悪い設計決定のおかげで、AutoRunはかつてWindowsの大きなセキュリティ問題。 AutoRunを使用すると、ディスクとUSBドライブをコンピューターに挿入するとすぐに、悪意のあるソフトウェアが起動します。
この欠陥はマルウェアによって悪用されただけではありませんでした著者。 Sony BMGが音楽CDのルートキットを隠すためによく使用されていました。悪意のあるSonyオーディオCDをコンピューターに挿入すると、Windowsは自動的に実行され、ルートキットをインストールします。
AutoRunの起源
関連する: すべての「ウイルス」がウイルスであるわけではない:10のマルウェア用語の説明
AutoRunは、Windows 95で導入された機能です。 ソフトウェアディスクをコンピューターに挿入すると、Windowsは自動的にディスクを読み取り、ディスクのルートディレクトリにautorun.infファイルが見つかった場合、autorun.infファイルで指定されたプログラムを自動的に起動します。
ソフトウェアCDを挿入したとき、またはPCゲームディスクをコンピューターに挿入すると、インストーラーまたはオプション付きのスプラッシュスクリーンが自動的に起動します。この機能は、このようなディスクを使いやすくし、ユーザーの混乱を減らすように設計されました。 AutoRunが存在しない場合、ユーザーはファイルブラウザウィンドウを開いてディスクに移動し、代わりにそこからsetup.exeファイルを起動する必要があります。
これはしばらくの間非常にうまく機能し、大きな問題はありません。結局のところ、ホームユーザーは、CDバーナーが普及する前に自分のCDを簡単に作成する方法を持っていませんでした。あなたは本当に市販のディスクに出くわすだけであり、それらは一般的に信頼できました。
ただし、AutoRunがWindows 95に戻ったときでも導入されましたが、フロッピーディスクには対応していませんでした。結局のところ、誰でも好きなファイルをフロッピーディスクに置くことができました。フロッピーディスクの自動実行により、マルウェアがフロッピーからコンピューター、フロッピーからコンピューターに拡散する可能性があります。
Windows XPでの自動再生
Windows XPはこの機能を改良して「自動再生」機能。ディスク、USBフラッシュドライブ、または別の種類のリムーバブルメディアデバイスを挿入すると、Windowsはその内容を調べてアクションを提案します。たとえば、デジタルカメラからの写真を含むSDカードを挿入する場合、画像ファイルに適した操作を行うことをお勧めします。ドライブにautorun.infファイルがある場合、ドライブからプログラムを自動的に実行するかどうかを尋ねるオプションが表示されます。
ただし、Microsoftは依然としてCDが動作することを望んでいました。同じ。そのため、Windows XPでは、autorun.infファイルがあればCDやDVDは自動的にプログラムを実行し、オーディオCDであれば音楽の再生を自動的に開始します。また、Windows XPのセキュリティアーキテクチャにより、これらのプログラムはおそらく管理者アクセスで起動します。言い換えれば、彼らはあなたのシステムへのフルアクセスを持っているでしょう。
autorun.infファイルを含むUSBドライブでは、プログラムは自動的に実行されませんが、自動再生ウィンドウにオプションが表示されます。
それでもこの動作を無効にすることができます。 オペレーティングシステム自体、レジストリ、およびグループポリシーエディターにオプションが埋め込まれていました。また、ディスクを挿入したときにShiftキーを押し続けると、Windowsは自動実行動作を実行しません。
一部のUSBドライブはCDをエミュレートでき、CDでも安全ではありません
この保護はすぐに壊れ始めました。 SanDiskとM-SystemsはCD AutoRunの動作を見て、独自のUSBフラッシュドライブにそれを望んでいたため、U3フラッシュドライブを作成しました。これらのフラッシュドライブは、コンピューターに接続するとCDドライブをエミュレートするため、Windows XPシステムは、接続されると自動的にプログラムを起動します。
