はじめに
マイクロソフトは、リムーバブル デバイス上のファイルへのアクセスに使用できる、詳細な情報とツールについて認識しています。これらのツールは、サーバー版以外のディストリビューションの Microsoft Windows 上の NTFS ファイル アクセス許可を回避できます。マイクロソフトは、この問題が "リムーバブル" とマークされている内部ディスクと固定ディスクだけでなく、USB、Firewire、E-SATA、SD、およびその他のリムーバブル メディアなどの外部メディアにも影響することを認識しています。また、物理的な位置 (コンピューター本体の内部/外部) や、ディスクで使用されている接続の種類に関係なく、ある種の記憶域コントローラー上のディスクが "リムーバブル" とマークされる場合がある状況も認識しています。
この問題は、プライマリ システム ボリューム (つまり、Windows の現在の実行元であるデバイス) には影響しません。
既定の構成で影響を受けるシステムが、主に危険にさらされます。たとえば、これには Windows Vista、Windows 7 および Windows 8 を搭載している、複数のディスクを使用するシステムが含まれます。
詳細
お使いの環境が問題の影響を受けるかどうかを確認する方法
-
管理者としてコマンド プロンプト ウィンドウを開きます。これを行うには、[スタート] ボタンをクリックし、「CMD」と入力します。次に、[Cmd.exe] を右クリックし、[管理者として実行] をクリックします。
-
管理者権限を持つコマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
PowerShell
-
PowerShell プロンプトで次のコマンドを入力します。
Get-WmiObject -Class Win32_DiskDrive | Format-Table Name,Model, MediaType
このスクリプトにより、以下のような出力が返されます。
|
Name |
Model |
MediaType |
|---|---|---|
|
\\.\PHYSICALDRIVE0 |
ST31000528AS |
Fixed hard disk media |
|
\\.\PHYSICALDRIVE3 |
WD Ext HDD 1021 USB Device |
External hard disk media |
|
\\.\PHYSICALDRIVE4 |
Corsair Voyager 3.0 USB Device |
Removable Media |
返された MediaType が "Removable Media" または "External hard disk media" である場合、その構成は、この資料に記載されている問題の影響を受けます。
解決方法
マイクロソフトは、"リムーバブル" とマークされているセカンダリ ディスクのオペレーティング システム レベルのディスク アクセス許可を保持したいお客様は、以下のいずれかのセキュリティ強化手順を実行することを推奨します。
-
Microsoft Bitlocker を有効にする (推奨)。
リムーバブル デバイスまたはメディアへの読み取りおよび書き込みアクセス許可の制御を有効にする
リムーバブル デバイスまたはメディアへの読み取りおよび書き込みアクセス許可の制御を有効にするには、以下の手順を実行します。
-
Windows キーを押しながら R キーを押して、[ファイル名を指定して実行] を開きます。
-
「MMC.exe」と入力し、Enter キーを押します。
-
[ファイル] メニューの [スナップインの追加と削除 (Ctrl + M)] をクリックし、[グループ ポリシー オブジェクト エディター] を選択します。[OK] をクリックします。
-
[参照] をクリックし、[ユーザー] タブをクリックし、[非管理者] をダブルクリックします。
-
[完了] をクリックし、[OK] をクリックします。
-
ナビゲーション ウィンドウで、[Local Computer\Non-Administrators Policy] を展開し、[ユーザーの構成]、[管理用テンプレート]、[システム] の順に展開し、[リムーバブル記憶域へのアクセス] をクリックします。
-
[すべてのリムーバブル記憶域クラス: すべてのアクセスを拒否] をダブルクリックし、[有効] オプションをオンにします。
-
[適用] をクリックし、[OK] をクリックします。
上記のセキュリティ強化手順を実行できない場合は、影響を受けるディスクまたはデバイスには機密情報を保存しないことをお勧めします。たとえば、さまざまなユーザーがワークステーションや、ファイル システムのバックアップを共有する場合は、個人情報や認証情報を保存しないようにします。詳細については、ディスク コントローラー ハードウェアの製造元に問い合わせてください。
自動的にシステムを構成し、リムーバブル デバイスへの読み取りおよび書き込みアクセス許可を禁止する、Microsoft Fix it 自動ソリューションが提供されています。
この問題を自動的に解決するには、「Fix it で解決する」セクションに進んでください。
Fix it で解決する
Windows 7 または Windows 8 用の Fix it ソリューション
この Fix it ソリューションを有効または無効にするには、[有効にする] 見出しの下または [無効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、このウィザードの手順に従います。
|
有効にする |
無効にする |
|---|---|
Windows Vista 用の Fix it ソリューション
この Fix it ソリューションを有効または無効にするには、[有効にする] 見出しの下または [無効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、このウィザードの手順に従います。
|
有効にする |
無効にする |
|---|---|
注意事項
-
これらのウィザードは英語版のみとなります。自動的な解決は英語版以外の Windows でも機能します。
-
操作しているコンピューターに問題がない場合、自動的な解決をフラッシュ ドライブまたは CD に保存して、問題のあるコンピューターで実行することができます。
FAQ
-
Windows で、記憶域メディアの種類が異なるとセキュリティ ポリシーが異なる理由を教えてください。
Windows では、ハード ディスク ドライブや SSD (Solid State Drive) などの従来の固定ディスクから、SD カードや USB サム ドライブなどのリムーバブル ディスクに至る、多くの記憶域デバイスをサポートしています。多くの記憶域デバイスをサポートすることで、お客様は、Windows と互換性のあるハードウェアの機能豊富なエコシステムと共に、多くのシナリオで Windows を使用できるようになります。これには、カメラや携帯電話などの一般消費者向けデバイスが含まれます。家庭から中小規模企業、大企業まで、Windows が展開されているさまざまなすべての環境でのすべての状況とデバイスに対して、Windows は端末デバイス間での便利な操作を実現しています。
これらのさまざまな状況をサポートするように Windows を設計するには、それぞれの状況に関連するさまざまな要件と優先事項を把握する必要があります。要件と優先事項には、使いやすさ、セキュリティ、管理しやすさ、およびその他の機能など、幅広い考慮事項が含まれます。そのため、セキュリティの観点から、特定のカテゴリの記憶域デバイスを管理する方法に違いが生じます。このことは、多くの要因を反映しています。そのような要因には、デバイスが使用される環境 (主に、家庭内と企業環境など) や、さまざまなデバイスの中でそのデバイスが使用されるかどうか、などがあります。また、Windows ベースではないデバイスも含まれます。 -
この問題の原因は何ですか?
