WindowsパソコンにUSBメモリなどの外部記憶装置を装着した際、指定されたプログラムを自動的に実行させる設定ファイルのこと。
近年はこの機能を悪用したマルウェアが多発し、情報漏洩をはじめ深刻な被害が発生した。その後各方面から対策が取られているが、今なお危険度が高い。
一般的な意味
外部記憶装置をWindowsパソコンに装着した際、指定されたプログラムを自動的に実行させる機能のことを「オートラン」と言う。
例えば、CDやDVDなどのディスクをドライブに装着した際に「インストーラ」や「スタート画面」「メニュー画面」を起動させるのに用いられている。また、USBメモリやSDカードなどでも利用されている。
「オートラン」を実行するための指示は、メディア内の最上階フォルダに収められている「AUTORUN.INF」というテキストファイルに書かれている。実際に起動するプログラムは、このファイルとは別になっており、同じフォルダ内に置かれている。
2000年代以降、USBメモリの普及に伴い、この「オートラン」機能を悪用したマルウェアが発生し続けている。特に2007年から2008年にかけて、そのままこのファイル名を付けた「AUTORUN.INF」というマルウェアが流行した。
USBメモリによる感染
マルウェアとしての「AUTORUN.INF」はワームの一種に分類されているが、実にシンプルなもので、わずか数行の命令文にすぎない。しかし「AUTORUN.INF」の特性を悪用して同梱の不正プログラムを実行させるため、かえってマルウェアとして検知されにくく被害が拡大した。
特にインターネットに接続していないパソコンが狙われたのが「AUTORUN.INF」の特徴である。組織内のLANに組み込まれておらずインターネットに接続していないパソコンは、OSやソフトウェアの修正プログラムをアップデートしていない場合が多く、しかもそこには機密情報や個人情報など外部に漏れてほしくないデータが保存されていることもあり、ネット犯罪者の絶好の標的となった。
典型的な攻撃の流れ
1)メールの添付ファイルを開封するなどしてパソコンがマルウェアに感染
2)マルウェア感染しているパソコンにUSBメモリを装着
3)パソコンのマルウェアが自身をUSBメモリの最上階層のフォルダに複製を行うとともに、USBメモリの「AUTORUN.INF」を書き換えて、次回以降にUSBメモリを装着すると複製されたマルウェアが実行されるようにする
4)別のパソコン(例えばインターネットに接続していない機密情報のデータが保存されているパソコン)にこのUSBを装着
5)「AUTORUN.INF」によってマルウェアが自動的に実行され、別のパソコンも感染
6)機密情報をUSBメモリに複製
7)インターネットに接続しているパソコンにUSBメモリが装着された際、盗み出した機密情報をひそかにネット犯罪者側に送信
当時はUSBメモリなどの外部記憶装置の利用を禁止する組織はそれほど多くなく、私物のものさえ気軽に利用されることがあったため、あっという間に感染が広がった。
その後もこのマルウェア「AUTORUN.INF」は、現在に至るまでネット犯罪者によって頻繁に利用され続けている。ただしESETを含む各社のウイルス対策ソフトは外部機器の接続に際して警告を発して感染防止に努めており、被害そのものは減少している。またWindows 8ではこうしたマルウェアが実行されないように最初から設定されている。
しかし、2014年以降サポートがすでに終了しているWindows XPを使っていながらそれまで配布されてきたパッチを当てていない場合、「AUTORUN.INF」に感染する可能性が極めて高くなる。そのためESETでは危険度の高いマルウェアの一つとして、あらためて注意を呼び掛けている。
