情報流出に関する話題は常にニュースのネタとなっていますが、2月23日のニュースによると遂に海上自衛隊の資料も流出してしまったようです。
このサイトでは何度も書いていますが、これらの情報流出を防ぐためには
- Winny 等の 不必要な P2P ソフトを使わない
- ウイルス対策をする
これだけでニュースで話題になっているような流出のほとんどは防げるわけです。
自宅で共同使用しているパソコンなどでは、家族が勝手にそれらのソフトをインストールしてしまわないような対策も必要になってきますが、基本的な事をやるだけでほとんどの情報流出が防げます。
最近、それらの流出話題に加え、Windows XP 等の管理者(Administrator)パスワードを解析してしまうソフトが出回っているようなので、この対策を説明しましょう。
Windowsのパスワード管理
Windows に限らず、各種ソフトウェアのパスワードは、暗号化されて保存されていますが、その暗号化したパスワードが解析できてしまえば、パスワードの意味が無くなってしまいます。もちろん、暗号は完全なわけでなく、どんな物でもいずれは解析できてしまいます。簡単な暗号なら1秒かからず、複雑な暗号は何十年かかってやっとという具合ですが。
Windows のパスワードは 15文字以上の場合、それなりに複雑な暗号になるため、解析は難しいのですが、それより短い場合は、簡単に解析できます。
メモ:
Windows パスワードを15文字以下にしている場合は、パスワードを解析しやすい。
その脆弱性を利用し、比較的簡単にパスワードを解析するソフトが出回っているようです。
そのソフトは、パソコンの光学ドライブにそのソフトを入れたCDを入れて起動することで、そのソフトが起動。HDD内の暗号化されたWindowsパスワードを解析、数秒でパスワードが表示されるというような仕組みのようです。
Windowsのパスワードを解析されないようにするためには
マイクロソフトのサイトでは以下のように説明されているようです。
Windows でパスワードの LAN Manger ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法
方法 1 : グループ ポリシーを使用して NoLMHash ポリシーを実装する
方法 2 : レジストリを編集して NoLMHash ポリシーを実装する
方法 3 : 15 文字以上の長さのパスワードを使用する
一番簡単なのは「方法3」の15文字以上のパスワードを設定することです。 さらに「方法2」のレジストリの編集も出来る方はやった方がよいでしょう。レジストリの編集は間違えるとOSが起動しなくなったりするので初心者の方にはお薦めしません。よくわからない方はメーカーのサポートを利用するかとりあえず、15文字以上のパスワードを設定しましょう。パスワードの中には英数字以外に記号も入れるとより効果的です。
さらに対策するには
これ以降はセキュリティ機能の高い機種限定になりますが、設定方法はパソコン本体のマニュアルなどを参照してください。
OSの起動はHDDのみにする
今回話題になっているパスワードを解析するソフトは、パソコンの電源投入時にCDにインストールしたソフトが起動し、パスワードを解析しますので、CDから起動出来なくなれば、それを防ぐ事が出来ます。また、HDD以外から起動できないようにする事で、似たような派生ソフトが登場しても防ぐ事が可能です。
BIOSのパスワードを設定する
上記、OSの起動をHDDのみにする方法は一般的にはBIOS(バイオス)の設定で行いますが、そのBIOS自体と、本体の起動をパスワードを入力しなければならないように設定する事で、起動すらしなくなります。
この設定により、パソコン本体が盗難にあった場合もパソコンを勝手に使用されなくなります。
HDDパスワードを設定する
また、BIOSでの設定になりますが、最近の機種ではHDD自体のパスワードを設定する事も可能です。
HDDパスワードを設定すると、パソコン内部のHDDを取り出して、他のパソコンに接続してもHDD自体が認識されないため、データを抜き出す事自体が出来なくなります。
パスワードは万能ではない
パスワードを設定しても、それが解読できてしまうことは、今回話題になったソフトの事を引き合いに出すまでもなくご存じの事と思います。
今回紹介したBIOSで設定するパスワードに関しても、機種によっては比較的簡単に解除してしまう事も出来るようです。セキュリティ対策が必要な方はデータの管理体制、パスワード管理などを常に最新の対策が出来るようにしましょう。