2011 年 2 月、マイクロソフトは、自動実行機能 (Autorun) を無効にする更新プログラム 971029 を、Windows XP および Windows Vista に対して Windows Update などの自動配信チャネルを通じて配信しました。その結果、2011 年 5 月の時点で、Windows XP SP3 で 62%、Windows Vista 全体では 74% と、Autorun 機能を悪用するマルウェアの感染率が大幅に低下したことを確認しました。(図 1)
図 1: 悪意のあるソフトウェアの削除ツール (MSRT) で削除された Autorun 悪用マルウェアの数
(参考:http://blogs.technet.com/b/mmpc/archive/2011/06/14/autorun-abusing-malware-where-are-they-now.aspx)
企業システムにおいては、特に Autorun 機能を悪用するマルウェアが多く見られ、ウイルス対策ソフトで検知されるマルウェアの上位 4 つを占めています(図 2)。USB 持ち込みにより何度も社内に侵入しようとした、あるいは 1 台のマシンが感染し、何度もネットワーク感染を試みたことが想像されます。
図 2. ドメインに参加しているコンピューターで検出された上位 10 種類(2010 年、世界統計)
(参考:セキュリティ インテリジェンス レポート第 10 版)
今回の更新プログラム 971029 の配信により企業への侵入ルートを一部制限することで、ウイルス対策ソフトによる検出率の減少を期待していたところ、実際に 2010 年 2 月から 5 月を見ると、企業システム向けのウイルス対策ソフト (Forefront 製品) で検出率が約 80% 減と大幅な減少を確認しました (図 3)。これらの結果から、Autorun 機能の無効化は、企業システムのマルウェア対策、あるいは不要なマルウェア侵入のアラートを減少させるのに非常に大きな効果があることがわかります。
図 3. セキュリティ製品で “autorun.inf” を悪用したマルウェアの検出数の推移
(Microsoft Security Essentials と Forefront 製品のグラフ)
(参考:http://blogs.technet.com/b/mmpc/archive/2011/06/14/autorun-abusing-malware-where-are-they-now.aspx)
このように、企業で Autorun 対策を実施することで大きな効果が期待できます。Autorun 対策には、主に次の 2 通りの方法があります。
- グループポリシーで Autorun を無効化:既にこの方法を実施済みのお客様も多いと思いますが、Active Directory をご利用のお客様にお勧めです。(サポート技術情報 967715 参考)
- 更新プログラム 971029 の適用:WSUS をご利用のお客様は、更新プログラム 971029 を承認していない場合、承認しクライアントに展開するようご検討ください。(サポート技術情報 971029 参考)
システム管理者の皆様、ぜひとも、この機会に Autorun の設定を見直しすることをお勧めします。