USBメモリをウィルス感染から防ぐには ( shareEDGEラボ レポート#3)
今回は、その手法が原始的でありながらとても防ぐことが困難なUSBメモリをはじめリムーバブルメディアを介して感染するウィルス/ワームからUSBメモリを守る方法について解説します。
原始的でありながら実は対策が困難なマルウェア
USBメモリは、情報漏えいや、データの盗難などのセキュリティリスクへの懸念から多くの企業でその利用が禁止されています。最近では、パスワードロック、暗号化機能を備えた高機能なUSBメモリの登場で、企業ユーザでも利用することが見直されて来ているようにも思えます。
しかし、USBメモリは、データ保護のリスクだけでなく、ウィルス/ワームなどのマルウェアの感染源となる危険もあります。最近のIPAからの警告を参照してください。これらのリムーバブルデバイスを利用したマルウェア感染は、一昔前まではフロッピーディスクにより感染として知られていました。対応策としてROM BIOSでFDドライブからの起動を禁止するなどの方法が取られていました。USBメモリの場合も同じようにWindowsのautorun機能を無効にすることで少しは? 被害を軽減することが可能です。
- コンピュータウイルス・不正アクセスの届出状況[6月分および上半期]について ( 2007年 7月 3日)
実際、autorunを無効にするだけでは不十分です。例えば最近のマルウェアの例では、autorun機能での実行よりも、むしろユーザに実行させることでシステムに常駐し、新しいリムーバブルディスクの検出と共に活動を始める、そして自分自身の複製をこれら新しいリムーバブル ディスクにコピーします。コピーされたこれらのマルウェアファイルは、ユーザがエクスプローラで見ると一見フォルダのように見え、プログラムであるとは分かりません。ユーザは、PhotosやPicturesなどの名前のフォルダを開こうとしてクリックすると、実はそれは実行形式のファイルで、システムに常駐して感染を広めたり、バックドアとして機能を始めます。
例: USBメモリをエクスプローラで開くと下記ように興味ある名前のフォルダがあるように見えますが、これらはそれぞれが実行形式のプログラム(ワーム)です。うっかりクリックする(起動する)だけで活動を開始します。すべての3つが連携して機能するためプロセスを停止することが困難です。(Task Managreでは停止できません。)
もちろんウィルス対策ソフトウェアで、こうしたマルウェアが活動する前に検出してくれればいいのですが、これらの最近のものはウィルス対策ソフトウェアのワクチンとして登録されるよりも早く進化します(パターンが次々と変化します)。結果、ウィルス対策ソフトウェアで検出された時にはすでに数十台は感染が終わっている状態というのが実情です。
検出の性能の優劣やシグネチャの更新頻度が高いとかのレベル違いにより、これを100%防ぐことは不可能で、どのウィルス対策ソフトを選択しても結果は同じです。
現在ご使用のUSBメモリはこうしたマルウェアに対しても万全でしょうか?
さて、ご利用のUSBメモリはこうしたマルウェアに対しても万全でしょうか?
USBメモリ内のデータが暗号化されていても、指紋認証もパスワードロックもこうしたマルウェアに対しては無力です。指紋認証やパスワードロックでは、ユーザがUSBメモリ内のデータをアクセスするために、認証を行ってアクセスが可能になった時点で知らない間に感染してしまいます。
この状況を実際に体験して頂くために、擬似ウィルス PDTest.exe を作成しました。これを実行することでご使用のUSBメモリが安全かどうかを体験することができます。
PDTest.exe のテスト方法
1. ZIPファイルをダウンロードし、展開します。*PDTest.exe)
2. PDTestを実行します。[Start]ボタンを押して開始、[Stop]ボタンで停止、[Exit]で終了します。
[Start]ボタンでPDTestを開始すると、PDTestはリムーバブルディスクの有無を監視します。
USBメモリを接続すると、PDTestはそれを検出して、自分自身pDTest.exeを新しいドライブにコピーします。
ステータス画面を見て、感染を確認します。
PDTest.exeは単に、ドライブを監視し、新しいドライブを見つけたら自分自身をコピーしようとするプログラムです。テストが終わったら、コピーされたPDTestを削除してください。
PrivateDiskをインストールした感染不可能なUSBメモリの構築
では、同じUSBメモリを使って、これを感染不可能なUSBメモリにするにはどうするか?
