依然として被害が絶えない「USBメモリ経由のウイルス感染」

USBメモリを介したマルウェア感染が、相変わらず後を絶ちません。情報セキュリティ上のUSBメモリのリスクはかなり以前から喚起されているため、最近では不用意な利用はかなり減ってきたようにも見えます。しかし、PCの間で極めて手軽にデータをやりとりできるその利便性の高さはやはり魅力的で、代わりになるようなデバイスもまだないため、依然として広く使われています。そのため、USBメモリを媒介したマルウェア感染も一向に止む気配がありません。加えて、最近のPCはメモリカードの挿入スロットを備えているため、メモリカードを媒介したマルウェア感染の事例も報告されています。

これらリムーバブルデバイスを介した感染は、あっという間に周囲に広がってしまうのが特徴です。マルウェアに感染しているPCにUSBメモリを挿入すると、マルウェア本体の実行ファイルと、デバイスを挿した際にシステムによって自動実行される「autorun.inf」ファイルがUSBメモリにコピーされます。そのUSBメモリが別のPCに挿入されると、自動的にautorun.infが実行され、マルウェアの実行ファイルとautorun.infがPCにコピーされて感染します。そしてそのPCにまた別のUSBメモリが挿入されると、やはりこれらのファイルがUSBメモリにコピーされ、それが別のPCに挿されるとまた感染して……といった具合に、USBメモリを介して自らをどんどん複製しながら、感染範囲を拡大していきます。

従って、感染拡大を食い止めるには、リムーバブルデバイスが挿入された際にautorun.infが自動実行されないよう、PCの設定を変更するのが有効です。こうすることで、autorun.infが実行される前にポップアップ画面が開くようになり、不審なプログラムが勝手に実行されるのを未然に防ぐことができます。

その上で、利用するUSBメモリに対して定期的にウイルススキャンを実行したり、アンチウイルスソフトをUSBメモリに導入したりして、安全であることが確認されたリムーバブルデバイスだけを利用するようルールを徹底する必要があります。またこれらのデバイスは、不用意な利用によりマルウェアに感染しないよう、IT部門やセキュリティ部門が適切に管理し、用途をあらかじめ明確化しておかなくてはなりません。

感染経路の遮断とともに万が一の感染に備えた対策も

ただし上記のような対策を講じた上で、ユーザーに対して「利用が許可されたリムーバブルデバイス以外は決して使わないように」と強く要請したとしても、近年の攻撃の中には対策を巧妙にくぐり抜けてくるものが多数あります。例えば、マルウェア作成者がアイコンやファイル、フォルダ名をユーザーにとって馴染みのあるものに偽装することで、巧みにユーザーを欺くような手口も存在します。

弊社で確認できた攻撃手法の中には、マルウェアのファイルがWindowsのシステムフォルダと同じ名前とアイコンを備えており、一見しただけではマルウェアだとなかなか気付けないものもありました。しかしよくよく見てみると、アイコンの実体はCD-ROMドライブに挿入されたリムーバブルディスクの中に潜むマルウェアのファイルで、これが自動実行されることによってPCが感染する仕掛けになっていました。

このような巧妙な手口が使われると、たとえ運用ルールを徹底していたとしても感染を100%完ぺきに防ぐのは難しいでしょう。また近年では働き方改革のために、PCを社外に持ち出してテレワーク環境で仕事を行うケースが増えてきました。そうなると、リムーバブルディスクの運用ルールが社外でもきちんと守られているか確認するのは難しくなってきます。結果、自宅などで不用意に私物のUSBメモリを利用したがためにPCが感染してしまい、それを社内ネットワークにつないだとたん、社内に一気に感染が拡大してしまうような事態が起こり得ます。

このように、現時点では残念ながらどれだけ対策を講じても、リムーバブルデバイスを介したマルウェア感染を100%防ぐのは難しそうです。であれば、万が一感染してしまった際に備えるための対策を強化し、たとえ感染してもそれ以上拡大しないよういち早く封じ込めることが重要になってきます。

そのための手段として現時点で最も有効だと見なされているのが、EDR(Endpoint Detection and Response)です。PC環境を常時監視し、もし不審な動きがあったら即座に検知し、その元凶を突き止めることができます。そのため、万が一USBメモリ経由でPCがマルウェアに感染しても、本格的な攻撃が始まる前にその存在を検知・排除できます。

なお弊社が提供するEDR製品「Cybereason EDR」なら、遠隔地にあるPCの感染も即座に検知し、「ネットワークからの隔離」「不審なプロセスの停止」といった一次対応を管理者がリモートから実施できます。そのため、在宅勤務している従業員が自宅で利用しているPCが感染した場合も、即座にリモートから対処できます。ユーザー側も、万が一PCが感染してしまったとしても、その影響が軽微であれば即座に利用をやめたりIT部門に送り届ける必要はなく、必要最低限の対応だけで業務を継続できるメリットがあります。

「USBメモリ経由のサイバー攻撃に対処したい。でもユーザーの利便性は落としたくない」。そう考えている企業にとって、Cybereason EDRは極めてバランスの取れたソリューションだと言えるでしょう。また弊社ではNGAV製品である「Cybereason NGAV」も提供しています。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPPEDRMDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド