Windowsのパスワードは解除可能!テレワークPCに必要な対策は

WindowsクライアントOS
スポンサーリンク

Windowsのログオンパスワード、解除する「裏技」があるのはご存じでしょうか。「困ったときに役立つ豆知識」とされている面もありますが、テレワーク用PCなどでは致命的なセキュリティリスクになりかねません。今回は啓蒙の意味を兼ねて、リスクと対策を紹介します。

結論

Windows PCは、実機が手元にあれば、ログオンパスワードを解除することができてしまいます。この事実を受け止めて、持ち出し用PCには、BitLockerドライブ暗号化とスタートアップPINを有効化しましょう。

ログオンパスワードが解除される理由

Windows 10(8.1, 8, 7も)の「裏技」(不具合?)として、ログオンパスワードを知らなくても、特定の操作をすることでパスワードを上書きする方法があります。この操作は、特別難しいものではなく、方法さえ知っていれば誰でもできるものです。

具体的には、Windowsのインストールメディア(DVDやUSBメモリ)でブートし、コマンドプロンプトから「コンピューターの簡単操作」機能(utilman.exe)に細工をします。そのあと、通常のログオン画面を開き、細工した「コンピューターの簡単操作」を使って、既存ユーザーのパスワード変更コマンドを実行する…という方法です。詳しくは、@IT(外部サイト)の以下記事が参考になります。

この方法は、Windows 7時代からあったようで、Windows 10でも修正されていません。早く修正すべき脆弱性だと思うのですが・・・。

何が危険なのか

Windowsのログオンパスワードは、どれだけ複雑にしようとも、実機さえ手に入れてしまえば簡単に上書きできてしまいます。つまり、PCが第三者の手に渡ってしまったら、ログオンパスワードはもはや無意味ということになります。

最近はテレワークの増加に伴い、会社が専用のノートPCを支給し、社員が自宅などから会社にVPN接続するというケースも多いと思います。このPCが紛失や盗難で第三者の手に渡ってしまった場合、前述の方法でWindowsにログオンされるということが十分あり得ます。

あなたの持ち出し用PCは、第三者にログオンされても安全でしょうか?きっとそんなことはないと思います。もし、テレワーク用などのVPN接続パスワードがPCに保存されていたら、組織内に侵入される危険があります。つまり情報漏洩の可能性があるのです。

どう対策すればよいか

お勧めしたいのは、「BitLockerドライブ暗号化+スタートアップPINを有効にする」という対策です。こうすると、PCの電源起動時にPINコードが要求され、前述の「裏技」が使えなくなります。

「BitLockerドライブ暗号化」とは、PCのSSD/HDDを暗号化する機能です。Windows 10 Pro, Enterpriseの標準機能ですので、会社で使っているPCなら大体使えると思います(いわゆるHomeはNG)。ちなみにTPM(セキュリティチップ)の搭載が原則必要ですが、近年のモバイル用PCならほとんど搭載されていると思います。

ドライブ暗号化だけ行い、スタートアップPINを不要にすることもできますが、「裏技」の対策になるか疑問が残ります(PC起動とともに、TPMによりロック解除されるのでは)。そのパターンは、実際に「裏技」ができないかどうかテストする必要があるでしょう。それで効果が無ければ、やはり電源起動時にPINコード認証を追加する必要があります。

BitLockerドライブ暗号化は、PCが第三者に渡ってしまった場合に、SSD/HDDから直接データを抜き取られることを防ぐ効果もあります。その意味でも、会社の持ち出し用PCは一律設定しておくのが良いと思います。

補足

PC起動時の認証方法として、PINコードでなくUSBメモリをキーにすることもできます。しかし、PCに挿しっぱなしにした状態で紛失や盗難のリスクがあるため、PINコードの方がベターな気がします。ちなみにPINコードを複数回連続で間違うとロックアウト状態になり、正しいPINコードを入力しても起動できなくなります。この場合は、回復キー(数十桁の文字列)で復旧する必要があります。実運用上、誤入力のトラブルは面倒ですが、こういう仕様なので短いPINコードでも、総当たり攻撃に対する安全性を確保することができます。

PINコードの場合気を付けるべき点として、使用者が「PINコードを付箋に書いてPCに貼り付けてしまう」ことです。これをやられると、上記の対策の意味がなくなります。せめて紙に書いてもいいから、絶対にPCと一緒に保管しないでほしい・・・。この辺りは、管理者の悩みですね。

フィードバック

コメント

タイトルとURLをコピーしました