”自動再生”の改善


以前にこのブログ (UAC の変更に関して) および IE ブログ (マルウェア対策の SmartScreen® filter に関して) で以前述べたように、私たちが重視しているのは、ユーザーが自分のコンピューターで実行しようと選択したソフトウェアに対して、ユーザー本人が自信を持ってコントロールできるようにすることです。このブログにも、自動再生に対して具体的に抱いている懸念事項についてのコメントがあります。このブログの記事では、Windows でメディアやデバイスを使用する際の、ユーザーの信頼性を高めるために行われた変更点が示されています。Core User Experience チームの Arik Cohen がこの記事を書きました。 –Steven

Conficker ワームなどの特定のマルウェアは、自動実行の機能を利用して、一見したところ害のなさそうなタスクを提供するようになりました。しかし、それはトロイの木馬のように、マルウェアをコンピューターに進入させるためのなりすましです。そして、マルウェアは同じトロイの木馬を使って、コンピューターに接続されるデバイスに感染します。Conficker に関する詳細については、http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx を参照してください。

下記の、写真が保存されている USB フラッシュ ドライブの例では、マルウェアは [Open folders to view files (フォルダを開いてファイルを表示する)] という害のなさそうなタスクを登録します。最初の赤で囲った [Open folders to view files] を選択すると、マルウェアが起動してしまいます。しかし、二番目の緑色で囲ったタスクを選択した場合は、Windows のタスクが安全に実行されます。

clip_image002_2[1]感染した USB の自動再生

これを見た人は、なぜ同じことをするように見える 2 つのタスクがあるのかと混乱してしまいます。信頼できない発行元からのソフトウェアは実行しないように気をつけているコンピューターの知識がある人でさえ、一番目のタスクを選択するという間違いを犯しがちです。その結果、ユーザーは自信を失い、コントロールできていないように感じます。

増大するアタック

自動再生の中に自動実行タスクを表示するのは Windows XP の時からですが、増殖の方法として自動実行を使用するマルウェアの数は著しい増加を見せています。Security Intelligence Report によると、2008 年の下半期において、Forefront Client Security による企業調査の結果、自動実行によって増殖するマルウェアのカテゴリは、感染の 17.7% を占めました。これは、マルウェア感染のカテゴリの中で最大です。

以下のグラフは、自動実行によって広がった感染の、Microsoft Anti-Virus による検出報告の増加を示しています。(注: 感染の実際の方法は特定できません。)

clip_image004_2[1] 自動再生で広がったマルウェアの感染検出数

今のところ、完全に自動再生を無効にすることが、コンピューターの USB フラッシュ デバイスの使用において、ユーザーや企業が信頼できる唯一のソリューションです。自動再生を無効にする方法については、こちらを参照してください。

ユーザーの信頼を高める

Windows 7 では、自動再生に対して主要な変更が加えられました。その変更は、一般的なシナリオでのデバイス使用時に (たとえば、USB フラッシュ ドライブ内のファイルにアクセスする、SD カードから写真をダウンロードする、など)、Conficker のようなマルウェアにうっかりさらされないようにするためです。

具体的には、Windows は、リムーバブル光ディスク (CD/DVD) 以外のデバイスの自動再生ダイアログ中に、自動実行のタスクを表示することは今後はありません。なぜなら、この挿入されたタスクの由来を確認する方法がないからです。ハードウェア メーカーによって挿入されたものでしょうか? 誰か人によるものでしょうか? それともマルウェアの仕業?この自動実行のタスクを除去することにより、現在マルウェアが悪用している増殖方法をブロックし、ユーザーが保護された状態を保つことができます。コンピューターにインストールされている他の自動再生のタスクには、引き続きアクセスすることができます。

この変更により、マルウェアに感染している写真入りの USB フラッシュ ドライブを挿入しても、表示されるタスクはすべて、既にコンピューター上にあるソフトウェアによるものだと自信を持てます。

clip_image006_2[1] 新しく自動再生しないように変更されたUI - 感染している USBフラッシュドライブを挿入した場合

一方、ソフトウェアをインストールするために CD を挿入すると、Windows は、ソフトウェア メーカーがメディア作成時に入れた自動実行のタスクを表示します

clip_image008_2[1] 自動実行のタスク入り CD 用の自動再生

この更新された自動実行のエクスペリエンスは、Windows 7 の RC ビルドで最初にお目見えします。また、将来的には、Vista や XP に対しても、この変更が加えられる予定です。

エコシステムへの影響

私たちは、エコシステム パートナーと共に、この自動実行の仕様変更による影響を緩和するために取り組んでいます。

製造過程でハードウェア メーカー指定の自動実行タスクが書かれたような CD および DVD (CD エミュレーションを含む) では、引き続き、ユーザーが特定のソフトウェアを実行できるようにするための自動実行の選択肢が現れます。一般的な大容量記憶装置のメーカーは、ソフトウェアを起動するために、ユーザーがデバイスの中身をブラウズするであろうことを予期しなければなりません。新しい動作では、メディアやデバイスにアクセスするのにユーザーが引き続き自動再生 (すべての Windows およびソフトウェア メーカーがインストールしたタスクを含む) を使用することを許可しますが、マルウェアによるタスクは表示されません。さらに、ポータブル メディア プレーヤーや携帯電話といったデバイス クラスは、Windows 7 の Device Stage™ をサポートします。Device Stage は、ソフトウェアや一般的なタスクへのリンクを表示できるような、自動再生に代わる多機能なもので、デバイスを使用する上での追加機能を提供します。

Windows 7 RC を試したとき、今回の変更により、メディアやデバイスを使用する際に、これまでよりも自信を持ってコントロールできていると感じていただけると幸いです。

-Arik Cohen


Skip to main content