米政府のコンピュータセキュリティ対策チームのUS-CERTは21日(現地時間)、Microsoft WindowsのAutoRun機能に関する緊急警告とその対策を発表した。

AutoRun機能などを利用して急拡散を続けている「W32.Downadup」ワームの被害拡大を受け、MicrosoftではRPCの脆弱性を修正するパッチを公開したほか、AutoRun機能を無効にするためのレジストリ修正方法を示している。だがUS-CERTによれば、Microsoftの対策だけでは不完全で、キャッシュされたAutoRun情報を基に被害が拡大する危険性があると警告する。

W32.Downadupは昨年末から1月上旬に急拡大が報告された新種のワームで、WindowsのRPCに関する脆弱性を利用してリモートコードを実行、感染範囲を拡大する。同脆弱性に関してはすでにMicrosoftから対策パッチが出されており、対策後は通常の利用であれば感染する心配はない。だが、その亜種としてUSBメモリ経由や鍵としての強度が弱いパスワードのシステムに侵入するタイプのワームが出現したことで、さらに被害が拡大することとなった。

USBメモリ経由での侵入は、Windowsに標準実装されているAutoRun機能を利用している。Windowsが外付けドライブまたはリムーバブルドライブを認識した際、ルートフォルダにある「autorun.inf」を実行する仕様になっているが、W32.Downadupでは感染に際してautorun.infを自動作成してさらに拡散を試みる。AutoRun経由での感染はUSBメモリのほか、CDやDVD、さらにネットワークドライブもその対象となるため、ネットワーク接続された環境やオフィス内でのファイルのやり取りで感染する危険性が非常に高くなる。

US-CERTは21日に公開した文書の中で、図版つきでAutoRunにおける感染メカニズムを説明している。またAutoRunの無効化については、MicrosoftがMS08-038で解説しているレジストリの書き換え方法を紹介する。下記のテキストをメモ帳(Windows Notepad)にコピーして「autorun.reg」の名前で保存し、実行するだけでいい。Windowsを再起動した時点でAutoRun機能が無効化される。

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

だがUS-CERTによれば、これだけではAutoRun機能を完全に無効化できないという。Windowsではautorun.infの情報をキャッシュする仕組みがあり、過去に1度でも接続されたデバイスの情報を記録しているという。そのためキャッシュが残った状態でAutoRunを無効にしても、依然としてAutoRunを経由したワームの拡散が発生する危険性があると説明する。その場合、下記のレジストリキーを完全に削除して対策を行う必要がある。ただし、レジストリキーの削除でAutoRun機能そのものが削除されることになるので、実行にあたっては注意してほしい。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2