本稿では2008年下半期に発生したインシデントの発生状況、特に攻撃等に用いられた攻撃手法について分析する。上半期の報告においても2007年あたりから利益を得ることを目的としていると思われる攻撃の増加について述べているが、この傾向は依然強まっていると考えられる。上半期に引き続き、SQLインジェクションによりWebサイトのコンテンツを改ざんし、ダイナミックDNS等を用いて指定される海外のサーバよりマルウェアをダウンロードさせるといったタイプの攻撃が引き続き観測されている。
 　その一方で、USBメモリの自動実行機能を悪用してUSBメモリをパソコンに挿入した際に感染を広げるタイプのコンピュータウイルスの被害も広がっている。

 　2007年までの、企業官公庁等組織における情報セキュリティインシデントの動向としては、暴露型ウイルス感染による匿名ファイル共有ネットワークへの自宅からの情報漏えい、パソコンや外部記憶媒体の紛失・盗難、電子メールの宛先の間違いや第三者のアドレス列挙による電子メールアドレスの漏えいなど、ユーザのミスや管理の不備に起因する事故が多く報告されてきた。
 　2007年の後半から2008年上半期にかけては、SQLを使用してデータベースにアクセスするWebアプリケーションの脆弱性を攻略するというタイプのインシデントが多く確認された。これらの攻撃では、データベースに格納されているクレジットカードなどの情報を盗み出したり、Webページの内容を改ざんし、アクセスしたユーザのパソコンのブラウザの脆弱性などを利用して悪意のあるプログラムをダウンロードさせるといった手口が多く見られた。2008年下半期においても、Webアプリケーションの脆弱性攻略による不正アクセスが多く発生している。
 　2008年夏ごろから、主にアジア圏を中心に被害が拡大していったUSBメモリ等外部記憶媒体を介して感染を広げるタイプのウイルスが日本に多く上陸した。USBメモリを介して感染するウイルスに関しては次項において詳細に解説する。

 　以前よりUSB等の外部記憶媒体を接続した際に自動実行する機能についてはその危険性が指摘されており、一部のセキュリティ専門家達による指摘はおこなわれていたものの、大規模なウイルス感染等の事態に発展することはなかった。これまで広く利用されてきたWindows XP では、CD-ROM の場合にはディレクトリ内に設置された Autorun.inf という設定ファイルに基づき、ドライブ挿入時の自動実行処理の内容が規定されていた。
 　しかし、通常のUSBメモリでは、メモリをパソコンに挿入しただけではプログラムを自動実行する機能はなく、ユーザが当該ドライブをダブルクリックするか、メモリ領域の一部をCD-ROMとしてパソコンに認識させる特殊なUSBメモリを使用する必要があった。
 　一方、Windows Vista では、通常のUSBメモリでも最上位のフォルダ内にAutorun.inf が設置されていればその内容にしたがって自動実行が行われる仕様とされた。この結果、Autorun.infによって起動されるコンピュータウイルスを含むUSBメモリを挿入されたコンピュータは、その実行ファイルを自動的に実行し、当該ホストをウイルスに感染させるだけでなく、他のUSBメモリなど外部記憶媒体が挿入された場合においてはこれらの媒体に感染を広げることとなった。
 　なお、USBメモリの大容量化と低価格化が急激に進み、利便性の高さから利用機会が増えていること、外部記憶媒体におけるウイルス対策の必要性を意識していない利用者が多数存在していることが感染拡大の要因であると推測される。
 　夏以降、国内でも多くの感染がみられ年末に向けて感染を拡大していった同種のコンピュータウイルスは、関連するファイルに対して隠しファイルの属性を設定しており、隠しファイルを表示するよう設定を変更しても常に隠しファイルを表示しないように設定を変更し続ける機能を持っていたため、一般のユーザがこのファイルの存在に気づくことがないように工夫がされていた。USBメモリを介して感染を広げるコンピュータウイルスは、被害の拡散が局地的ではあるが、自宅のパソコンで使用したUSBメモリがウイルスに感染し、そのUSBメモリを組織内に持ち込んで利用したことで、組織内のパソコンに感染が拡大した事例も確認されている。また、数多くの亜種が出現し、既存のウイルスに外部記憶媒体への感染機能を追加したものも確認された。このようなコンピュータウイルスは、急速にインターネット上で感染を広げるような最近のウイルスとは大きく傾向が異なったために当初ウイルス対策ソフトでの検知も難しい状態が続いた。
 　ウイルスによる被害が拡大すると、USBメモリを挿入しただけでは内容を自動実行しないはずの　Windows XP でも多くの被害が観測された。これは、Windows XP ではUSB挿入時に表示されるアイコンをダブルクリックするとAutorun.infに指定された内容を実行するという機能によるものであった。多くのユーザが挿入したUSBメモリの内容を閲覧するために表示されたアイコンをダブルクリックするためである。Autorun.inf に指定された内容を実行せずにフォルダの内容を閲覧するためには、 右クリックから「開く」を選択するように操作しなければならない。
 　このようなリスクの回避策として、Windows Vistaにおいては外部記憶媒体接続時の自動実行機能の設定を停止する方法が推奨されている。またWindows XP においては、USBメモリアイコンをダブルクリックした際のAutorun.infに指定される内容の実行を停止するためのレジストリ設定の変更などが推奨されている。ただし、これらの設定変更をおこなった場合に一部の製品等で本来想定していた自動実行が行われなくなるために製品の挙動が想定されるものと異なるなどの影響を受ける場合がある。また、使用しているOS(Windows)のバージョンや修正プログラムの適用状態によって動作が異なるなどの症状が報告されている。

 　本稿では、2008年下半期におけるインシデントの新たな動向として、USBメモリを介して感染を広げるコンピュータウイルスの増加をとりあげた。本事象については広く利用されているWindows プラットフォームにおいてWindows XPの際に危険性が予見できたはずのUSBメモリコンテンツの自動実行という機能がWindows Vistaにおいて実装されたために発生したものであった。また、自動実行機能の仕様がWindows XPの時点とWindows Vistaにおいても細かな点まで様々な変更点があり挙動に相違が生じているため、対応の手法の伝搬などにおいても様々な混乱を生じている。すでにUSBメモリ等を介した感染とネットワークを通じた感染の両方を感染経路とするハイブリッド型のコンピュータウイルスが出現しており、今後の技術的展開の動向に注意をしていく必要がある。

「コンピュータウイルス・不正アクセスの届出状況[11月分]について」，情報処理推進機構
http://www.ipa.go.jp/security/txt/2008/12outline.html