ITセキュリティ女子のブログ

仕事の合間にさっと読めるITセキュリティの話

監視・分析とガバナンス

お手軽データ交換機能に要注意!Windows 10の「近距離共有」に潜むリスク

公開日:
更新日:
監視・分析とガバナンス
#エンドポイントセキュリティ
お手軽データ交換機能に要注意!Windows 10の「近距離共有」に潜むリスク

みなさんこんにちは。長谷川まりです。

今回は、今多くの企業で展開中のWindows10のセキュリティ対策をテーマに、知っていると便利だけれどリスクをはらむ「近距離共有」についてお話します。

近距離共有とは

近距離共有とは、近くのPCへさくっとデータを共有できる機能です。 April 2018 Update(1803)で機能追加されました。BluetoothまたはWi-Fiを使うことで、エクスプローラーからドキュメントや写真を、近くのWindows 10端末へ送ることができます。

近距離共有は、わざわざメールやWebを開いたり、 共有フォルダを探したり、USBメモリやCD、DVDといったメディアを介さないで済むお手軽さがメリットです。例えばプロジェクタがない社内会議でも、メンバーの手元PC同士で、ダイナミックにデータの共有ができちゃったりするのも便利ですね。

設定方法も簡単です。設定が有効なPC同士であれば、ペアリングなどの事前準備も不要で、すぐに使えるようになります。

※Windows10での設定方法:

  1. [スタート]ボタンを選び、[設定]-[システム]-[共有エクスペリエンス] の順に選びます。

  2. [近距離共有] をオンにします。

  3. [次の場所から共有または受信できます]にて、[近くにいるすべてのユーザー」を選びます。

  4. 別のPCで、手順1~3を実施します。

※参考:https://support.microsoft.com/ja-jp/help/4091344/windows-10-share-things-with-nearby-devices

これで、送受信するPC間での近距離共有が有効になりました。次に共有手順を見てみましょう。

近距離共有のデータ共有手順

近距離共有のデータ共有は、送信したいファイルを右クリックし、送信先のPCを一覧から選択。受信側はメッセージが届いたら「保存」を選択すれば完了です。

近距離共有のリスク

このように、近距離共有は簡単な手順でできてしまいますが、リスクが存在することを忘れてはいけません。

データ持ち出しのリスク

現状の対策で、近距離共有によるデータ持ち出しも防げていますか?まだWindows10の展開中、という場合は特に、抜け穴になってしまっている恐れはないか確認しても良いかもしれません。

  • 既にセキュアルームでネットワークを分離しているから安心!⇒ネットワークを分離していても、近距離共有を防ぐことはできません。

  • 既にUSBメモリ接続を禁止しているから安心!⇒USBメモリ接続を禁止していても、近距離共有を防ぐことはできません。

なお、BluetoothのClass1では100メートルの通信が可能です。アシストのオフィスは100メートルはありませんが、オフィスで実際に検証してみたところ、端から端まで、50メートル先のPCを近距離共有のPCとして探し出し、該当PCに対してデータ送信ができてしまいました。遠くから私物PCをこっそり持ち込んでおいて、本来は持ち出し不可のデータを不正に持ち出すことも、出来てしまうかもしれません。

データ持ち出しログが取得されないリスク

これはすごく怖いことです。Windows10のモバイルホットスポット機能同様、操作ログツールを導入していたとしても、近距離共有でファイルをコピーしたログは取得できませんので、漏洩経路の特定ができない恐れがあります。情報を不正に持ち出したい人にとっては、有利であると言えますね。

社外でのデータ受信リスク

あまり無いかもしれませんが、もし、機能を有効にしたままPCを外に持ち出してしまった場合、あまりにも無防備に、誰からのデータも受信できる状態になってしまいます。「保存」を押さなければ大丈夫!とはいえ、絶対に大丈夫でしょうか?悪意あるファイルも受信できてしまう状態は、なるべく排除したほうが良いと考えられます。

近距離共有の禁止方法

以上のように、近距離共有は便利なのですが、リスクもあります。そのため、これを禁止したい場合は、Bluetoothを禁止するか、グループポリシーで禁止することができます。

グループポリシーで禁止する場合は、グループポリシーの管理用テンプレートをApril 2018 Update(1803)用にアップデートする必要があります。つまりこれができていない環境下にあるPCを、先に April 2018 Update(1803) にアップデートしてしまうと、近距離共有が制御できない状態になってしまいます。

そこでグループポリシーで制御するのが困難な場合、例えば秘文 Device Control という製品を使うと、Windowsに接続するデバイスを全て禁止した上で、ホワイトリストで許可する、という方法で制御できます。OSの機能更新であってもデバイスは一律禁止するが、必要な場合のみ許可する、という柔軟な対応もできるようになりますので、デバイス制御の対応をどうするか、方針を見直すのもよいかと思います。

まとめ

モバイルホットスポット、近距離共有など、Windows 10のアップデートにより利便性は向上しました!日本マイクロソフト社のCEOが「Windowsはデバイス連携を強化する」と発言しているように、今後デバイス連携機能は、Windowsの戦略上の機能として今後も登場してきそうです。 October 2018 Update(1809)では、スマートフォンと連携するYour Phoneという機能も搭載されました。

このようなデバイス連携の強化は、今後ビジネスを促進するために望まれることではあるのですが、過去存在しなかったリスクも発生させます。これまで問題なかったと認識していたシステムも、新たなセキュリティホールが発生しているかもしれません。改めてデバイス設定に問題がないか、確認いただくと良いかもしれません。

※上記でご紹介したデバイス制御は、秘文 Device Controlにより対応が可能です。製品概要は、下記よりご覧ください!

秘文Device Control 「出さない」情報漏洩対策

この記事をシェアする