簡単な操作でWindowsのセキュリティ設定をチェックできる
「MyJVNセキュリティ設定チェッカ」を公開
ウイルスから個人情報や機密情報を守るため、USBメモリ自動実行機能を無効にしましょう
掲載日 2009年12月21日
>> ENGLISH
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、一般利用者のPCで使われているWindowsのセキュリティ設定項目を簡単な操作で確認できる「MyJVN(マイジェイブイエヌ)セキュリティ設定チェッカ」を開発し、2009年12月21日(月)から公開しました。
(URL: http://jvndb.jvn.jp/apis/myjvn/ )
最近、USB メモリの自動実行機能(オートラン機能)を悪用し、感染を拡大するウイルスが増加しています。自動実行機能とは、USB メモリをPCに接続した際にUSB メモリ内のファイルを自動的に開くWindows の機能のことです。「2008年 国内における情報セキュリティ事象被害状況調査」(*1)では、2008年のウイルス感染率は15.8%と、2007年の12.4%から上昇しており、この原因として上述のUSBメモリ経由で感染するウイルス「W32/Autorun」の影響が大きいと考えています。「W32/Autorun」は2008年に感染した中で最も多かったウイルスであり、全体の39.5%を占めました。
このようなウイルスの感染を防ぐ対策の一つは、USB メモリの自動実行機能を無効にすることですが、「2009年度 情報セキュリティの脅威に対する意識調査」によると「勝手にウイルスが起動しないように、USBメモリの自動実行をさせないようにしている」が15.1%(*2)に留まる一方、「対策を実施していない」が38.4%となっており、USBメモリの自動実行機能を無効にする対策があまり行われていません。USBメモリの自動実行機能を無効にすることをIPAでは推奨しています(*3)が、機能を無効にする方法や、無効になっているかを確認する方法は、一般の利用者にとって分かりづらいものです。
そこで、IPAでは、USBメモリの自動実行機能をはじめとした Windows のセキュリティ設定を簡単な操作で確認可能なツール「MyJVN(*4)セキュリティ設定チェッカ」を開発、公開しました。「MyJVN セキュリティ設定チェッカ」は、 http://jvndb.jvn.jp/apis/myjvn/ から無償で利用できます。今回、チェック対象とする項目は表1の通りとなっており、USBメモリの自動実行機能を、@無効にする設定になっているか、もしくは、A無効にするパッチが適用済みであるかを簡単にチェックできます。
表1. 今回「MyJVN セキュリティ設定チェッカ」がチェック対象とする項目
| チェック対象項目 | |
|---|---|
@ |
USBメモリ自動実行機能を無効にする設定になっているか |
A |
USBメモリ自動実行機能を無効にするパッチ(*5)が適用済みであるか |
図1は「MyJVNセキュリティ設定チェッカ」の実行画面です。マウスクリックだけの簡単な操作でチェックが行え、設定を変更するための説明ページへ数回クリックするだけで容易にアクセスすることが可能です。
図1.「MyJVNセキュリティ設定チェッカ」実行画面
「MyJVN セキュリティ設定チェッカ」がチェック対象とする項目は、今回公開したUSBメモリの自動実行機能に加え、パスワードの最低文字数やパスワードの有効期間、スクリーンセーバーの自動実行が有効になっているかなどを追加し、順次公開予定(*6)です。
本ツールが、個人や企業・組織を守るためのセキュリティ対策に活用されることを期待します。IPAでは今後も「MyJVN セキュリティ設定チェッカ」が活用しているOVAL(*7)など、脆弱性対策のための機械処理基盤を整備し、活用を推進することで、利用者の利便性向上に努めていきます。「MyJVNセキュリティ設定チェッカ」の動作環境は表2となります。
動作環境
表2.「MyJVN セキュリティ設定チェッカ」動作環境
OS |
Microsoft Windows XP SP2、SP3 または |
|---|---|
| ブラウザ | Internet Explorer 6、7 |
| JRE | Sun Java Runtime Environment 5.0, 6.0 |
脚注
(*1)「2008年 国内における情報セキュリティ事象被害状況調査」報告書
http://www.ipa.go.jp/security/fy20/reports/isec-survey/documents/2008_isec_domestic.pdf
(*2)「2009年度 情報セキュリティの脅威に対する意識調査」 4-5-3-1. USBメモリのセキュリティ対策の実施状況
http://www.ipa.go.jp/security/fy21/reports/ishiki/documents/2009-ishiki.pdf
(*3)年末年始における注意喚起
http://www.ipa.go.jp/security/topics/alert211221.html
(*4)IPAが提供している脆弱性対策情報データベース JVN iPedia( http://jvndb.jvn.jp/ ) を効率よく活用するフレームワーク(仕組み)の総称。「MyJVN バージョンチェッカ」を2009年11月30日から公開、提供しています。
http://www.ipa.go.jp/security/vuln/documents/2009/200911_myjvn_vc.html
(*5)USBメモリ自動実行機能を無効にするパッチは、「KB971029」です。「KB971029」を適用することにより、USBメモリ以外にも自動実行が無効になります。詳細については、「Windows の自動再生機能の更新プログラム」を参照ください。
http://support.microsoft.com/kb/971029/
(*7)OVAL:Open Vulnerability and Assessment Language. 米国政府が推進している、情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)の構成要素のひとつです。
http://www.ipa.go.jp/security/vuln/OVAL.html
(*8)Windows Vistaのチェック対象項目は、2009年12月21日時点では「USBメモリ自動実行機能の無効化設定」のみとなります。
プレスリリースのダウンロード
開発実施者
- 株式会社 日立製作所
参考情報
- 簡単な操作で製品のバージョンをチェックできる「MyJVNバージョンチェッカ」を公開(2009年11月30日公開)
- 脆弱性対策情報収集ツール「MyJVN」の英語版を公開(2009年1月15日公開)
- 脆弱性対策情報収集ツール「MyJVN」を公開(2008年10月23日公開)
- 共通脆弱性識別子CVE概説(2009年1月26日公開)
http://www.ipa.go.jp/security/vuln/CVE.html - 共通プラットフォーム一覧CPE概説(2008年10月23日公開)
http://www.ipa.go.jp/security/vuln/CPE.html - 共通脆弱性評価システムCVSS概説(2006年12月26日公開)
http://www.ipa.go.jp/security/vuln/CVSS.html - セキュリティ検査言語OVAL概説(2009年11月30日公開)
http://www.ipa.go.jp/security/vuln/OVAL.html - 共通脆弱性タイプ一覧CWE概説(2008年9月10日公開)
http://www.ipa.go.jp/security/vuln/CWE.html
本件に関するお問い合わせ先
IPA
セキュリティ センター 小林/杉山
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 
報道関係からのお問い合わせ先
IPA 戦略企画部広報グループ 横山/大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 
更新履歴
| 2009年12月21日 | 掲載 |
|---|