【この部分は5月28日に修正】5月25日に記事を書いた後、 WindowsXP SP2 の私の環境でUSBメモリーに置いた電卓ツール calc.exe を使って autorun.inf をテストしましたが自動起動は確認できませんでした、と26日に追記しました。そしてUSBメモリーの autorun.inf そのものを自動起動書式を偽装しながらウィルスプログラムそのものが書かれているのではないかと書きましたが、その考察は間違っていました。auturo.inf はやはりテキストファイルであり、ウィルス実行ファイルを起動することができます。
但し、私のパソコンでUSBメモリーを挿すドライブでの自動再生設定は、「フォルダを開いてファイルを表示する エクスプローラ使用」の設定にしてあります。従って、USBメモリーを挿した時には、既にご紹介したIPAの記事の「図1-2 マイコンピュータ画面」のようには開かず、リムーバブル・ディスク(F)が開いて中のファイルを一覧表示する形になります。すなわち「図1-4.Windows エクスプローラ画面2」の右側だけの状態に表示するのです。この状態では自動起動しません。
フォルダー操作をして「図1-3.Windows エクスプローラ画面1」のようなエクスプローラ表示にしてから、右側の「リムーバブル・ディスク(F)」をクリックしてフィルターを開こうとすると calc.exe は自動起動しました。併せてテストしたこのフォルダーのアイコンを指定することもできました。
USBメモリーで自動起動が可能な autorun.inf の書式はCD-ROMで使う場合よりスクリプトが増えます。私はその実例が書かれた記事を読んで、手元で上記のように確認できましたが、ここでは具体時に書かないことにしておきます。
USBメモリーを挿すドライブの「自動再生」設定を全て「フォルダを開いてファイルを表示する エクスプローラ使用」の設定にしておけば、私の場合と同様に挿した途端に起動する事は無いと思います。CD-ROMと違ってUSBメモリーから音楽や動画を自動再生させる必要は無いでしょう(^o^)
ご存じのように画像、動画、エクセルやワードのファイルであってもウィルス、ワームを仕込むことは可能です。どこかで入手したそれらを不用意に開くことは絶対に避けねばなりません。Windowsパソコンの教訓-買ったままのデフォルトで使うことほど怖い事はない!
2008年5月24日夜のNHK山梨のニュースで笛吹市の学校ウィルス汚染問題の解決について続報が報じられました。私はこのケースを2008.03.07記事で「USBメモリーの使用公認は変です」として書いています。今回はこのUSBメモリーの事が中心で研究会が開かれ、私も的確な情報を得ることができました。
「学校のPCウィルス対策」 というNHKニュースは5月25日の「やまなしICT利活用研究会 情報交換のブログ」に掲載されていますのでご参照ください。
笛吹市教育委員会の窪田一男さんはインターネットにもかなり練達の方です。私は日頃ウィルスのニュースには無関心に近い--自分のパソコン、インターネット環境の安全対策をしているし、クライアントさんにも同様なお勧めをしている--、それ故に窪田さんが今回のUSBメモリを通じて侵入するウィルスについて Autorun.inf が使われているとお話された時にやっと問題のヒントが掴めました。Autorun.inf は私もCD-ROMなどを作成した時に同梱する場合があります。しかし日頃の不勉強で今回のようにUSBメモリーから入る理由が分からなかったので、これで納得しました。トレンドマイクロなどの過去記事を確認してみるとこの事は書かれていましたが、TMとのお付き合いはしていないのでサイトはろくに読んでいません(^_^;)
窪田さんがご紹介になった記事のひとつは、 「USB メモリを安易にパソコンに接続しないように!」です。これは 独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC) 2007年7月3日の記事です。サブタイトルは「USB メモリなどの外部記憶媒体からウイルス感染しないために!!」
要点としてはUSBメモリーが汚染されているかどうかをチェックするにはパソコンに接続してUSBメモリーのフォルダー開き、ウィルスチェックソフトを使う必要があります、しかし、汚染されているUSBメモリーをそのまま挿入し開いたら、autorun.inf の動作でウィルスが起動してしまうというジレンマの解決法です。自動実行させずにUSBメモリーを挿して開くには左側の[Shift]キーを押しながら挿すことで防げるというものです。その後の操作についてはIPAの記事を参照してください。オペレーティングシステム(Windows Vista とそれ以外)によってUSBメモリー中の autorun.inf の動作が異なるようです。
私は何か危ないと感じた時はLANケーブルを抜いてからファイル確認などの操作を始めるようにしています。オフラインにしておけば外から呼び込む事や中味を取り出される事は防げるからです。
窪田さんのもう一つのアドバイスは、USBメモリーに autorun.inf というフォルダーを作っておくこと、中は空で良い。万一パソコンに居るウィルスがUSBメモリーに侵入感染するために autorun.inf を作ろうとしても既にあるために警告表示になる、同じ名前のファイルは作れないからです。その段階でユーザーが気付いて防御できるというものです。
このページにあるように、外部記憶装置(USB、CD/DVDドライブなど)の起動設定については使い勝手とのジレンマになりそうです。同じ事は Internet Explorer や Outlook Express にも言えることです。安全に使うかリスクを犯して便利に使うかの二者択一しかありません、マイクロソフト製品に頼ってインターネットを使っている限り(^o^)
私はここでは、『このあと▼指紋とパスワードで認証し、本人以外はデータを見ることができない外部記憶装置や▼アクセスすることはできてもデータをコピー出来ない最新のシステムが紹介され、出席者は興味深そうに聞いていました。』について補足しておきます。
サイエンスパーク(株)のNonCopy PUPPYという製品が紹介されました。指紋認証付きUSBメモリーです。製品としては 256MB と 1GB があり、標準価格は22千円から27千円程度のようです(現在、普通の1GB なら2千円以下で手に入ります)。このNonCopy PUPPYの特長は挿したパソコンへの移動、コピーができない、クリップボード機能も殺してしまうこと、パソコンはインターネットから切断されること、すなわち完全なスタンドアロン・パソコンとなってパソコンにインストール済みのソフトを使ってUSBメモリーの中を操作できる。このUSBメモリーからファイルを取り出せるのはマスター登録したパソコンのみということ。いわば自宅作業が必要な業務に適しているということになります。
そのマスター登録したパソコンでは通常のUSBメモリーは使えなくする方法もサイエンスパーク社には準備があるそうです。そのソフトとセットで使うことが最適な使用法ということになるでしょう。
(株)サスライトのSASTIKというツールの紹介もありました。耳慣れない言葉ですが、「シンクライアント」とはいわば銀行のATMのようなものと考えればよいと思います。これはUSBメモリーではありません。SASTIKの特長は誰のパソコンでもインターネットに繋がっていれば、これを挿すことでそのパソコンを自分流の使い方でカスタマイズできて、自分のサーバーにアクセスして作業ができる。終了してSASTIKを抜けば、そのパソコンには何も痕跡が残らないというものです。パソコンと自分のサーバーはSASTIK サーバーが仲介しますが、パスワード認証だけでなく挿されているハードそのものを認識するので、抜いた後に万一パソコンに何かが残留していてもそれを利用したアクセスはできないということです。使用中のパソコンにデータを取り込むことはできず、サーバー内に置かれたファイルを直接操作することになります。これは個人利用というよりサーバーを動かしているような組織で外から作業したい時に使えるツール(システム)ということになります。
なお、この日の研究会で使われたのはパイオニア(株)のEPD-C507Eというプラズマ電子情報ボード(電子黒板)でした。こんなものがあるなんて! 今の子供たちは幸せだ、隣の子とおしゃべりしていて先生から白墨が飛んでくること無い(^o^)