最近の Conficker の発生に対応して、Microsoft は Windows 7 の AutoRun 機能にいくつかの変更を加えました。
Autorun の主な目的は、コンピュータ上で開始されたハードウェア アクションに対するソフトウェアの応答を提供することです。自動実行には次の機能があります。
– ダブルクリック
– コンテキストメニュー
– 自動再生
これらの機能は通常、リムーバブル メディアまたはネットワーク共有から呼び出されます。自動再生中に、メディアの Autorun.inf ファイルが解析されます。このファイルは、システムが実行するコマンドを指定します。多くの企業は、この機能を使用してインストーラーを起動します。 AutoRun は、CD または別のメディアがコンピュータに挿入されたときに一部のプログラムを自動的に起動するために使用されます。
特定のマルウェアは AutoRun の機能を利用し始め、トロイの木馬を装ってマルウェアをコンピュータに侵入させる一見無害なタスクを人々に提供します。その後、マルウェアは、そのコンピュータに接続される将来のデバイスに同じトロイの木馬を感染させます。 Conficker の詳細については、Microsoft Malware Protection Center を参照してください。
AutoRun メカニズムを使用してマルウェアが拡散するのを防ぐために、AutoPlay は非光学式リムーバブル メディアの AutoRun 機能をサポートしなくなります。つまり、自動再生は CD と DVD では機能しますが、USB ドライブでは機能しません。
写真が保存されている USB フラッシュ ドライブの次の例では、マルウェアは「フォルダーを開いてファイルを表示する」という無害なタスクとして登録されます。最初の「フォルダーを開いてファイルを表示する」(赤枠) を選択すると、マルウェアが実行されることになります。ただし、2 番目のタスク (緑色で囲まれた部分) を選択すると、Windows タスクを安全に実行できます。
同じことを行うように見えるタスクが 2 つあるのはなぜなのか、ほとんどの人は混乱するでしょう。
Windows では、リムーバブル光メディア (CD/DVD) ではないデバイスの自動再生ダイアログに自動実行タスクが表示されなくなります。これは、これらのエントリの作成元を特定する方法がないためです。それは IHV、人、またはマルウェアによってそこに置かれたのでしょうか?この AutoRun タスクを削除すると、マルウェアによって悪用される現在の伝播方法がブロックされ、顧客の保護が維持されます。ユーザーは、コンピューターにインストールされている他のすべての自動再生タスクに引き続きアクセスできます。
これらの変更により、写真が含まれ、マルウェアに感染した USB フラッシュ ドライブを挿入した場合、表示されるタスクはすべて、コンピュータ上に既に存在するソフトウェアによるものであると確信できます。
一方、インストールするソフトウェアを提供する CD を挿入した場合、Windows はメディア作成プロセス中に ISV によって提供される AutoRun タスクを表示します。
この変更は間もなく Vista と XP にも反映される予定です。詳細については、E7 ブログ。
