パスワード不明なWin10クラックやデータ漏えい対策

2018年4月18日

データ漏洩対策について考える。

ノートパソコンは出先での盗難や置き忘れにより情報が漏れそうなニュースが過去何度もあり、デスクトップPCでも侵入者がクラックしてデータを盗む事も考えられ企業はどう対策するべきか。

多少パソコン詳しいので提案など。

Windows 10のパスワードは簡単に破られる

Windowsのパスワード解析で有名なツールといえばOphclack(オフクラック)。

Ophcrack
http://ophcrack.sourceforge.net/

ophclack

但し現状ではラピュタと化してしまったようで、Windows 7までは対応しているもののそれ以降は使えない模様。

使用例としては、画像右のボタンからLive CDをダウンロードしてCDなどへ書込し、そのCDから起動して解析を行うと短いパスワードならば判明するかも知れないというもの、

弱点というか難点は、確か文字数が短い場合に限られ、しかもブルートフォースアタック(総当たり)解析であり国内向きではございません。

Windows 10でパスワード不明な場合

こちら。

パスワードを忘れたWindows OSにログオンする:Tech TIPS - @IT
http://www.atmarkit.co.jp/ait/articles/1312/06/news055.html

Windows 10でパスワード変更

流れを簡単にいうと、パソコンに入っているWindows 10からでは無く、USBへ別のWindows 10を入れてそちらから起動し、中身を少し書き換えてしまえば上の画像のようにユーザ名が表示可能。そしてパスワードを変更可能という。

@ITではサラリと書かれているけれど、悪用すれば正統なクラック(悪意あるハッキング)方法と言える手法。

マイクロソフトアカウントでログインしていようと管理者を追加してしまえばログインできてしまう辺りもマイクロソフトらしい紙防御。

このような感じで昔からWindowsのパスワードはあって無いようなものと言えるのはWindowsで遊び倒す人ならご存知な可能性が高い。

 

今一度シンクライアントという手を検討する

軽く10年以上前から普及すると言われていたシンクライアント。私が知らないだけかも知れないが導入している企業を知らない。大企業や外資系ではシンクラは普通なのだろうか。

例として最近のニュースならばこういうやつ。

PCの各種ポートや利用できるネットワークを限定する情報漏えい対策ソフト「FUJITSU Software Portshutter Premium」を用意する。

source:富士通、VESAマウント可能な「FUTRO S740」など法人向けシンクライアント端末3機種を発表 - クラウド Watch

この新製品プレスリリースではシンクライアントとは何かが全然分からないので簡単に説明すると、パソコン本体には最低限のデータしか保存せず、サーバーでほぼ全部やってしまうPC。

例として経理部署なら、パソコン側にはWindowsと会計ソフトは入っているが保存するデータは全部サーバー側に保管されており、ローカルPCにはWindowsと会計ソフトしか入っていない感じ。

もっとやるならWindowsなどOSしか入っておらずサーバー接続して何かするモノが純粋なシンクライアントと言える状態で、PC本体がどうなろうと固有のデータはローカルに保存されていないのでサーバーに接続出来なければ何も出来ない環境。

ゲーム機に置き換えると、プレステ本体はあるがソフトが無いとか、Steamならダウンロードしたゲームを全部サーバー上に置いているのでログインしなければSteamクライアントの基本機能しか使えないような。

キャリア回線が3Gから4Gになり5Gも予定されている現在、これが本命だと思っていたけれど採用している企業の人と会った事がございません。

やはり大企業向けなのだろうか。

あえて組込向けWindowsという考え方も

こちらも最近のニュースより。

ASCII.jp:なぜVAIOは組み込み向けWindowsを、自社製品に取り入れたのか (1/3)|「VAIO、法人向く。」の現在を探る
http://ascii.jp/elem/000/001/654/1654871/

サブタイトル。

VAIOのマシンをシンクライアントとして利用可能に

見出しを引用。

シンクライアントが可能なWindows Embedded OS(中略)

またローカルストレージにデータを残さない「ロックダウン」機能などはセキュリティを高めるために有効だ。Windows Embedded OSならではの機能と言える。

組込向けのEnbededとは、銀行のATMとか車のカーナビ、デジタルサイネージなどに利用されるエディションのWindowsで、特定の限定された機能しか使えないバージョン。個人向けでは無いため通常はPC製品丸ごとの購入が必要。

様々な事に使えるパソコンがWindowsであるべきとは逆にローカルPC内に何も保存しないため、PC本体盗まれても単に機械を失うだけでサーバーに接続できなければデータにはアクセスできない。

シンクライアントは、7~8年前に一度、積極的な導入が進んだ。その多くはセキュリティを重視する金融系企業だが、ほかの業種にはなかなか広まらなかった。

やはりハードルが高いのか。

 

