(1) USB メモリ利用時のセキュリティ対策の実態

　「2008年度第2回情報セキュリティに関する脅威に対する意識調査」で、USB メモリにおけるセキュリティ対策に関する質問を行いました。

　図1-1によると、USB メモリの利用者の割合は、回答者全体の約60%を占めています。また、図1-2によると、USB メモリ利用者の中で、USB メモリのセキュリティ対策を実施しているという利用者は3人中2人にとどまっているという結果が出ています。

(ご参考)
　「2008年度第2回情報セキュリティに関する脅威に対する意識調査」(IPA)
　http://www.ipa.go.jp/security/fy20/reports/ishiki02

(2)利用面での対策

　IPA では、従来から USB メモリについて、以下のような利用面での対策を実施することを推奨してきました。

・自身が管理していないパソコンや不特定多数が利用するパソコンに、むやみに自身の USB メモリを挿さない。
・自身が管理していない USB メモリや所有者不明な USB メモリを、むやみに自分のパソコンに挿さない。

　しかし、図1-3の、USB メモリセキュリティ対策を実施している利用者の詳細をみると、「出所不明の USB メモリや、セキュリティ面で信用できない USB メモリを使用しないようにしている」や、「ネットカフェなどの公共のコンピュータや、セキュリティ対策が不明なコンピュータで USB メモリを使用しないようにしている」などの基本的な対策を行っている利用者が、半数程度、もしくはそれ以下という結果が出ています。
　USB メモリを利用している利用者は、IPA が推奨する利用面での対策を行うことをお勧めします。

(3)技術的な対策指針

　図1-3によれば、「勝手にウイルスが起動しないように、USB メモリの自動実行をさせないようにしている」といった対策を実施している利用者は、2割にも満たないという結果が出ています。
　自動実行機能とは、USB メモリをパソコンに挿した際、または USB メモリを認識したドライブをダブルクリックした際に、ファイルが自動的に実行される Windows の機能のことです。この機能のことを Autorun(オートラン)機能と呼ぶ場合もあります。
　USB メモリを介して感染を拡大するウイルスは、接続対象のパソコンに感染するために自動実行機能を悪用します。このようなウイルスの感染を防ぐ確実な対策の一つとして自動実行機能の無効化があります。
　この対策は、現在 USB メモリを利用していない利用者でも、今後、自身のパソコンに USB メモリを挿すことはないと言い切れない場合は、実施しておくことをお勧めします。

(4) USB メモリの自動実行機能を無効化する方法

　2009年2月24日にマイクロソフト社から自動実行機能の無効化を適切に行うための更新プログラム、および手順が公開されました。
(ご参考)
　「Windows の自動実行機能を無効にする方法」(マイクロソフト社)
　http://support.microsoft.com/kb/967715/ja

　今回は、上述の情報を基に、USB メモリの自動実行機能の無効化を実施する利用者を増やし、安全に USB メモリを利用してもらう目的で、この対策についての詳細な手順を説明することとします。

　Windows のバージョンによって手順が異なりますので、自身のパソコンに対応した手順に従って実施してください。Windows のバージョンの確認方法については以下のサイトを参照してください。

(ご参考)
　「Windows のバージョン確認方法」(マイクロソフト社)
　http://www.microsoft.com/japan/security/bulletins/ver_win.mspx

　Windows のバージョンを確認した上で、自身のパソコンに対応した方法で自動実行機能の無効化を実施してください。各バージョンに対応した方法については以下の表1-1に従ってください。
　なお、以降で解説する方法を実施することで、USB メモリ以外のすべての外部記憶メディアにおいても、自動実行機能を無効化することになります。すなわち、CD や DVD の自動実行機能も無効化されることになりますので、注意してください。

表1-1: USB メモリの自動実行機能を無効化する方法に関する Windows のバージョン毎の対応表

Windows のバージョン	Vista Ultimate	Vista Business	Vista Home Premium	Vista Home Basic	XP Professional Edition	XP Home Edition	2000
方法	方法A	方法A	方法B	方法B	方法C	方法D	方法C

