを確認しました。研究者たちは10月の最終週にアバスト! コミュニティIQ システムのコンピュータで記録された70万回の攻撃の8回のうち1回、つまり13.5%が USB 経由のものだと発見しました。

このマルウェア攻撃の鍵はMicrosoft Windows オペレーティングシステム (OS) の『自動実行(オートラン)』機能です。自動実行とはメモリースティックなどのデバイスが接続されたときユーザが新しいファイルを実行するアプリケーションを選択するのを助けるものです。

「自動実行は便利なツールだ。しかし現在の3分の2以上のマルウェアをばらまく手段でもある。USB で流通されるマルウェアの脅威は大規模な企業へのスタックスネット攻撃(同じく感染したメモリースティックにより拡散)より広範囲に及ぶ」とウイルス研究所の研究者であるJan Sirmer は述べます。「サイバー犯罪は友人と共有したいという当然の欲求と USB デバイスの許容メモリの増加をうまく利用しているんだ。このふたつの要素を組み合わせると興味深いシナリオが出来上がる」

“INF:AutoRun-gen2 [Wrm]” (アバスト! がこの型のマルウェアワームを検知するときの生成名) に感染したUSBデバイスをコンピュータに接続したときこの機能が悪用されます。感染したデバイス、 主にメモリースティックですが、そのほかにも巨大な容量を持つプレイステーションポータブル、デジタルカメラ、携帯電話やMP3プレーヤーなどがファイルを実行し、多くのマルウェアがコンピュータに展開されます。新しくやってきたマルウェアは自分自身をWindows OS 内にコピーし、コンピュータが起動するたびに自分自身を複製することができます。

AutoRun-gen2 のほか、84% の攻撃がアバスト!のファイルシステムシールドのオンアクセス検査で退けられました。このマルウェアは USB デバイスが初めて接続されたときに検知されました。残りの16%はコンピュータのハードドライブを検査中に発見されました。

コミュニティIQ はアバスト! の任意のユーザ団体で、ユーザが検知したマルウェアのデータを自動的にウイルス研究所へ送信してくれます。世界の1億3千万人にのぼるユーザは現在の危険なマルウェアに関する莫大な統計サンプルを提出してくれています。提出されたデータは解析されアバスト! の保護シールドとウイルスデータベースに組み込まれ全てのユーザに送信されます。

低価格な USB メモリースティックで友人や同僚と大きなファイルを容易に交換できることが、サイバー犯罪の標的になっています。「仕事場では従業員が個人の USB メモリースティックにファイルを保存し持ち歩いたりしている」とSirmer は言います。「それによりマルウェアの検知機能を迂回することになり、マルウェアを阻止する機能がローカルマシンのアンチウイルスソフトウェアだけに頼ることとなってしまう」”

USB デバイスのメモリー増加とより複雑な技術により、AutoRun-gen2 を検知することが困難になっています。「1テラバイトのデバイスを詳細に検査するには1時間程度かかることもあるので、この過程を飛ばすか、より迅速なオンアクセス検査を選択する人が多い」とSirmer は言います。危険性は新しいUSB 3 基準の導入とともに増加する態勢が整ってきています。これらの技術的な改良と並行してAutoRun マルウェアの開発者たちは新コードとともに自分たちの仕事を分かりにくくする方法を開発しています。「『y0u c4nt st0p us 』をあるコードの中間で発見したとき、彼らは自分たちが優勢であるということを知っていたよ」とSirmer は苦笑いをしました。

USB の安全指南

  1. 気をつける。約60%のマルウェアが USB デバイスを経由して広がっています。これは家庭や会社のコンピュータにとってよからぬ脅威です。
  2. 接続して開始しない。PC を USB デバイスを接続したまま開始すると、アンチウイルスプログラムが起動する前にマルウェアがコンピュータに直接ロードされる可能性があります。
  3. まず検査、そして参照。アンチウイルスプログラムの「オンアクセス自動検査」が有効になっていることを確認してください。