セキュリティ ポリシーの主な相違点は、従来の固定ディスクとリムーバブル ディスク間の相違点です。
既定では、従来のハード ディスクに格納されているデータへのアクセスは、システムのアクセス制御リスト (ACL) により制限され、管理者特権のアクセス許可が必要になります。これにより、さまざまな環境で適切なレベルのセキュリティが実現されます。また、単一ユーザーのシステムと複数ユーザーのシステムの両方を使用できるようになります。多くの PC では、ハード ディスクはオペレーティング システムなどの重要なデータが配置されている場所であり、このデータにアクセスするには、ACL により管理者特権の資格情報が必要になります。Windows では、必要に応じてより詳細な方法でこのポリシーを制御できるように、さまざまな管理ツールが用意されています。このようなツールには、Bitlocker、グループ ポリシー、および追加の ACL があります。ハード ディスク上では、管理者以外のユーザーはフォーマットなどのボリュームレベルのツールを実行できず、またファイル システムの内容に直接ブロックレベルでアクセスすることはできません。
対照的に、基本的にリムーバブル メディアは、さまざまなデバイス間で移動できるように設計されています。このようなデバイスには、カメラや携帯電話など、一般消費者向けの電子デバイスや、Windows ベースではないデバイスが含まれます。既定では、リムーバブル メディアに格納されているデータへのアクセスには、管理者特権のアクセス許可は必要ありません。これらのデバイスは、通常、一般消費者向けの電子デバイスと関連付けられています。これらのデバイス上のデータは、アクセスと管理を容易にする必要があります。たとえば、リムーバブル デバイス上のファイル システムが破損した場合、どのようなユーザーでも chkdsk を実行すると破損の修復を試行できます。セキュリティの強化が優先事項である環境では、リムーバブル メディアへのアクセスを防止する追加的な制御を実装したり、すべてのリムーバブル メディアの暗号化を義務付けることができます。これにより、リムーバブル メディアの使用は、セキュリティ要件の一部として制限されます。 -
自分の構成に脆弱性があるかどうかを確認する方法を教えてください。
ユーザーは、デスクトップの通知領域にある "ハードウェアの安全な取り外し" クイック アクセス アイコンを使用すると、環境にリムーバブル デバイスが存在するかどうかを確認できます。デバイスのこのメニューに表示されている場合、そのデバイスは "リムーバブル" としてマークされていることを意味します。
ユーザーは、コントロール パネルでリムーバブル デバイスの一覧にアクセスすることもできます。たとえば、[すべてのコントロール パネル項目] を開き、[デバイスとプリンター] を開き、[デバイス] タブをクリックする方法があります。
Windows PowerShell を使用して、構成に脆弱性が存在するかどうかを確認する方法の詳細については、「お使いの環境が問題の影響を受けるかどうかを確認する方法」セクションを参照してください。 -
既定の構成ではどの Windows オペレーティング システムが影響を受けますか?
既定の構成では、Windows Vista、Windows 7、および Windows 8 が影響を受けます。 -
グループ ポリシーを介してリムーバブル メディアに読み取りと書き込みのアクセス許可を強制することには、どのような潜在的リスクがありますか?
グループ ポリシーを介してリムーバブル記憶域デバイスへのアクセスを制限すると、一部のアプリケーションで起動エラーが発生したり、管理者特権のアクセス許可が必要になる場合があります。たとえば、バックアップ ソフトウェアが、リムーバブル デバイスとの間でバックアップを実行できない場合があります。同様に、ディスクのチェック (chkdsk) やディスクのフォーマットの種類の操作に、管理者権限のアクセス許可が必要になります。これにより、実行が制限されているモードでは、ディスク管理およびディスク操作ソフトウェアでエラーが発生する可能性があります。 -
Bitlocker を使用することの潜在的なリスクは何ですか?
Bitlocker は、リムーバブル デバイスでデータのセキュリティを保護するための推奨されるソリューションです。Bitlocker を使用すると、Bitlocker でデータの暗号化と暗号化解除を行っている間、パフォーマンスがわずかに低下します。 -
攻撃者は脆弱性を利用して何を行いますか?
管理者以外のアクセス許可を持つ攻撃者は、ローカル管理者であるかどうかに関係なく、ディスクを読み書きできる可能性があります。攻撃者は、デバイスとファイル システムに任意の読み取りおよび書き込みのアクセスを行うことができます。これにより、ターゲットの情報が漏えいする可能性があります。
謝辞
マイクロソフトは、お客様を保護するための共同作業に関して、次の方に謝意を表します。
-
この問題で協力していただいた George Georgiev Valkov 氏。
