Okumura's Blog

うちの大学でも、昨年度の卒研発表会で感染しました。
ウィルス対策をしていない、めったに使用しないプロジェクタ用の
パソコン経由で芋づる式に。

至近距離で感染したPCの人です。

なんと、超有名で有償のウィルス対策ソフトを常にアップデートして常駐させていたPCでも、今回のウィルスに感染させられ、かつ、常駐している対策ソフトがウイルス常駐を発見できないという異常事態でした。

今回に限っていえば、

(感染しないために) autorun.infを開かないようにレジストリで設定しておき、USBメモリを挿入する前には必ず、レジストリを確認する。(あるいはSHIFTキーをおしながらUSBメモリを挿入する。）

(感染直後にわかるために)フリーのウイルス対策ソフトの某を常駐

の両方が必要でした。でも、某が優秀というわけでなく、あくまでも今回は某ではじめて検知できたというに過ぎません。

一般的な対策は、「autorun.infのようなものを自動実行する機能そのものをOSに入れないようにしておく」ということですね。つまりWindowsをやめて、Mac OS X や Linux へどうぞということです。

よく調べてないのでわかりませんが、最近のLinuxは便利志向が強いGUIツールが多いので、もしかすると自動実行がありそうな予感。

--------------------------

あと、USBメモリだけでなく、SDメモリなどのメモリカードでも同じ問題があります。

http://ymiwa.exblog.jp/9357714/
を書きました。

そうなんですか。
NoDriveTypeAutoRun=0xff
でいいのかと思っていました。
でもバグがあって修正されている？
http://www.frsirt.com/english/advisories/2008/0954

なるほど。

自動再生と自動実行は違うのですね。

• サスライト、USBメモリの自動起動特許を取得（INTERNET Watch）
• スラッシュドット・ジャパン | プログラムが自動起動するUSBメモリで特許

この特許があるからAutoRunできないというのは考えられないのですが，どうなんでしょう。

http://prism-project.sakura.ne.jp/usb_memory/usbmmain2.html　の
■自動実行とUSBメモリ1
をみてもらったら分かりますが，USBストレージクラスには自動実行機能はないのです。
　だから特許になったそうですが，サスライトは特許によって独占を狙っているわけではありません。いろんなUSBストレージ会社と協業してます。IOデータの
　http://www.iodata.jp/prod/usbmemory/totebag/2006/tb-st/index.htm
なんかも「SASTIK-LIMOが付いてます」
http://www.iodata.jp/prod/usbmemory/totebag/2006/sastik/
とかやってますから。

ありがとうございます。USBメモリはautorun.infで自動実行はできないのですか。ではどうしてこのウイルスは起動できたのでしょうか。自動起動メニューを[OK]してしまったのでしょうか。

風呂あがりのウォーミングアップに，ちょっとWindows Vista Homeを起動して試してみました。
USBメモリにautorun.infを作成し，

[Autorun]
open="xxx.exe"

とだけ書いて，xxx.exeとともに入れておきました。
これを差し込んでもメニューが出るだけだし，ドライブのアイコンをダブルクリックしてもエクスプローラで開かれるだけです。

そこで，コンパネの「自動再生」で「ソフトウェアとゲーム」を「毎回動作を確認」から「プログラムのインストール/実行」に変更して［保存］し，差し込んでみたら，みごとxxx.exeが起動しました。

つまり，少なくともVista Homeについては，Windowsにも自動実行（自動再生？）の機能があり，デフォルトではセキュリティのために「確認」になっているだけのように思えました。

その特許は，この機能に潜む脆弱性を利用して確認なしに自動実行するという特許なんでしょうか。

以前私が所属する研究室の周辺でもUSBメモリを介して感染するウィルス（ワーム）が広がったことがありますが、それはリムーバブルドライブに自身を感染させ、メディア挿入時に自動実行されるものでした。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_A...
（折り返されるので繋げてください）

Windows95/NTのときに取得したものだと思っています。今度その会社の方にあったときに聞いてみます。
　「土俵を変える」のがMSの常套手段ですからね。

■インタビュー記事
http://ascii24.com/news/i/keyp/article/2006/04/05/print/661494.html

■サスライト保有特許（3ページ目）
http://www.sgi.co.jp/events/2006/linux/files/linux_5.pdf

まー，ウィルスは特許を気にしませんし，何回か再起動させれば，自動起動するようにできるわけですね。

セキュリティホール memo がうまくまとめてくださいました。納得です。

特許については，Vistaになる前のWindowsで，ダブルクリックしないでも自動起動するのがミソなんですね。ウイルスがこの特許技術を使っているのでなければ，やはり感染した人はリムーバブルメディアのアイコンをダブルクリックしたということでしょうか。また，この特許技術は，Shiftキーを押して差し込んでも有効なのでしょうか。いずれにせよ悪用されれば怖い技術ということになりそうです。

ファイルの一覧を見ようとリムーバブルメディアのアイコンをダブルクリックするだけでウイルス感染し、しかも、そんな欠陥に対策が全くとられてないとか、惨澹たる状況ですね。dir とか ls で感染という話は聞いたことがないので、やっぱりダメダメOSで、その欠陥を直そうとしないマイクロソフトは不良品を放置し続けているということですね。

そういえば昔、ウイルス入りのメールを削除しようとポイントしたら、勝手にプレビューが開けてしまい感染という話があったのを思い出しました。こんなことを気をつけないと安全に使えない商品を一般に提供し続け、まともなユーザサポートもせずに世界一の富豪経営者を生み出した企業の倫理感とはどういうものだろうかと疑問をもちますね。

あと、フリーソフトの中には、それをインストールすると自動実行をこっそりONにしてしまう（なぜそんなことをするのか？）ものがあるようで、レジストリを変更して自動実行を一度OFFに設定しても安心できないとのこと。リムーバブルメディアを差す前にはSHIFTキーを押しながら差し込むか、regedit などをつかってレジストリの値を確認する癖をつける必要がありそうですね。

ところで、「SHIFTキーを押しながら挿入すると自動実行しない」というのはアチコチで聞く話ですが、ほんとうにこの方法で安全なのか、誰か教えてください。

今度はWindows XP SP3でやってみました。autorun.infの内容はウイルスをまねて

[Autorun]
open=xxx.exe
shellexecute=xxx.exe
shell\Auto\command=xxx.exe

としました。差し込むと

フォルダを開いてファイルを表示する
エクスプローラ使用

何もしない

のメニューが出ました（このことを「自動再生」というようです）。OKを押すと既定の「フォルダを開いてファイルを表示する エクスプローラ使用」が実行されました。つまりautorun.infは無視されました。autorun.infの書き方によってはメニューに実行ファイルが登録できるのかもしれません。

マイコンピュータからリムーバブルディスクをダブルクリックするとautorun.infに書いた内容が実行されました。右クリックすると「Auto」が既定になっていることがわかります。右クリック「開く」なら大丈夫です。ちなみに右クリック「自動再生」でさきほどの自動再生メニューが現れます。

Shiftを押しながら差し込むと，自動再生しなくなります（つまりメニューを出さなくなります）。autorunの実行とは無関係のようです。ちなみにShiftを押しながらマイコンピュータからリムーバブルディスクをダブルクリックしてもautorunされました（当然か）。

　特許の内容については分かりませんが，サスライトの製品は，Windowsの設定を自動起動OFFにすれば自動起動しません。
　そういう意味では，Windowsのセキュリティポリシー（？）に従うようです。

なるほど。安心しました。

逆にいえば，ウイルスに感染したくない人は，オートランを無効に設定しておくでしょうから，特許の価値を享受できないということなんでしょうか。