SMS通信による遠隔操作でのデータ消去も

こういう手もあると最近知った。

モバイルパソコンの情報漏えい対策|ワンビ株式会社
https://www.onebe.co.jp/product/

onebe-pana-vaio

下段にある通りパナソニック(レッツノート)とVAIOでナチュラルに採用。

何するかはモバイルノートを紛失した際、情報漏洩や盗難を避けるためにSMS通信によるデータ消去命令をインターネットを介さず行うというもの。

image_tdvaio_utilization_on

こちらの企業のページ内には価格情報が一切無いので検討する以前の問題だと思うのは私だけだろうか。無料の試用もあるけれど、良いと思ったが100台まで月100万円とか言われても困る。

というわけで探してみるとVAIOならこちら。

  • 1年版:\6,000
  • 2年版:\11,500
  • 3年版:\17,000
  • 4年版:\22,500
  • 5年版:\28,000

source:VAIO | 運用 | VAIOのPCソリューション

1年版は月あたり500円。年間6千円の保険と思えば安いのか。

しかしこの方法で最初に書いたWindows 10の管理者権限アリにした状態のクラックを防げるかは中身良く解らないので疑問。

また、電源を入れる前にSSDやHDD抜かれて別のパソコンへ接続された場合には無力だと思うのだけれども。

 

そこにデータがある限り盗まれる可能性はある

形あるものいつかは~と同様、データが存在している限りはアクセスされる可能性があるのは正規ユーザがアクセスできるのだから当たり前。

ローカルにデータがあるならWindows 10ではパスワード無力化やSMSでデータ消せるとしても回避方法はあり、サーバーにしかデータが無くともサーバーにアクセスされた場合に全端末ユーザのデータが盛大に盗まれてしまう。 

また、私のような個人レベルのパソコンでさえバックアップは基本的に二重、モノにより3重になっているデータもあるので1つぶっ壊れても大丈夫だけれども情報漏えいする危険性はバックアップが増えるに比例し2倍、3倍と増えてしまう。

どうするかは昔ながら。

  • モバイル・・・紛失しない
  • 据置型PC・・・建物に侵入されない
  • サーバー・・・システムに侵入されない

というわけで、SMSで全消しとかシンクライアントとか進化している点は凄いとは思うものの、防衛面では10年以上前から何も変わっていないと思った方がよろしいかと。

暗号化しておけば安全?

その通りだとしても、暗号化したデータにアクセスできる人間が居るのならば別の人間でも復号化できるわけで、個人的に暗号化の何が怖いかはパソコン故障した時に復号化できなくなる可能性が高い点で嫌い。

どうでも良いデータしか無い家庭内Windowsでパスワードをかけたり、無駄に暗号化したりすると、データ復旧できないとか、故障時にHDD取り出して別のPCで読み込み補完が難しくなるだけ。

シンクライアントはなぜ普及しないのか?

そこまでするほどの機密的なデータが無いのだろうと考えております。

サーバーがぶっ壊れたら終わり。バックアップも同じ建物内にあるなら火災で全焼して終わり。では海外のサーバーへバックアップしておくか?となると、データ盗まれるリスクが増える。

なぜデータ漏えい対策必死なのか?

個人情報保護法でしょうな。

私は個人情報やクレジットカードをヨドバシ.comなどで保存しているけれど、それは漏れても文句言わない前提だと思っております。嫌なら保存しなければよろしいという考え方。

神経質になりすぎている感がある

大昔のオンラインやりとりは匿名が基本との逆で、現在はFacebookなどで自爆しまくる情弱ばかり。その割に個人情報が~は矛盾しておりましょう。

上で引いた文章をもう一度。

シンクライアントは、7~8年前に一度、積極的な導入が進んだ。その多くはセキュリティを重視する金融系企業だが、ほかの業種にはなかなか広まらなかった。

結局、シンクライアントは金銭などの本当に漏れるとまずい組織でしか導入されず、従来どおりが普通と思われ特に何も変わらないと思う。

「シンクライアント導入についてご意見を」

というメールが来たので書いてみた。

私のような匿名のよく解らない人間に聞いている時点で真剣では無いのだろうし、やる組織は既にやっているだろうから今まで通りで良いのでは。

今月のオススメBTOパソコン

リンク用ソース

コメント(5)

障子で普通に生活したんだし多少はね

>組込向けのEnbededとは、銀行のATMとか車のカーナビ、デジタルサイネージなどに利用されるエディションのWindows

うちの社用車につけたナビに入ってますね。(Windows CE)
PC用と同じでクソですが、なんとか使い物にはなってます。

社用PCのデータは少し前からローカル/サーバ問わず自動暗号化されるようになって
ます。社内で使う限りは自動復号化されるのであまり気になりませんが、自動復号に
対応していない社内システムや取引先に共有する場合、手動復号しなければならず、
復号忘れによる再送依頼が多発。人の手間は増えました。セキュリティと効率は
トレードオフですね。

