パソコンのセキュリティ対策

初期設定

拡張子を表示するようにしておこう。 Windowsならマイコンピュータのフォルダオプションで,Mac OS XならFinderの環境設定で設定する。 どんな拡張子が危険か勉強しておこう。

Mac OS XでSafariを使っているなら,環境設定で「ダウンロード後、“安全な”ファイルを開く」のチェックを外しておこう。

ウイルス対策を万全に

ウイルスがパソコン内の機密ファイルを勝手に送り出すこともある。

ウイルス対策ソフトは(よほどパソコン操作に自信がない限り)必須。 ただ,必ずしもウイルス対策ソフトですべてのウイルスが防げるわけではない。 特に最近ではウイルスの広がる速さが対策ソフトの更新より速いことがある。

少なくとも意に反して悪意あるソフトが実行されないために, Windows Update は必須。 Office も使っている場合は, さらに Office Update も行なう。 Microsoft Update なら 双方をまとめてアップデートできる。 Office 2000 は Microsoft Update 対象外なので, Office Update を実行する。 しかし,自分から悪意あるソフトを開いてしまうことは防げない。

Windows XP SP2以前のパソコンは,ネットにつなぐとすぐに感染することがある。 しかしネットにつながないと Windows Update ができない。 → CD-ROM等でSP2に更新するか,またはブロードバンドルータやファイアウォールの内側から Windows Update する。

HTMLメールを読まない(テキスト部分だけ読むように設定)。

添付ファイルを安易に開かない(信頼できる人からのメールであっても 添付ファイルは疑ってかかる)。

そもそもメールの差出人は簡単に詐称できるので信用しない。

WinnyなどP2Pソフトを使わない。

消すだけでは消えない

ごみ箱に捨てても消えない(当然)。

ごみ箱を空にしても消えない。 ツールを使えば復元できてしまう。

フォーマットしても消えない(クイックフォーマットに限らず標準フォーマットでも消えない。専用ツールによる物理フォーマットなら消える)。 ツールを使えば復元できてしまう。

パソコン本体を壊してもデータだけ復旧できることがある。

Windows:専用の消去ツールを使う。 Windows 2000 SP3,Windows XP Professionalであれば [HOW TO] Windows で Cipher.exe を使用して削除済みのデータを上書きする方法 に従って例えば cipher /w:c とすればCドライブ全体の削除済みデータが本当に消える(というか 00、FF、乱数を上書きする)。 ただし,NTFSにしか対応していないらしく,FATでは一見消去されるように見えて,正しく働いていないようである。

Mac OS X 10.3 以降:「確実にゴミ箱を空にする」を実行する。 Mac OS X 10.4 ではディスクユーティリティの「空き領域を消去...」を使うのもよい。

Linux や Mac OS X ではオープンソースの GNU fileutilscoreutils に統合された)の shred や Tom Vier の wipe が使える。

パソコンを捨てるときには特に要注意。 Darik's Boot and Nuke などの消去ツールで全消去する。

暗号化しよう

大事なデータの入ったノートパソコンを盗まれる事件が多発。 パスワードを設定してあれば,中が読めなくなるわけではない。 CD-ROMやフロッピーディスクから起動できるようになっていれば, その場で中が読めてしまう。 BIOSパスワードを設定してあっても, ハードディスクを取り出して別のパソコンにつなげば,中が読めてしまう。 ハードディスクパスワードは,解除業者が存在する。

Windows

フォルダごと暗号化する(Windows 2000,Windows XP Professional)。

ユーザプロファイル(Documents and Settings の下の自分の名前のついたフォルダ)全体あるいは自分の大切なものが入っているところを対象にすればよい。 Word などで編集したときユーザプロファイル中の自分の TEMP フォルダに一時ファイルが残ることがあるので,そちらも暗号化することを忘れないように。

暗号化は基本的に自分のものだけに限るべきである。 Documents and Setting 全体や TEMP を暗号化すると Windows の更新に支障が出る(http://nikkeibp.jp/sj2005/column/q/03/index.html 参照)。

15文字以上のパスワードを使うか,それとも,LM ハッシュが保存されないように Windows でパスワードの LAN Manger ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法 に従ってレジストリを編集する。 Windows VistaはOK。

Mac OS X

FileVault を設定する(ホームディレクトリ全体が暗号化される)。

機密データがすでにホームディレクトリにある場合の安全な手順: (1) バックアップする,(2) 元ファイルを確実に消す,(3) FileVault を設定する,(4) バックアップから書き戻す,(5) バックアップを確実に消す。 Mac OS X 10.4 では単に FileVault を設定し,後でディスクユーティリティの「空き領域を消去...」を行うだけでよい。

