オートラン・ウイルス感染の具体例
冒頭でオートラン・ウイルスに感染する流れをざっくりとご説明しました。そしてここではより深く理解を得られるように画像を使ってご説明します。なお、USB メモリの中には、「Autorun.inf」、「copy.bat」、「a.txt」という3つのファイルがあり、自動実行が行われるとパソコンの Cドライブに「a.txt」がコピーされます。
それでは「a.txt」がコピーされるところを確認しましょう。
USB メモリをパソコンに接続すると、以下の画面が表示されます。 Windows XP の場合は自動実行されませんので、「a.txt」はコピーされていません。しかし Windows Vista の場合はこれで自動実行されてしまいます。この画面が表示された段階ですでに「a.txt」がコピーされます。もしオートラン・ウイルスであれば、パソコンがウイルスに感染してしまいます。
次に Windows XP の自動実行の場面を再現していきます。「マイコンピュータ」をクリックします。
「マイコンピュータ」画面が開いたら、USB メモリのドライブをダブルクリックします。しかし、何回ダブルクリックしてもドライブの中が開きません。Windows XP は「マイコンピュータ」からドライブを開いたときに USB メモリ内の「Autorun.inf」が実行されます。
実際に自動実行が行われたかどうか検証してみましょう。 Cドライブを開くと、予定通り「a.txt」がコピーされています。もしこれがオートラン・ウイルスであれば、感染していました。
なお、これは USB メモリだけの話ではありません。たとえば NAS(ネットワークに接続できるハードディスク)などのマイコンピュータに表示されるすべてのドライブも同じです(自動実行が有効になっています)。もしそれらのドライブに「Autorun.inf」が埋め込まれている場合は、マイコンピュータからドライブをクリックしたときに自動実行されてしまいます(オートラン・ウイルスが潜伏している場合はパソコンがウイルスに感染します)。
もし自分で試してみたい方は、以下の画像のとおりテキストファイルで作成して「Autorun.inf」又は「copy.bat」で「名前を付けて保存」してください。なお、「copy.bat」の「D:」部分は USB メモリで使われるドライブに変更してください(大半は F ドライブです)。また USB メモリ以外のドライブ(たとえば NAS など)でも試してみると良いでしょう。
自動実行を強制的に無効にする方法
まず Windows Vista ユーザーで、アップデートを無効にしている方は(設定をあえて変更しない限り有効になっています)、アップデートを行ってください。また Windows XP ユーザーの方は、Windows XP 用の更新プログラム (KB950582) でダウンロードし、インストールしてください。
なお、レジストリの変更を行いますので、必ずバックアップを作成してください。バックアップを作成するには「システムの復元」を開き、新しい復元ポイントを作成します。
*レジストリ操作に極端な作業ミスがあると Windows が起動しなくなり、「システムの復元」では元に戻せないこともあります。作業は慎重に行ってください。
1. レジストリエディタを開く
まず Windows Vista の場合は、画面左下の「 Windows マーク」ボタンをクリックし、すぐ上に表示される検索ボックスに「 regedit 」と入力し、キーボードの「 Enter 」キーを押します。
Windows XP の場合は、画面左下の「スタート」ボタン → 「ファイル名を指定して実行(R)」をクリックします。「ファイル名を指定して実行」画面が表示されたら、「 regedit 」と入力し、キーボードの「 Enter 」キーを押します。
2. レジストリを修正する
「レジストリエディタ」が開いたら、画面「左」項目の「HKEY_LOCAL_MACHINE」をダブルクリックします(+マークをクリックでも可)。
すると項目が展開するので、次に「SOFTWARE」をダブルクリックします。同じように「Microsoft」→「Windows」→「CurrentVersion」→「policies」とダブルクリックし進みます。
次に「Explorer]をクリックし、画面「右」項目の「NoDriveTypeAutoRun」をダブルクリックします。「DWORD 値の編集」画面が開いたら、「値のデータ(V)」に「ff」と入力し、「16進数(H)」にチェックを入れ、「OK」ボタンをクリックします。
設定が完了したら、Windows を再起動してください。これで自動実行が無効になります。
自動実行を手動で無効にする方法
会社や得意先のPCなど、他人のPCに上記設定を行うわけにはいきません。そこで自動実行を手動で無効にする方法をご説明します(特別な設定は行いません)。
1. USB メモリをPCへ接続するときは、キーボードの「Shift」キーを押しながら接続します。
2. USB メモリを開くときは「エクスプローラ」から中を開きます。
冒頭の「オートラン・ウイルス感染の具体例」で、USB メモリをパソコンに接続した段階でオートラン・ウイルスが自動実行されてしまうことをご説明しました( Windows Vista のみ)。そして USB メモリをパソコンに接続するときに、キーボードの「Shift」キーを押しおけば自動実行が無効になるため、オートラン・ウイルスにパソコンが感染することはありません。
また「マイコンピュータ」から開くとオートラン・ウイルスが自動実行されてしまいますが、この「エクスプローラ」から開くと自動実行されません。もしドライブ内にオートラン・ウイルスが潜伏していても「エクスプローラ」から開けば、自動的に感染することはありません。
「エクスプローラ」でドライブを開くには、「Windows マーク」又は「スタート」ボタンの上で「右クリック」し、エクスプローラをクリックします。
オートラン・ウイルスのよくあるQ&A
Q. 感染源は USB メモリだけ?
いいえ、音楽プレイヤーの iPod や NAS などからも感染します。「マイコンピュータ」に表示されるすべてのドライブに注意してください。
なお、2009年1月28日のコンピュータソフトウェア協会のセミナーに参加したときに、トレンドマイクロ株式会社 上級セキュリティエキスパート 黒木 直樹 氏がお話されていましたが、ユーザーがウイルス・サイトに飛ばされてしまったために USB ウイルスに感染した事例もあるそうです。
つまり外部で使用した USB メモリは特に要注意し、また怪しいサイトや迷惑メールは開かないといった総合的なウイルス予防も大切です。
Q. プリンタに内蔵されているハードディスクにも感染しますか?
業務用のプリンタ(プロッタ)にはハードディスクが内蔵されているものもありますが、これらには感染しません。あくまでも「マイコンピュータ」に表示されるドライブのみです。
Q. USB メモリ内のウイルスを駆除する方法は?
パソコン本体が正常であれば(オートラン・ウイルスに感染していなければ)、USB メモリ内のウイルスを削除するだけで駆除できます。
ただし注意点もあります。レジストリを修正し、自動実行を無効にしたり、手動で自動実行を無効にしても、オートラン・ウイルス本体をクリックしてしまうと(手動で実行してしまうと)、ウイルスに感染してしまうことです。
操作ミスするかな?! と半信半疑な方は、USB メモリ内の必要なデータをパソコンに移してから、USB メモリをフォーマットされると良いでしょう。