 

 

　また、これらすべての方法において、処置を誤ると深刻な問題が発生することがあります。処置を実施する際には十分注意してください。万一に備えて、以下のサイトを参考に、事前に「システムの復元」のポイントを作成してください。問題が発生した場合でも、処置前に作成した復元ポイントを指定して、「システムの復元」を実施することで状態を復元することができます。
(ご参考)
　Windows Vista のシステムの復元の解説（マイクロソフト社の「PCとーく」の情報）
　http://support.microsoft.com/kb/934854/ja
　「システムの復元　Windows XP」（マイクロソフト社）
　http://www.microsoft.com/japan/windowsxp/pro/
business/feature/performance/restore.mspx

(a) Windows Vista の場合

＜共通＞

Windows Vista の場合、「CD または他のメディアの自動再生」(※)の「ソフトウェアとゲーム」項目の設定(図1-4参照)によって、USB メモリを挿した時の動作が決定されています。しかも前回 USB メモリを挿した時の動作によってその設定が変更されますので、本来、利用者は毎回この設定を確認する必要があります。

※「CDまたは他のメディアの自動再生」: 「スタート」ボタンをクリック→「コントロールパネル」をクリック→「ハードウェアとサウンド」項目の中の、「CDまたは他のメディアの自動再生」をクリックすると図1-2の設定画面が表示されます。

 

(ご参考)
「更新プログラムが正しくインストールされたか確認する方法 - Windows Vista の場合」(マイクロソフト社)
http://www.microsoft.com/japan/security/bulletins/inst_history_vista.mspx

 

　以上の更新プログラムが適用されていることを確認した上で、Windows Vista Ultimate、および Windows Vista Business の場合は、以下の＜方法A>で自動実行機能を無効化させます。

 

　＜方法A＞
1.[スタート]ボタンをクリックし、[検索の開始] ボックスに「Gpedit.msc」と入力し、Enter キーを押し、ローカルグループポリシーエディタ画面を表示させます。管理者のパスワードを要求するダイアログボックスが表示された場合は、パスワードを入力して [OK] をクリックし、確認を要求するダイアログボックスが表示された場合は [続行] をクリックします。パスワードがわからない場合は、管理者にパスワードを確認してください。
2. [コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] を順に展開し、[自動再生のポリシー] をクリックします。
3. 詳細ウィンドウ領域で、[自動再生機能をオフにする] をダブルクリックし、設定画面を表示させます。(図1-5参照)。

4. 設定画面の中の[有効] をクリックし、[自動再生機能をオフにする] ボックスの [すべてのドライブ] を選択し、すべてのドライブで自動実行を無効にします。

 

　Windows Vista Home Basic、および Windows Vista Home Premium の場合は、グループポリシーエディタ画面が利用できないため、＜方法A＞は使えませんが、レジストリ情報を変更することで自動実行機能を無効化させることができます。
　以下の＜方法B＞で自動実行機能を無効化させます。

 

＜方法B＞
1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「regedit」と入力し、[OK] をクリックし、レジストリエディタ画面を表示させます。
2. レジストリエディタ画面で次のフォルダを見つけ、クリックします。
[HKEY_LOCAL_MACHINE](※)→[SOFTWARE]→[Microsoft]→[Windows]→
[CurrentVersion]→[policies]→[Explorer]
3. [Explorer]を右クリックし、メニューから[新規]−[DWORD(32ビット)値]と選択し、フォルダ内に作成された[新しい値]に[NoDriveTypeAutoRun] と設定します。[NoDriveTypeAutoRun]　を右クリックし、メニューから、[修正]を選択します(図1-6参照)。

※パソコンの全てのユーザに対して、自動実行機能を無効化させるため、[HKEY_CURRENT_USER]から、[HKEY_LOCAL_MACHINE]に変更。(2009年5月22日修正)