以下の手順で作成することができます。
1. Dekart Private DiskをPCにインストールします。
2. タスクバー上の、Private Diskアイコンをクリックし、メニューから[リムーバブル ティスクにインストール]を選択します。
USBメモリ上にPrivate Diskがコピーされます。
3. USBメモリ上に仮想暗号化ディスクを作成します。作成した仮想暗号化ディスクが自動的にマウントされます。
4. その仮想暗号化ディスクに[ファイヤウォール]を設定します。
ここでは、[ファイヤウォールを有効にする]と[トレーニングモード]をチェックするだけで、ホワイトリストには、アプリケーションを登録しません。
補足: トレーニングモードを有効にすることで、この仮想暗号化ディスクにアクセスを試みるすべてのアプリケーションに対して許可/拒否を確認することができます。
5. 設定が終わったら、OKボタンをクリックし、仮想暗号化ディスクのマウントを解除します。設定の変更を有効にするためのパスワード入力が表示されます。
6. USBメモリの利用可能な空き領域のすべてを仮想暗号化ディスクに割り当てます。
重要: 空き容量が0になる様に作成する必要があります。必要に応じて、ディスクの空き容量をファイルで埋めてしまうツールを使って余りの数バイトを埋めてください。
使用方法: PDcmd.exe [Drive Name]
Drive Name: 空き容量を埋めたいドライブ名. 例 PDcmd E:
7. 以上で準備ができました。
マルウェア対策に有効かどうかを確認する
作成したUSBメモリをPCから取り外して、同じテスト方法でこのUSBメモリがマルウェア感染に対して有効かどうかを確認して見ます。
1. 擬似マルウェア PDtestを実行し、[Start]をクリックします。
2. USBメモリを接続します。
USBメモリが接続され、E:ドライブ としてシステムが認識します。
PDtestが新しいドライブを検出します。
検出した新しいドライブへ、自分自身をコピーしようと試みますが、空き容量が無いため失敗します。
3. USBメモリ内の仮想暗号化ディスクをマウントします。
USBメモリにある、Private Disk(PrvDisk.exe)を実行します。
USBメモリ上の仮想暗号化ディスクを選択して、マウントします。
PDtestがマウントされた新しいドライブを検出し、コピーを試みますが失敗します。
Private Diskのトレーニングモードのより仮想暗号化ディスクにアクセスするすべてのアプリケーション毎に許可/拒否のプロンプトを表示します。
必要に応じて拒否、許可してください。
4. PDtest.exeが、マウントされた仮想暗号化ディスク上にも、USBメモリ上にも感染していないことを確認してください。
重要: 上記のテストは、Private Disk v2.10 #23以降を使用しています。古いバージョンのPrivate Diskをご利用の場合は、同じ結果にならないことがあります。最新版へのアップグレードを強くお勧めします。
終わりに
ウィルス対策で見られるような方式は、既知のマルウェアとしてシグネチャ(ワクチン)を基本にマルウェア対策するというブラックリストを元にマルウェアから方式ですが、これには限界があります。
状況によっては、アプリケーション ファイヤウォールのような、ホワイトリストを元に、正当なプログラムにのみアクセスを許可する方式が有効になります。特に今回紹介したような、USBメモリへの感染を防ぐには、現在最も効果的な技術です。
アプリケーションファヤウォールは、Winnyなどのファイル共有プログラムから大切なデータを守ることもできます。
リスクの高いUSBメモリも利用方法をきちんと整理することでその利便性を活かすことで生産性を上げることに大いに貢献できると思われます。
また、個人ユーザも同様です。
さらにUniversalShieldと組み合わせることで、指定以外の記憶領域へのユーザによるファイル書き込みを完全にシャットアウトしながら、安全な仮想暗号化ディスクへのデータを保存するようなシステムを構築したり、PDCopyと組み合わせて、利便性を高めることも可能です。
株式会社ネクステッジテクノロジーでは、企業向けセキュアUSBメモリ として、Private Diskおよび必要な関連ツール(PDCopy/PDTool)を組み込んだUSBメモリも取り扱っています。
価格、導入実績なども含めお気軽にご相談ください。
Let's share the world! by shareEDGE
Copyright 2008 nextEDGE Technology K.K. All rights reservied.
作成 : シェアエッジサポート 2008.04.18
前のページ AKVIS プラグインの利用方法 (shareEDGEラボ レポート#2) |
コンテンツのトップ |
次のページ デスクトップ、マイドキュメントなどのローカルディスクを書き込み禁止に |