家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

Windowsの自動実行機能(AutoRun)について

Windowsの自動実行機能(Autorun)について

Windowsには自動実行の機能があります。Windowsの自動実行とは、CD-ROM、DVD、USBメモリ、外付けハードディスク、あるいはネットワークドライブなどをパソコンに挿入/接続したり、そのアイコンをダブルクリックした際に、その中に格納されているソフトウェアや動画を自動的に実行/再生する機能です。AutoRunとも呼ばれます。

 

 

 

AutoRunのリスク

自動実行を悪用して感染を広げる「USBメモリ感染型ウイルス」というものがあります。代表的なウイルスとしては、「Conficker」「Downad」「Autorun」「Otorun」があります。

「USBメモリ感染型ウイルス」は、次のような動作で感染を広げます。

  1. 既にウイルスに感染しているパソコンがあります。
  2. そのパソコンにUSBメモリを挿すと、ウイルスはUSBメモリにウイルス自身のコピーを作り、潜伏します。同時に、「自動実行」を悪用するための命令を組み込みます。
  3. ウイルスが潜伏しているUSBメモリを、ウイルス対策が不十分な別のパソコンに挿して利用すると、「自動実行」機能によりウイルスが実行されます。これにより、このパソコンもウイルスに感染させられてしまいます。
  4. 以上の動作の繰り返しで、連鎖的に感染が広がる可能性があります。

f:id:iestudy:20200820104816p:plain

USBメモリ感染型ウイルスの動作(IPAより)

AutoRunの使い方と制御方法

AutoRunの使い方

AutoRun機能はUSB等のディスク上に「autorun.inf」というファイルを作成し、起動時に実行したいファイルを指定することで使うことができます。

autorun.infの内容例

[Autorun]
open=実行したいファイル名

また、以下の図にあるWindowsの設定で「何もしない」から「毎回動作を確認する」に変更しておく必要があります。

f:id:iestudy:20200820105019p:plain

Windowsの自動実行設定

上記を設定後にautorun.infを保存したUSB等を接続すると、接続した機器に対する操作の確認で、autorun.infで指定したファイルの実行が提示されるようになります。

f:id:iestudy:20200820105055p:plain

AutoRun実行イメージ

AutoRunの制御方法

レジストリによる設定

以下の場所に「NoDriveTypeAutoRun」というレジストリキーを作成し、値を入力することでドライブごとにAutoRunの実行を制限できるようです。
※過去に設定していなければ、「NoDriveTypeAutoRun」含まれてないようです。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

※Gpedit.msc が含まれないオペレーティング システムで自動実行を無効にするには以下の場所になるようです。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\

レジストリキー値の説明

内容
0x1または0x80 不明な種類のドライブのAutoRunを無効にします。
0x4 リムーバブルドライブのAutoRunを無効にします。
0x8 固定ドライブのAutoRunを無効にします。
0x10 ネットワークドライブのAutoRunを無効にします。
0x20 CD-ROMドライブのAutoRunを無効にします。
0x40 RAMディスクのAutoRunを無効にします。
0xFF すべての種類のドライブのAutoRunを無効にします。

 

参考にさせていただいたサイト

www.ipa.go.jp

support.microsoft.com