もちろん、CDでも安全ではありません。攻撃者は、CDまたはDVDドライブを簡単に焼いたり、書き換え可能なドライブを使用したりする可能性があります。 CDはUSBドライブよりも安全であるという考えは間違っています。
災害1:ソニーBMGルートキットフィアスコ
2005年、Sony BMGはWindowsルートキットの出荷を開始しました何百万ものオーディオCDで。オーディオCDをコンピューターに挿入すると、Windowsはautorun.infファイルを読み取り、ルートキットインストーラーを自動的に実行します。これにより、コンピューターがバックグラウンドでひそかに感染しました。これの目的は、音楽ディスクをコピーしたり、コンピューターにリッピングしたりするのを防ぐことでした。これらは通常サポートされている機能であるため、ルートキットはそれらを抑制するためにオペレーティングシステム全体を破壊する必要がありました。
これは、AutoRunのおかげですべて可能になりました。 コンピューターにオーディオCDを挿入するたびにShiftキーを押すことを推奨する人もいれば、ルートキットのインストールを抑制するためにShiftキーを押したままにすることは、コピー保護のバイパスに対するDMCAの反迂回禁止の違反と見なされるかどうかを公然と疑問に思う人もいます。
他の人は、長くて残念な歴史を記録しています彼女。ルートキットが不安定で、マルウェアがルートキットを利用してWindowsシステムをより簡単に感染させ、Sonyが公共の場で大きく価値のある黒目を獲得したとしましょう。
災害2:Confickerワームとその他のマルウェア
Confickerは最初に特に厄介なワームでした特に、接続されたUSBデバイスに感染し、別のコンピューターに接続されたときに自動的にマルウェアを実行するautorun.infファイルを作成しました。ウイルス対策会社ESETが書いたように:
「USBドライブおよびその他のリムーバブルメディア。最近、最も頻繁に使用されるウイルスキャリアは、コンピューターに接続するたびに(デフォルトで)Autorun / Autoplay機能によってアクセスされます。」
Confickerは最もよく知られていましたが、危険なAutoRun機能を悪用したマルウェアはこれだけではありませんでした。機能としてのAutoRunは、実際にはマルウェア作成者への贈り物です。
Windows VistaはデフォルトでAutoRunを無効にしましたが、…
マイクロソフトは最終的に、WindowsユーザーにAutoRun機能を無効にすることを推奨しました。 Windows Vistaは、Windows 7、8、および8,1がすべて継承しているいくつかの優れた変更を行いました。
プログラムを自動的に実行する代わりにCD、DVD、およびUSBドライブはディスクに見せかけているため、Windowsはこれらのドライブの自動再生ダイアログも表示します。接続されているディスクまたはドライブにプログラムがある場合、リストにオプションとして表示されます。 Windows Vista以降のバージョンのWindowsでは、ユーザーに確認せずにプログラムが自動的に実行されることはありません。プログラムを実行して感染するには、[自動再生]ダイアログの[Run [program] .exe]オプションをクリックする必要があります。
関連する: パニックに陥らないでください。ただし、すべてのUSBデバイスには大きなセキュリティ問題があります
しかし、マルウェアがそれでも可能です自動再生経由で広がります。悪意のあるUSBドライブをコンピューターに接続した場合でも、少なくとも既定の設定で、自動再生ダイアログを介してマルウェアをワンクリックで実行できます。 UACやウイルス対策プログラムなど、その他のセキュリティ機能はユーザーを保護するのに役立ちますが、引き続き注意する必要があります。
そして、残念ながら、私たちは今、注意すべきUSBデバイスからのさらに恐ろしいセキュリティ脅威を持っています。
必要に応じて、自動再生を完全に無効にすることができます—または特定のタイプのドライブのみ—コンピュータにリムーバブルメディアを挿入しても自動再生ポップアップが表示されません。これらのオプションはコントロールパネルにあります。コントロールパネルの検索ボックスで「自動再生」の検索を実行して、それらを見つけます。
画像著作権:Flickrのaussiegal、Flickrのm01229、FlickrのLordcolus
