パスワード不明なWin10クラックやデータ漏えい対策

2018年4月18日

データ漏洩対策について考える。

ノートパソコンは出先での盗難や置き忘れにより情報が漏れそうなニュースが過去何度もあり、デスクトップPCでも侵入者がクラックしてデータを盗む事も考えられ企業はどう対策するべきか。

多少パソコン詳しいので提案など。

Windows 10のパスワードは簡単に破られる

Windowsのパスワード解析で有名なツールといえばOphclack(オフクラック)。

Ophcrack
http://ophcrack.sourceforge.net/

ophclack

但し現状ではラピュタと化してしまったようで、Windows 7までは対応しているもののそれ以降は使えない模様。

使用例としては、画像右のボタンからLive CDをダウンロードしてCDなどへ書込し、そのCDから起動して解析を行うと短いパスワードならば判明するかも知れないというもの、

弱点というか難点は、確か文字数が短い場合に限られ、しかもブルートフォースアタック(総当たり)解析であり国内向きではございません。

Windows 10でパスワード不明な場合

こちら。

パスワードを忘れたWindows OSにログオンする:Tech TIPS - @IT
http://www.atmarkit.co.jp/ait/articles/1312/06/news055.html

Windows 10でパスワード変更

流れを簡単にいうと、パソコンに入っているWindows 10からでは無く、USBへ別のWindows 10を入れてそちらから起動し、中身を少し書き換えてしまえば上の画像のようにユーザ名が表示可能。そしてパスワードを変更可能という。

@ITではサラリと書かれているけれど、悪用すれば正統なクラック(悪意あるハッキング)方法と言える手法。

マイクロソフトアカウントでログインしていようと管理者を追加してしまえばログインできてしまう辺りもマイクロソフトらしい紙防御。

このような感じで昔からWindowsのパスワードはあって無いようなものと言えるのはWindowsで遊び倒す人ならご存知な可能性が高い。

 

今一度シンクライアントという手を検討する

軽く10年以上前から普及すると言われていたシンクライアント。私が知らないだけかも知れないが導入している企業を知らない。大企業や外資系ではシンクラは普通なのだろうか。

例として最近のニュースならばこういうやつ。

PCの各種ポートや利用できるネットワークを限定する情報漏えい対策ソフト「FUJITSU Software Portshutter Premium」を用意する。

source:富士通、VESAマウント可能な「FUTRO S740」など法人向けシンクライアント端末3機種を発表 - クラウド Watch

この新製品プレスリリースではシンクライアントとは何かが全然分からないので簡単に説明すると、パソコン本体には最低限のデータしか保存せず、サーバーでほぼ全部やってしまうPC。

例として経理部署なら、パソコン側にはWindowsと会計ソフトは入っているが保存するデータは全部サーバー側に保管されており、ローカルPCにはWindowsと会計ソフトしか入っていない感じ。

もっとやるならWindowsなどOSしか入っておらずサーバー接続して何かするモノが純粋なシンクライアントと言える状態で、PC本体がどうなろうと固有のデータはローカルに保存されていないのでサーバーに接続出来なければ何も出来ない環境。

ゲーム機に置き換えると、プレステ本体はあるがソフトが無いとか、Steamならダウンロードしたゲームを全部サーバー上に置いているのでログインしなければSteamクライアントの基本機能しか使えないような。

キャリア回線が3Gから4Gになり5Gも予定されている現在、これが本命だと思っていたけれど採用している企業の人と会った事がございません。

やはり大企業向けなのだろうか。

あえて組込向けWindowsという考え方も

こちらも最近のニュースより。

ASCII.jp:なぜVAIOは組み込み向けWindowsを、自社製品に取り入れたのか (1/3)|「VAIO、法人向く。」の現在を探る
http://ascii.jp/elem/000/001/654/1654871/

サブタイトル。

VAIOのマシンをシンクライアントとして利用可能に

見出しを引用。

シンクライアントが可能なWindows Embedded OS(中略)

またローカルストレージにデータを残さない「ロックダウン」機能などはセキュリティを高めるために有効だ。Windows Embedded OSならではの機能と言える。

組込向けのEnbededとは、銀行のATMとか車のカーナビ、デジタルサイネージなどに利用されるエディションのWindowsで、特定の限定された機能しか使えないバージョン。個人向けでは無いため通常はPC製品丸ごとの購入が必要。

様々な事に使えるパソコンがWindowsであるべきとは逆にローカルPC内に何も保存しないため、PC本体盗まれても単に機械を失うだけでサーバーに接続できなければデータにはアクセスできない。

シンクライアントは、7~8年前に一度、積極的な導入が進んだ。その多くはセキュリティを重視する金融系企業だが、ほかの業種にはなかなか広まらなかった。

やはりハードルが高いのか。

 