FileVault のパスワードを管理人から守るためには,Mac OS X 10.4 以降のシステム環境設定→セキュリティで「安全な仮想メモリを使用」をオンにする。残念ながら古い Mac OS X にはこの機能がない。

一般

メール,フロッピー,CD-R などでは上記の方法は使えない。

専用の暗号化ツールを使う(オープンソースの GnuPG など)。

WordやExcelにも暗号化機能あり(Word 97/2000や,Word XPでもデフォルトの40ビット暗号化なら,総当たりで破れる)。

パスワードに注意

推測困難なパスワードを選ぶ。

スクリーンセーバにもパスワードを設定する。

席を離れるときはロックする。 Windows なら Ctrl + Alt + Del を押して 「コンピュータのロック」や「ワークステーションのロック」。 Windows XP なら Windows + L がショートカット。

パスワードをポストイットに書いて貼っておかない。

社長にも警察にもパスワードを教えないことを徹底(ソーシャルエンジニアリング対策)。

他人の見ているところでパスワードを打ち込まない。

マナー:他人がパスワードを打ち込む際には,その人がパスワードを打ちながらでも見られていないことがわかるような位置に移動する

マナー:他人がログオンしているPCをそのまま使わない(当然!)。

古いルール集には「パスワードは毎月変えること」と書かれているかもしれないが,これはあまり意味がない(例えば Security Myths and Passwords 参照)。

メタデータに注意

テキストファイル……入力したものしか入っていない

Word 等のファイル……たくさんのメタデータが入っている

メタデータ:登録ユーザの個人情報,削除したはずの文字列など

メールで送る場合,どんな余計な情報が入っているかわからないWordのファイルより,メール本文に文字情報として入れるだけのほうが安全。 そのほうがWordのない環境(携帯とか)でも読める。

メールに注意

メールの差出人は簡単に詐称できる。

メールはテキストメールが基本。 Outlook Expressなら「ツール」「オプション」「読み取り」の「メッセージはすべてテキスト形式で読み取る」にチェック(読むときの設定)。 「ツール」「オプション」「送信」の「メール送信の形式」の「テキスト形式」にチェック(送るときの設定)。

銀行やカード会社等からメールで「ここにアクセスしてカード情報を入力してください」というメールが来るはずがない。 来たらそれはフィッシング(phishing)という詐欺。

迷惑メールの「不要な方はこちらにアクセスして手続きをしてください」に騙されない。 もちろんまじめな業者もいるかもしれないが,架空請求サイトに導かれる場合や,アクセスしたパソコンにウイルスを仕込む仕掛けのところもある。 こういう「オプトアウト」制度を作った役人はセキュリティ音痴 :-)

ウイルスや迷惑メールも差出人は詐称されているので,差出人に文句を言わない。 黙って捨てる。

返信時に「差出人だけに返信」「全員に返信」が選べる場合は,とりあえず「全員に返信」を選び,だれに届くのか再確認する(カーボンコピー欄もチェック)。 でないと,とんでもない人に届いて恥をかく。

メールはサーバの管理人なら気づかれずに開くことができる。 エラー時には管理人にも届く(読まれる)。 漏れて困るものは暗号化する。

メールが届かないことはまずないが,サーバのクラッシュや人的ミスで消えることはある。 ちゃんと管理されたサーバなら,紙の郵便より信頼できる。 ただし,もちろん紙の郵便と違って,アドレスが1文字でも違っていれば届かない。:-)

AutoRunに注意

WindowsはCDやUSBメモリを差し込んだときソフトを自動実行するAutoRun機能がある。 Macにも昔あったが,危険なので今はない。 この危険性については 【CRYPTO-GRAM日本語版】USBでパソコンを乗っ取るAttack of the iPods! - CSOonline.com 参照。

WindowsでAutoRunを一時的に無効化するにはShiftキーを押し続ければよい。 別の方法は ANGIE WORKSHOP - Windows XPで自動再生機能を無効化する などに載っている。

ノートパソコンの盗難防止

移動しないならセキュリティワイヤーで固定するのも手。 鍵の掛かる引き出しやロッカーに入れておくのも手。 入れたら鍵を掛けるのを忘れずに。もちろん鍵を近くに置いておいてはいけない。

ワイヤーで固定しても確信犯なら簡単に盗める。 引き出しやロッカーごと盗まれるかもしれない。 暗号化は必須。

参考リンク




Last-modified: 2007-03-24 (土) 08:32:13 (3895d)