>Ophcrack
古いPCのログインパスが不明なとき、稀に使用したことがありました。会社のPCでも、5年以上前に辞めた方のユーザアカウントが残っているけれどパスなぞ知らん、というときに使用した記憶が。

>USBへ別のWindows 10を入れてそちらから起動し、中身を少し書き換え
恐らくこの作業ができる方はパスワードを忘れるミスは犯さないでしょうから、基本的に実行するのは他人のPCに対してでしょうね。

ところでわざわざWindowsのインストールメディアを作ってコマンドプロンプトから作業を行っているようですが、これ要は「utilman.exeをutilman.orgにリネームしてからcmd.exeをutilman.exeという名前でコピーして保存する」という動作ですよね。これだけならLinux系のライブOSでディスクから起動し、エクスプローラで該当ファイルを手動でリネームした方が楽な気が。

>シンクライアント
社長を含めて従業員すべてがノマドワーカー(会社のオフィス以外でも自由に作業環境を構築し仕事をする方々)な会社なら知っていますけれど、シンクライアントは理想としながら実現はしていませんね。ただし従業員数は20人くらい。

仕事上でも同僚はもとより上司にさえ見られたくない資料やデータはありますから、私もクラウド化くらいは賛成ですが、何でもかんでもネット上に全て集約するのは反対。

コメントする ※要ユーザ登録&ログイン

BTOパソコンメーカー比較

マウスコンピューター

高性能: ★★★★ 保証: ★★★

コスパ: ★★★★★ 安定: ★★★

初心者: ★★★★★

令和時代の鉄板スタンダードなPC初心者向けメーカー。標準構成のバランス感覚が突出しており、私でさえケチを付けることが滅多にできない。性能の下から上まで幅広く実用的。

パソコン工房

高性能: ★★★★ 保証: ★★

コスパ: ★★★★★ 安定: ★★

初心者: ★★★★

性能とパーツの相場がある程度わかる人なら標準構成が多いのでコスパ重視で選びやすい。同じに見える同じ価格でも仕様の違いがどうなのか判る人には最適。

ドスパラ

高性能: ★★★★ 保証: ☆☆

コスパ: ★★★☆☆ 安定: ★★

初心者: ★★★★

昔はドスパラ=BTOだったけれど最近は普通のパソコンに力を入れておらず、2018-2019年の偽インテルチップ中華SSDの件が未解決なので信用問題的に何とも言えない。

DELL

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★☆☆☆ 安定: ☆☆

初心者: ☆☆☆☆

10年以上前まではDELL=初心者向けの安いパソコン、それはもう通用しておりません。クーポン適用後が適正価格だと見抜けるパソコン詳しい人向け、または大人買いで割安になる法人向け。

日本HP

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★★☆☆ 安定: ★★

初心者: ★★★☆☆

コスパと性能以外にも見た目も重視したいならHPのノートも選択肢としてアリ。自社製造状態なのでBTO=ダサい印象は払拭されるかと。デスクトップは法人用、ゲーミングは海外向け。

FRONTIER

高性能: ★★☆☆☆ 保証: ☆☆☆

コスパ: ★★★☆☆ 安定: ☆☆☆

初心者: ★★★☆☆

フロンティア神代の解散後、現所長のパワハラがひどいとタレコミが複数あり、私から内情を運営会社へ伝えると逆ギレされて私を訴えるぞと謎すぎる返しがあり困惑中。

サイコム

高性能: ★★★★★ 保証: ★★★

コスパ: ★★★☆☆ 安定: ★★★

初心者: ☆☆☆☆☆

PC自作しない中~上級者向け、昔ながらの2chおっさん御用達な鉄板メーカー。動かない構成でも購入できるので初心者にはおすすめ不能。量産系BTOのようにコスパ悪くならないのでサイコムだけは自由なカスタマイズを激しくおすすめ。

※並びはBTOメーカーの知名度の順(暫定)で、大小関わらず信用できない要素があるメーカーは未掲載。

勝手に評価シリーズ

結果として宣伝になっていますが依頼されたわけでは無く、依頼されてもやりません。

データ復旧のIUECを勝手に評価
あなたの街の~を勝手に評価
格安SIMなb-mobileを勝手に評価
格安SIMなLinksMateを勝手に評価

カテゴリと更新通知

プロフィール

ヒツジ先輩

書いてる人:

BTOパソコンの元修理担当。ハードウェアに超詳しいワケではありませんが、どうしたら故障するのか何となく解るので壊れにくいパソコンを紹介します。