　以上のいずれかの方法を行うことで、「CD または他のメディアの自動再生」の設定に関係なく、USB メモリを挿しても常に自動再生の画面さえも出力されなくなるため、ウイルスが自動実行される危険性は解消されます。

 

(b)Windows XP、および Windows 2000 の場合

＜共通＞

(ご参考)
　「更新プログラムが正しくインストールされたか確認する方法」(マイクロソフト社)
　http://www.microsoft.com/japan/security/bulletins/inst_history.mspx

 

　以上の更新プログラムが適用されていることを確認した上で、Windows XP professional Edition および、Windows 2000 の場合は、以下の＜方法C＞で自動実行機能を無効化させます。

 

＜方法C＞
1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「Gpedit.msc」と入力し、[OK] をクリックし、グループポリシー画面を表示させます。
2. [コンピュータの構成]、[管理用テンプレート]を順に展開し、[システム] をクリックします(図1-8参照)。

3. 設定ウィンドウで、[自動再生機能をオフにする] をダブルクリックし、設定画面を表示させます。(Windows 2000 では、ポリシー設定の名前は [自動再生機能を無効にする] です。)

4.設定画面の中の [有効] をクリックし、[自動再生機能をオフにする] ボックスの [すべてのドライブ] を選択し、すべてのドライブで自動実行を無効にします。

　Windows XP Home Edition の場合は、グループポリシー画面が利用できないため、＜方法C＞は使えませんが、レジストリ情報を変更することで自動実行機能を無効化させることができます。
　以下の＜方法D＞で自動実行機能を無効化させます。

 

＜方法D＞
1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「regedit」と入力し、[OK] をクリックし、レジストリエディタ画面を表示させます。
2. レジストリエディタ画面で次のフォルダを見つけ、クリックします。
[HKEY_LOCAL_MACHINE](※)→[SOFTWARE]→[Microsoft]→[Windows]→
[CurrentVersion]→[policies]→[Explorer]
3. [Explorer] を右クリックし、メニューから[新規]−[DWORD値]と選択し、フォルダ内に作成された [新しい値]に[NoDriveTypeAutoRun] と設定します。[NoDriveTypeAutoRun]を右クリックし、メニューから、[修正]を選択します (図1-9参照)。

※パソコンの全てのユーザに対して、自動実行機能を無効化させるため、[HKEY_CURRENT_USER]から、[HKEY_LOCAL_MACHINE]に変更。(2009年5月22日修正)

　以上のいずれかの方法を行うことで、「マイコンピュータ」からUSBメモリを認識したドライブをダブルクリックしてもプログラムは実行されず、ファイルの一覧が表示されるだけとなりますので、ウイルスが自動実行される危険性は解消されます。

 

（ご参考）
　「パソコンユーザのためのウイルス対策 7 箇条」
　http://www.ipa.go.jp/security/antivirus/7kajonew.html
　「パソコンユーザのためのスパイウェア対策 5 箇条」
　http://www.ipa.go.jp/security/antivirus/spyware5kajyou.html

　ウイルスの検出数^(※1)は、 約15.6万個と、3月の約11.9万個から31.3%の増加となりました。また、4月の届出件数^(※2)は、1,438件となり、3月の1,674件から14.1%の減少となりました。

※1 検出数 ： 届出にあたり届出者から寄せられたウイルスの発見数（個数）
※2 届出件数： 同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
　・4月は、寄せられたウイルス検出数約15.6万個を集約した結果、1,438件の届出件数となっています。

　検出数の1位は、W32/Netsky で約10.5万個 、2位は W32/Downad で約4万個、3位は W32/Mytob で約3千個でした。

表3-1　不正アクセスの届出および相談の受付状況

		11月	12月	1月	2月	3月	4月
届出(a) 計		18	10	10	9	20	9
	被害あり(b)	12	7	7	6	13	6
	被害なし(c)	6	3	3	3	7	3
相談(d) 計		39	38	29	35	40	39
	被害あり(e)	19	19	13	14	11	11
	被害なし(f)	20	19	16	21	29	28
合計(a+d)		57	48	39	44	60	48
	被害あり(b+e)	31	26	20	20	24	17
	被害なし(c+f)	26	22	19	24	36	31

（1）不正アクセス届出状況

　4月の届出件数は9件であり、そのうち何らかの被害のあったものは6件でした。

（2）不正アクセス等の相談受付状況

　不正アクセスに関連した相談件数は39件であり、そのうち何らかの被害のあった件数は11件でした。

（3）被害状況

　被害届出の内訳は、侵入3件、なりすまし1件、不正プログラム埋込1件、などでした。
　「侵入」の被害は、ウェブサーバ上に運営者が意図しないコンテンツを設置されていたものが2件(内1件はフィッシング^※に悪用するためのコンテンツ)、不正プログラムを置かれていたものが1件、でした。侵入の原因は、セキュリティ設定の不備が1件、SSH^※で使用するポートへのパスワードクラッキング^※攻撃と思われるものが1件、でした(残りの1件は原因不明)。

※フィッシング（Phishing） : 正規の金融機関など実在する会社のメールやウェブページを装い、それを見た利用者のIDやパスワードなどを詐取しようとする行為のこと。
※SSH (Secure Shell) : ネットワークを介して遠隔のコンピュータと通信するためのプロトコルの一つ。
※パスワードクラッキング (password cracking) : 他人のパスワードを、解析するなどして探り当てること。ブルートフォース攻撃(総当り攻撃)や辞書攻撃といった手法があり、クラッキング用のプログラムも存在する。

（4）被害事例

　4月の相談総件数は1,668件でした。そのうち『ワンクリック不正請求』に関する相談が572件（3月：503件）、『セキュリティ対策ソフトの押し売り』行為に関する相談が3件（3月：3件）、Winny に関連する相談が4件（3月：6件）、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談が0件（3月：1件）、などでした。

　表4-1　IPA で受け付けた全ての相談件数の推移

		11月	12月	1月	2月	3月	4月
合計		713	839	960	1,051	1,406	1,668
	自動応答システム	363	458	529	521	758	962
	電話	288	331	390	472	597	651
	電子メール	62	49	39	57	49	55
	その他	0	1	2	1	2	0

（備考）
IPA では、コンピュータウイルス・不正アクセス、Winny 関連、その他情報セキュリティ全般についての相談を受け付けています。

メール	（これらのメールアドレスに特定電子メールを送信しないでください）
電話番号	03-5978-7509 （24時間自動応答、ただし IPA セキュリティセンター員による相談受付は休日を除く月〜金、10:00〜12:00、13:30〜17:00のみ）
FAX	03-5978-7518 （24時間受付）

「自動応答システム」　：　電話の自動音声による応対件数
「電話」　：　IPA セキュリティセンター員による応対件数
合計件数には、「不正アクセスの届出および相談の受付状況」における『相談(d) 計』件数を内数として含みます。

 
図4-1　ワンクリック不正請求相談件数の推移

主な相談事例は以下の通りです。

(i) 怪しいメールの添付ファイルを開いたらウイルス感染？

相談	無料で使えるウェブメールで、身に覚えのないメールが自分宛に送られて来た。そのメール添付ファイルをウイルス対策ソフトでチェックしたら問題無かったので、ファイルを保存して開いたら、デスクトップ一面にエラー表示がたくさん出て来るようになった。ウイルスに感染したのか。パソコンは、初期化した。
回答	当該ファイルを様々なウイルス対策ソフトでチェックしたところ、複数のソフトでウイルスを検知しました。あるウイルス対策ソフトで何も検知されなくても、他のウイルス対策ソフトではウイルスとして検知される場合があります。特に、身に覚えのないメールの添付ファイルや出所の不明なファイルなどは、ウイルスチェックなどする以前に、開こうとしてはいけません。 もし、どうしても開く必要がある、ということであれば、当該ファイルをできるだけ多くのウイルス対策ソフトで検査してみることをお勧めします。「VIRUS TOTAL」は、オンラインで疑わしいファイルを解析してくれるサービスです。無償で、同時に40種類程度のウイルス対策ソフトによるチェックが可能です。 （ご参考） VIRUS TOTAL http://www.virustotal.com/jp/

