リムーバブルメディアの使用制限
グループポリシーでリムーバブルメディア(USBメモリ、MO、フロッピーディスク等)の使用を制限することができます。
標準ではリムーバブルメディアの使用を制限するポリシーはないので、
ポリシーのテンプレートを作ってやる必要があります。
下記、Micorosoftのサイトより情報漏えい対策ガイドをダウンロードして参照してください。
情報漏えい対策ガイド (Windows 編)
こちらにかかれているコードをコピーして、ファイルに保存します。
それをグループポリシーエディタの「コンピュータの構成」→「管理用テンプレート」を右クリック、
「テンプレートの追加と削除」で読み込んで登録します。
このとき、「表示」→「フィルタ」で「完全に管理されているポリシーのみ表示します」のチェックを外さないと表示されません。
あとは、ドメインのグループポリシーとして適用するだけ。
リムーバブルメディアのドライブアイコンがマイコンピュータからなくなり使用不可になります。
関連する投稿
ダウンアドにまだまだ注意
ダウンアドの亜種は機能拡張されていて、
一次感染はUSBメモリ経由が多いようです。
複数の証言がありました。
以下の記事にも書かれています。
機能拡張が進む「WORM_DOWNAD」の感染に注意
USBメモリなどリムーバブルメディアについては
グループポリシー等で制限する必要がありそうです。
情報漏洩という観点からも非常に重要ですので、また紹介したいと思います。
関連する投稿
ダウンアドその後
またまた感染報告があがってきています。
社内端末は当然ウィルス対策はしてありますが、
年明けからパソコンがおかしくなったという報告が相次いでいます。
特にWinodws XP のサービスパックが当たっていない端末は要注意。
-
デフォルトでWinodwsファイアーウォールが有効になっていない。
-
サービスパック1以下はMicorosoftによるサポートも打ち切られているため、Winodwsの自動更新がなされない。
このためサービスパック1の端末は早急にSP3に更新する必要があります。
どうやって社内LANに入ったのかは不明ですが、個人PCやUSBメモリ経由が疑われます。
USBメモリーはグループポリシーで規制するとして、
特に個人PCの持ち込みを防ぐ手段を考える必要があります。
以下、ASCIIの記事です。
あのBlasterの恐怖再び!W32.downadup増加中
関連する投稿
WORM_DOWNAD
2008年末から広がっているワームです。
ワームというのは広い意味ではウィルスの一種。ネットワークを利用して自分自身をコピーしたり、パソコンを乗っ取ったりします。
多いのが、Windowsの脆弱性を衝くワームです。
古くは2003年に流行して、住基ネットなどに被害を出したBlasterやSasserなど挙げられますが、ここ最近はなんと言ってもWORM_DOWNAD(ダウンアド)です。
W32.Downadupとも言います。
感染経路
-
RPCの脆弱性によるセキュリティホール
MS08-067のMicorosoftの修正パッチ(下記、関連リンク参照)が適用されていないパソコンはネットワークに接続するだけで、自動的にウィルスがダウンロードされます。
-
Windowsの共有フォルダ経由
Windows XP Professional は、初期設定で管理共有という特殊な共有フォルダが設定され、管理者パスワードに単純なものを設定していると、共有フォルダを経由して他のパソコンにコピーされます。
-
USBメモリのautorun
USBメモリにautorun.infという自動起動ファイルがコピーされ、接続しただけで自動起動し感染します。
以下のような症状が出たら要注意。
典型的症状
-
Windowsの起動が遅い、動作・反応がぎこちない、よく固まるなどOS自体が不安定。
-
WinodwsUpdateやTrendMicro、Symantecなどウィルス対策ソフトメーカーサイトにつながらない。
-
WindowsUpdateに関連するサービス(Background Intelligent Transfer Service)が無効になる。
-
Windowsファイアーウォールの例外タブに変な名前のプログラムがランダムなポート番号で登録される。
-
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 以下のフォルダに同じサイズ(163kB)の偽装画像ファイル(jpg、pngファイルなど)が複数生成される。
2については、nslookupで名前解決ができているにもかかわらず、pingコマンドをたたくとHost Unknownを返します。通常あり得ない現象です。
WindowsUpdateができないと該当するセキュリティホールを修正できず、ウィルス対策ソフトメーカーの無償駆除ツールも取りに行けません。
別のPCでダウンロードして、移して使ってください。
この際、USBメモリを使う際は、決して他のPCには取り付けないこと。Autorun.infファイルを書きこまれてさらなる拡散につながります。
CDに焼き付けるなど書き込みできないメディアを利用するのが理想的です。
以下、関連リンクです。
-
トレンドマイクロセキュリティブログ 系譜から探る深刻度が増した「WORM_DOWNAD」
-
無償駆除ツール トレンドマイクロ WORM_DOWNAD駆除ツール
-
無償駆除ツール シマンテック W32.Downadup Removal Tool
-
マイクロソフト セキュリティ情報 MS08-067 – 緊急
対処方法
-
上記リンクのどちらかから無償駆除ツールをダウンロードして、スキャンをかけてください。
-
WindowsUpdateでセキュリティホールを修正してください。(Background Intelligent Transfer Serviceが無効になっている場合は、有効にしてください)
-
それでもWindowsUpdateにつながらない場合は、上記リンクよりMS08-067修正プログラムをダウンロードして手動で適用してください。
-
Windowsファイアーウォールの例外タブをチェックしてください。アルファベト小文字だけの名前のプログラムでランダムなポート番号のプログラムを例外から削除してください。
-
パソコンを再起動して、もう一度WindowsUpdateをしてください。重要な更新がなければOK。
-
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 以下のフォルダに存在する163kB(固定サイズ)の偽装画像ファイルをすべて削除してください。これらはワーム自身のコピーです。ウィルス対策ソフトでは削除できないことがあります。この際、フォルダオプションで「保護されたオペレーティングシステムファイルを表示しない」のチェックを外さないと表示されません。
-
インターネット一時ファイルは削除してください。ワームの場合、ここに潜んでいる場合も多いです。これは他のワームにも言えます。
-
USBメモリ経由のさらなる感染を防ぐために、自動再生を無効にしてください。「gpedit.msc」→コンピュータの構成→管理用テンプレート→システム→「自動再生機能をオフにする」のポリシーを有効にしてください。
-
ウィルス対策ソフトを入れて、全ドライブをスキャンしてください。無償のものもありますので、必ず入れてください(本サイトのフリーソフトの項目を参照)
-
何も見つからなければOKです。他にネットワークでつながっているパソコンがある場合は、念のためウィルススキャンをしてください。