SMS通信による遠隔操作でのデータ消去も

こういう手もあると最近知った。

モバイルパソコンの情報漏えい対策|ワンビ株式会社
https://www.onebe.co.jp/product/

onebe-pana-vaio

下段にある通りパナソニック(レッツノート)とVAIOでナチュラルに採用。

何するかはモバイルノートを紛失した際、情報漏洩や盗難を避けるためにSMS通信によるデータ消去命令をインターネットを介さず行うというもの。

image_tdvaio_utilization_on

こちらの企業のページ内には価格情報が一切無いので検討する以前の問題だと思うのは私だけだろうか。無料の試用もあるけれど、良いと思ったが100台まで月100万円とか言われても困る。

というわけで探してみるとVAIOならこちら。

  • 1年版:\6,000
  • 2年版:\11,500
  • 3年版:\17,000
  • 4年版:\22,500
  • 5年版:\28,000

source:VAIO | 運用 | VAIOのPCソリューション

1年版は月あたり500円。年間6千円の保険と思えば安いのか。

しかしこの方法で最初に書いたWindows 10の管理者権限アリにした状態のクラックを防げるかは中身良く解らないので疑問。

また、電源を入れる前にSSDやHDD抜かれて別のパソコンへ接続された場合には無力だと思うのだけれども。

 

そこにデータがある限り盗まれる可能性はある

形あるものいつかは~と同様、データが存在している限りはアクセスされる可能性があるのは正規ユーザがアクセスできるのだから当たり前。

ローカルにデータがあるならWindows 10ではパスワード無力化やSMSでデータ消せるとしても回避方法はあり、サーバーにしかデータが無くともサーバーにアクセスされた場合に全端末ユーザのデータが盛大に盗まれてしまう。 

また、私のような個人レベルのパソコンでさえバックアップは基本的に二重、モノにより3重になっているデータもあるので1つぶっ壊れても大丈夫だけれども情報漏えいする危険性はバックアップが増えるに比例し2倍、3倍と増えてしまう。

どうするかは昔ながら。

  • モバイル・・・紛失しない
  • 据置型PC・・・建物に侵入されない
  • サーバー・・・システムに侵入されない

というわけで、SMSで全消しとかシンクライアントとか進化している点は凄いとは思うものの、防衛面では10年以上前から何も変わっていないと思った方がよろしいかと。

暗号化しておけば安全?

その通りだとしても、暗号化したデータにアクセスできる人間が居るのならば別の人間でも復号化できるわけで、個人的に暗号化の何が怖いかはパソコン故障した時に復号化できなくなる可能性が高い点で嫌い。

どうでも良いデータしか無い家庭内Windowsでパスワードをかけたり、無駄に暗号化したりすると、データ復旧できないとか、故障時にHDD取り出して別のPCで読み込み補完が難しくなるだけ。

シンクライアントはなぜ普及しないのか?

そこまでするほどの機密的なデータが無いのだろうと考えております。

サーバーがぶっ壊れたら終わり。バックアップも同じ建物内にあるなら火災で全焼して終わり。では海外のサーバーへバックアップしておくか?となると、データ盗まれるリスクが増える。

なぜデータ漏えい対策必死なのか?

個人情報保護法でしょうな。

私は個人情報やクレジットカードをヨドバシ.comなどで保存しているけれど、それは漏れても文句言わない前提だと思っております。嫌なら保存しなければよろしいという考え方。

神経質になりすぎている感がある

大昔のオンラインやりとりは匿名が基本との逆で、現在はFacebookなどで自爆しまくる情弱ばかり。その割に個人情報が~は矛盾しておりましょう。

上で引いた文章をもう一度。

シンクライアントは、7~8年前に一度、積極的な導入が進んだ。その多くはセキュリティを重視する金融系企業だが、ほかの業種にはなかなか広まらなかった。

結局、シンクライアントは金銭などの本当に漏れるとまずい組織でしか導入されず、従来どおりが普通と思われ特に何も変わらないと思う。

「シンクライアント導入についてご意見を」

というメールが来たので書いてみた。

私のような匿名のよく解らない人間に聞いている時点で真剣では無いのだろうし、やる組織は既にやっているだろうから今まで通りで良いのでは。

今月のオススメBTOパソコン

リンク用ソース

コメント(5)

障子で普通に生活したんだし多少はね

>組込向けのEnbededとは、銀行のATMとか車のカーナビ、デジタルサイネージなどに利用されるエディションのWindows

うちの社用車につけたナビに入ってますね。(Windows CE)
PC用と同じでクソですが、なんとか使い物にはなってます。

社用PCのデータは少し前からローカル/サーバ問わず自動暗号化されるようになって
ます。社内で使う限りは自動復号化されるのであまり気になりませんが、自動復号に
対応していない社内システムや取引先に共有する場合、手動復号しなければならず、
復号忘れによる再送依頼が多発。人の手間は増えました。セキュリティと効率は
トレードオフですね。