(ii) 不正アクセスされているかも知れない

相談

数年前から、不正アクセスを受けてパソコンを乗っ取られていると思う。症状は、 　 ・ウイルス対策ソフトの動きを無効化される 　 ・パソコンをシャットダウンしようとすると、「誰かログインしている」と出る どうすれば良いか。無線LANを利用している。

回答

今のままだと原因究明は難しいため、一度パソコンを初期化し、以下の手順で様子を見ることで、問題を切り分けていくことをお勧めします。 　 ・パソコン、ルータを初期化。無線LANは使用せず、有線LANで。 　 ・ネットにつなぎ、OSやウイルス対策ソフトをアップデートして最新状態に。 　 ・パッケージソフトなど信頼出来るソフトのみ、必要最小限入れる。 　 ・ウェブ閲覧は、ニュースサイトなど、信頼のおけるサイトを見るだけにし、会員制サイトへのログインや、掲示板への書き込みなどは避ける。 　 ・しばらく様子を見て、問題が無いようだったら一つずつインストールするソフトを増やす。 　 ・問題無いようだったら、信頼おけそうなサイトにはログインして様子を見る。 （ご参考） IPA - パソコンユーザのためのウイルス対策7箇条 http://www.ipa.go.jp/security/antivirus/7kajonew.html

　インターネット定点観測(TALOT2)によると、2009年4月の期待しない(一方的な)アクセスの総数は10観測点で110,995件、総発信元(※)は41,366箇所ありました。平均すると、1観測点につき1日あたり138の発信元から370件のアクセスがあったことになります(図5-1)。
※総発信元：TALOT2 にアクセスしてきた発信元の総数。同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合でも、発信元数は1としてカウント。

　TALOT2 における各観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。

【図5-1 1観測点・1日あたりの期待しない(一方的な)平均アクセス数と発信元数】

　2008年11月〜2009年4月までの各月の1観測点・1日あたりの平均アクセス数とそれらのアクセスの平均発信元数を図5-1に示します。4月の期待しない(一方的な)アクセスは3月と比べて減少しました。

　3月と4月の宛先(ポート種類)別アクセス数の比較を図5-2に示します。
　アクセス数の上位10ポートにおいて、3月と比較して大きく変化があったポートはありませんでした。平均アクセス数の減少に影響を与えたのは、上位10ポート以外のポートへのアクセスであり、3月に比べて、約1万3千件の減少(3月比で約70%)となりました。これは、3月に、1観測点においてのみ、一時的に観測されていた原因不明のアクセスが複数あったのに対して、4月には同様のアクセスが観測されなかったことが影響しています。

【図5-2　宛先(ポート種類)別アクセス数の比較(3月/4月）】

以上の情報に関して、詳細はこちらのサイトをご参照ください。

• 別紙3_インターネット定点観測（TALOT2）での観測状況について

届出の詳細については以下の PDF ファイルをご参照ください。

• 本紙_コンピュータウイルス・不正アクセスの届出状況[4月分]
• 別紙1_コンピュータウイルスの届出状況について［詳細］
• 別紙2_コンピュータ不正アクセスの届出状況について［詳細］

@police：http://www.cyberpolice.go.jp/
トレンドマイクロ株式会社：http://jp.trendmicro.com/jp/home/
マカフィー株式会社：http://www.mcafee.com/japan/

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
（ISEC：Information technology SEcurity Center）
TEL：03-5978-7527　FAX：03-5978-7518
E-mail：
　　　　　（このメールアドレスに特定電子メールを送信しないでください）
URL：http://www.ipa.go.jp/security/