Microsoftが「セキュリティ アドバイザリ(2286198)」を更新し、現在、以下のように明記している:
「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンが表示されると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカットをパースすることが原因だ。」
「表示される」というのは重要なキーワードだ。これは良いことであり、我々が懸念していた点に対処している。
しかしながら、同アドバイザリは現在も以下のように表明している:
「Windows 7システムについては、リムーバブルディスクのオートプレイ機能は、自動的に無効となる。」
これはまだ不正確だ。あるいは少なくとも、十分正確とは言えない。我々はMicrosoftが何を言おうとしているか分かるが、中には誤解する人もいるかもしれない。リムーバブルディスクのAutoPlay機能が自動的に「制限」される、と述べた方が良いだろう。
我々のWindows 7テストマシンを見てみると、これは堅牢にしてあるのだが、AutoPlayコントロールパネルでボタンは以下のようになっている:

「全デフォルトにリセット」
そこで、我々はデフォルトの回復を選択した:

すると「全メディアおよびデバイスでAutoPlayを使用する」が有効になっている。「全」メディアおよびデバイスだ。
以下は、マルチメディアファイルを含むUSB Flashドライブを、このWindows 7システムに差し込んだ時に表示されたダイアログだ:

ハイライトされているオプションは「ファイルを閲覧するためにフォルダを開く」だ。
では何が無効なのか? AutoPlayだろうか? 違う。Windows 7 AutoPlayは無効ではなく、むしろ、リムーバブルディスクにデフォルトの「アクション」を設定する「オプション」を含んでいないということだ。
しかしLNK脆弱性のケースでは、1回クリックすれば、「デフォルト」で危険にさらされる。
Windows 7 AutoPlayは、Windows XP AutoPlayと比較して格段に改善されている。実際、おそらくはセキュリティと機能性の完璧なバランスと言えるだろう。コンシューマにとっては…
しかし、標的型攻撃のリスクにさらされた企業や組織ではそうはいかない。AutoPlayは完全に無効にすべきなのだ。
何故?
以前の記事にも記したように、ソーシャルエンジニアリングトリックはAutoPlayを標的とするからだ。
たとえば、これはConfickerの攻撃メソッドの一つだ:

Confickerのautorun.infファイルは、最初のオプション提示としてWindowsシステムフォルダを使用した。1回のクリックで、autorun.infがローンチする。クレバーなトリックではないだろうか?
その他の理論的なAutoPlay問題もある(脆弱性ではない)。USBストレージデバイスは、Virtual CDとしてフォーマットされたパーティションを含むことができる。
この場合、パーティションはAutoPlayにより通常のCDとみなされる。

我々が6月にVirtual CDに関する記事を書いた時には、それが故意に、標的型攻撃に使用されるのを目撃することなど、かなり可能性が低いように思われた。我々は、製造プロセスのセキュリティ侵害により、影響が出るかも知れないと考えた。Virtual CDは工場のマスターコピーで感染するかもしれないからだ。
しかし現在、ゼロデイの欠陥、署名されたドライバを使用し、Siemens SIMATIC WinCCデータベースを標的とするStuxnetケースを考えると… たぶんVirtual CD攻撃という考えは、結局それほどこじつけでは無いだろう。明らかに、高い動機付けを持つスパイ活動が登場しているのだ。
結論:あなたがネットワーク内のWindows 7システムのIT管理者ならば、AutoPlayを無効にすること。
「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンが表示されると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカットをパースすることが原因だ。」
「表示される」というのは重要なキーワードだ。これは良いことであり、我々が懸念していた点に対処している。
しかしながら、同アドバイザリは現在も以下のように表明している:
「Windows 7システムについては、リムーバブルディスクのオートプレイ機能は、自動的に無効となる。」
これはまだ不正確だ。あるいは少なくとも、十分正確とは言えない。我々はMicrosoftが何を言おうとしているか分かるが、中には誤解する人もいるかもしれない。リムーバブルディスクのAutoPlay機能が自動的に「制限」される、と述べた方が良いだろう。
我々のWindows 7テストマシンを見てみると、これは堅牢にしてあるのだが、AutoPlayコントロールパネルでボタンは以下のようになっている:

「全デフォルトにリセット」
そこで、我々はデフォルトの回復を選択した:

すると「全メディアおよびデバイスでAutoPlayを使用する」が有効になっている。「全」メディアおよびデバイスだ。
以下は、マルチメディアファイルを含むUSB Flashドライブを、このWindows 7システムに差し込んだ時に表示されたダイアログだ:

ハイライトされているオプションは「ファイルを閲覧するためにフォルダを開く」だ。
では何が無効なのか? AutoPlayだろうか? 違う。Windows 7 AutoPlayは無効ではなく、むしろ、リムーバブルディスクにデフォルトの「アクション」を設定する「オプション」を含んでいないということだ。
しかしLNK脆弱性のケースでは、1回クリックすれば、「デフォルト」で危険にさらされる。
Windows 7 AutoPlayは、Windows XP AutoPlayと比較して格段に改善されている。実際、おそらくはセキュリティと機能性の完璧なバランスと言えるだろう。コンシューマにとっては…
しかし、標的型攻撃のリスクにさらされた企業や組織ではそうはいかない。AutoPlayは完全に無効にすべきなのだ。
何故?
以前の記事にも記したように、ソーシャルエンジニアリングトリックはAutoPlayを標的とするからだ。
たとえば、これはConfickerの攻撃メソッドの一つだ:

Confickerのautorun.infファイルは、最初のオプション提示としてWindowsシステムフォルダを使用した。1回のクリックで、autorun.infがローンチする。クレバーなトリックではないだろうか?
その他の理論的なAutoPlay問題もある(脆弱性ではない)。USBストレージデバイスは、Virtual CDとしてフォーマットされたパーティションを含むことができる。
この場合、パーティションはAutoPlayにより通常のCDとみなされる。

我々が6月にVirtual CDに関する記事を書いた時には、それが故意に、標的型攻撃に使用されるのを目撃することなど、かなり可能性が低いように思われた。我々は、製造プロセスのセキュリティ侵害により、影響が出るかも知れないと考えた。Virtual CDは工場のマスターコピーで感染するかもしれないからだ。
しかし現在、ゼロデイの欠陥、署名されたドライバを使用し、Siemens SIMATIC WinCCデータベースを標的とするStuxnetケースを考えると… たぶんVirtual CD攻撃という考えは、結局それほどこじつけでは無いだろう。明らかに、高い動機付けを持つスパイ活動が登場しているのだ。
結論:あなたがネットワーク内のWindows 7システムのIT管理者ならば、AutoPlayを無効にすること。