>Ophcrack
古いPCのログインパスが不明なとき、稀に使用したことがありました。会社のPCでも、5年以上前に辞めた方のユーザアカウントが残っているけれどパスなぞ知らん、というときに使用した記憶が。

>USBへ別のWindows 10を入れてそちらから起動し、中身を少し書き換え
恐らくこの作業ができる方はパスワードを忘れるミスは犯さないでしょうから、基本的に実行するのは他人のPCに対してでしょうね。

ところでわざわざWindowsのインストールメディアを作ってコマンドプロンプトから作業を行っているようですが、これ要は「utilman.exeをutilman.orgにリネームしてからcmd.exeをutilman.exeという名前でコピーして保存する」という動作ですよね。これだけならLinux系のライブOSでディスクから起動し、エクスプローラで該当ファイルを手動でリネームした方が楽な気が。

>シンクライアント
社長を含めて従業員すべてがノマドワーカー(会社のオフィス以外でも自由に作業環境を構築し仕事をする方々)な会社なら知っていますけれど、シンクライアントは理想としながら実現はしていませんね。ただし従業員数は20人くらい。

仕事上でも同僚はもとより上司にさえ見られたくない資料やデータはありますから、私もクラウド化くらいは賛成ですが、何でもかんでもネット上に全て集約するのは反対。

コメントする ※要ユーザ登録&ログイン

BTOパソコンメーカー比較

パソコン工房

高性能: ★★★★ 長保証: ★★

コスパ: ★★★★★ 安保証: ★★

部品選: ★★★☆☆

初心者や実用重視のPCユーザー向け。デスクトップ以外にノートも多数有り価格と性能のバランスが良く選びやすい。全国に実店舗が多数有るBTO PCメーカー。

マウスコンピューター

高性能: ★★★★★ 長保証: ★★

コスパ: ★★★★ 安保証: ★★

部品選: ★★★☆☆

パソコン工房と同様に機種が多くノートの取扱も有りゲーム用やクリエイター向けPCも有り。送料が比較的高額なので総額注意。知名度は国内トップクラス。

ドスパラ

高性能: ★★★★★ 長保証: ★★

コスパ: ★★★★ 安保証: ☆☆

部品選: ★★★☆☆

デスクトップPCならパソコン工房とマウス以外にドスパラも見る価値有り。秋葉原に本拠地を構える昔ながらのBTOパソコンメーカーで知名度はマウス並に高い。

DELL

高性能: ★★★☆☆ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ☆☆

部品選: ☆☆☆☆

2011年頃から安く無くDELLを選択肢に入れる理由が薄く回線抱き合わせ販売の価格がまぎらわしい。ゲームPCのAlienwareは見た目重視コスパ最悪なので要注意。

日本HP

高性能: ★★★★ 長保証: ★★

コスパ: ★★★☆☆ 安保証: ★★

部品選: ☆☆☆☆

高性能ノート以外は見る価値が薄く高額なLenovoという感じ。早々にWindows 7を捨て8に切り替えたので7が必要なら行っても無駄。2012年後半から迷走中。

TSUKUMO

高性能: ★★★★ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ★★

部品選: ★★☆☆☆

ヤマダ電機による買収後はマニアックな感は無くなり家電通販のような普通のパソコン屋に。BTO PCは機種が少なくやや割高。ツクモファンなら選択肢へ。

FRONTIER

高性能: ★★★☆☆ 長保証: ☆☆☆

コスパ: ★★☆☆☆ 安保証: ☆☆☆

部品選: ★★☆☆☆

2013年7月に(株)KOUZIROが倒産しヤマダ電機子会社インバースネットが続投。長期保証が消滅。これと言った特徴が無く難点は有れど利点が見当たらない。

サイコム

高性能: ★★★★★ 長保証: ★★

コスパ: ★★☆☆☆ 安保証: ★★★

部品選: ★★★★★

自作しない中~上級者のPCユーザ向け。初心者にはカスタマイズが難しく動かない構成でも購入できるので注意。パーツへのこだわりや知識が有るなら。

※並びはBTOメーカーの知名度の順。大小関わらず信用できない要素があるメーカーは未掲載。

勝手に評価シリーズ

結果として宣伝になっていますが依頼されたわけでは無く、依頼されてもやりません。

データ復旧のIUECを勝手に評価
あなたの街の~を勝手に評価
ESETセキュリティを勝手に評価

お知らせ


Windows 7サポート終了は2020年1月14日

カテゴリと更新通知

プロフィール

ヒツジ先輩

書いてる人:

BTOパソコンの元修理担当。ハードウェアに超詳しいワケではありませんが、どうしたら故障するのか何となく解るので壊れにくいパソコンを紹介します。