こんにちは、阿久津です。早いもので本連載も300回目を数えました。WindowsのOSごとにタイトルを変更してきた以前の連載を含めて、10年以上20年未満と筆者もよく把握しておりません。いずれにせよ、今後とも末永くご愛読いただければ幸いです。

さて、某教育・出版企業で起きた個人情報漏えい事件が世間を騒がしていますが、その際に使われたのがUSBメモリーではなくスマートフォンだとか。Windows XP時代から、外部記録メモリーの接続や書き込みを抑制する機能は備わっていました。件の某企業も同様のセキュリティ設定は施していたことでしょう。しかし、外部記憶メモリーがスマートフォンという点が落とし穴でした。

WindowsデバイスにUSBストレージなどリムーブバブルデバイスを接続する場合、デバイスの種類によってOS側の判断が異なります。USBメモリーなど一般的なリムーバブルデバイスはデバイスセットアップクラスに属しますが、今回のスマートフォンは、WPD(Windows Portable Devices)に属するため、通常のセキュリティ設定では対象外。容疑者はこのクラス設定の違いを悪用したのかもしれません。

MSDNの「System-Defined Device Setup Classes Available to Vendors (Windows Drivers)」によれば、USBメモリーなどのクラスGUIDは「{88BAE032-5A81-49f0-BC3D-A4FF138216D6}」、WPDは「{eec5ad98-8080-425f-922a-dabf3de3f69a}」と定義されているため、WPDのアクセス抑制も必要になるのです。

個人では不要な設定かもしれませんが、企業では情報漏えいが信用問題につながります。そこで今週はグループポリシーエディターを使用し、スマートフォンへのアクセスを禁止するチューニングをお送りします。グループポリシーエディターを使用できない無印版Windows 8/8.1や、Windows 7 Home Premiumを含む下位エディションは対象外となることに注意してください。

1. 管理者権限でグループポリシーエディターを起動します。
2. ツリーを展開し、「これらのデバイスセットアップクラスと一致するデバイスのインストールを禁止する」を開きます。
3. 設定ダイアログを有効にし、<表示>ボタンをクリックします。
4. WPDのクラスGUIDを入力します。
5. <既にインストール済みの一致するデバイスにも適用されます>を有効にします。
6. グループポリシーエディターを終了します。

これでチューニングが完了しました(図01~06)。

図01 [Win]+[R]キーを押して「ファイル名を指定して実行」を起動し、テキストボックスに「gpedit.msc」と入力して<OK>ボタンをクリックします

図02 グループポリシーエディターが起動したら、「コンピュータの構成」→「管理用テンプレート」→「システム」→「デバイスのインストール」→「デバイスのインストールの制限」とクリックして展開します

図03 「これらのデバイスセットアップクラスと一致するデバイスのインストールを禁止する」をダブルクリックします

図04 ダイアログが開いたら、<有効>→<表示>ボタンを順にクリックします

図05 別のダイアログが開きます。空のテキストボックスをダブルクリックし、「{eec5ad98-8080-425f-922a-dabf3de3f69a}」と入力して<OK>ボタンをクリックします

図06 元のダイアログに戻りましたら、<既にインストール済みの一致するデバイスにも適用されます>→<OK>ボタンと順にクリックします

では、結果を確認してみましょう。Windowsデバイスに接続済みのスマートフォンがある場合、デバイスドライバーの検出やインストールを試みますが、今回のチューニングで抑止しているため、インストールされることはありません(図07~08)。

図07 スマートフォンを接続しますと、デバイスドライバーのインストールが始まります

図08 しかし、完了後はデバイスドライバーのインストールが失敗に終わっていることが確認できました

グループポリシーエディターの「これらのデバイスセットアップクラスと一致するデバイスのインストールを禁止する」から設定した結果は、HKEY_LOCAL_MACHINE\ SYSTEM\DriverDatabase\Policies\Restrictions\DenyDeviceClassesキーに格納されます。具体的には、HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Group Policy Objectsキー下に一端書き込まれ、その結果は以前のgpupdate.exeコマンドと同等の処理をバックグラウンドで実行。その結果として先のキーに囲まれる仕組みでした。

それなら、DenyDeviceClassesキーに直接書き込めば済む話と検証してみたところ、スマートフォンにドライブレターが割り当てられる始末。さらにSYSTEMキー下はユーザーにアクセス権が割り当てられていませんので、今回はスマートに操作できるグループポリシーエディターを使用することにしました。

それでは、また次号でお目にかかりましょう。

阿久津良和(Cactus