- ベストアンサー
不正遠隔操作防止の措置について
- PCのONを制限する機械接点スイッチやバイオス設定の変更を防ぐ措置を取ることで、外部からの不正遠隔操作を防止することができます。
- 特定の人にとっては必要性がないかもしれませんが、一定の不正遠隔操作防止効果が期待できます。
- パイロットランプや手動での操作によって制御できる機械接点スイッチは、遠隔操作防止の基本的な措置であり、現在でも使用されています。
- rj480z
- お礼率33% (102/305)
- ウィルス・マルウェア
- 回答数7
- ありがとう数3
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
>それならプログラムにパーティションを設けて基本プログラムと応用プログラムに分けてCPUのピンをGNDに落としたら基本プログラムの変更が不可能になるPCを制作すればどうでしょうか? それに近い仕組みはすでに実現されています。 仮想化技術やIntelVTなどを調べてみてください。 http://itpro.nikkeibp.co.jp/article/OPINION/20090515/330061/ なお、現在のPCはOSによる仮想化によってソフトウェアとハードウェアが完全に切り離されていて、ソフトウェアの動作とCPUのピンの電位を直接的に結びつけることは不可能です。 基本プログラムへの変更と称する機能を、CPU自体が正常な物か侵入による物かを判断することは出来ません。現在のハッキングなどは、CPUにとっては「怪しいけど行った」ではなくあくまで正常に行った動作による物ですから。 一般的な人間の知覚とPCの動作には、かなりの乖離があると思います。人間には当たり前だとわかることでも、PCでそれを実現するのは到底不可能といったことが数多くあります。 特にハードウェアに関して、ソフト(OS)などの動きに深い影響を及ぼす独自機能は、後続のOSに対する互換性問題となります。企業ユースならばともかく、一般ユーザにとって新しいOSで動かない懸念のあるPCは市場性があるでしょうか。 ちなみに、Windows Embeddedなど、電源を切ったらOSに対するすべての変更を初期化するような物はいくらでもあります。 >バイオスプログラムもICのピンをGNDに落としたら変更不可能になるPCを制作すればどうでしょうか?プログラムを独立させれば安全性は高まります。 そういう仕組みを持ったマザーボードはたまに売られています。 基板上のジャンパピンを差し替えると、BIOSの設定を変えられなくなったりアップデートできなくなったりします。 >PCを通常操作中にバイオス設定を変更しなければならない理由がないからです。 利便性の問題とトレードオフですね。PCを買ってきてから一切設定を弄らない人にとってはそれで良いと思います。 ただし、大概のメーカー製PCなどでは、省電力のパターン(CPUファンの回転数や、下手すれば液晶パネルの輝度とか)を変えるのにもBIOSに対する変更を行っています。
その他の回答 (6)
>カーソル操作ができないPCは遠隔操作不可能だと考えてもおかしくないのではないでしょうか? 遠隔操作を可能とするアプリは、すべてがPCのカーソルをエミュレートしている訳ではありません。 例えマウスカーソルを動かさなくても、遠隔でPCを操作することはいくらでも可能です。 重箱の隅をつつくような例えですが、telnetなどでリモートからログインしている場合などは物理サーバのモニタに出ているマウスカーソルは動きませんが、バックグラウンドでファイル操作をするなどいくらでも可能です。 (サーバOSに至っては物理モニタに出ている画面以外のGUIコンソールを複数持てたりしますし) そもそものご質問である「遠隔操作」というのが具体的にどのような機能を指すのかよくわからなくなってきましたが、いわゆる”ハッカーに踏み台にされる”という例を考えても、犯罪を目的としたプログラムは踏み台のPCのマウスカーソルをいちいち動かしたりしません。(そんなことをすれば、PCが外部から侵入を受けていることがすぐにわかってしまいますから) 踏み台を実現するバックドアプログラムなどは、操作者にわからないように動作することを求められているので、先の脅迫文を他人のPCから送りつけた事件などでは、操作者が見ていないところで勝手にマウスカーソルが動き回ってブラウザを起動させ、Webページ上のテキストボックスに脅迫文をキーボードをエミュレートして文字を打ち込む……などと言う、安い映画でよく見られるような動きは一切しません。バックグラウンドプロセスで起動し、後は勝手にWebサーバなりとソケット通信などを行っているだけです。こういったアプリの動きは、特定の犯罪行為だけで無く一般的なアプリでもいくらでもやっていることであって(WindowsUpdateが良い例)、侵入を受けているのか、それとも正規のサービスとして動いているのか、OS自身が的確に判断することは出来ません。 だからこそ、世の中にはIDSなりIPSといった侵入検知ソリューションが高い値段で売られている訳です。(個人向けのファイヤウォールのソフトでも検知可能な場合もあります) 結局PCはすべてソフトで動いているので、接点スイッチを付けたところでそれはソフトウェアで状態を読み取り、OSに対して操作禁止のフラグを立てるくらいのことしかできません。 PCの回路は、どこかのICの何番のピンの信号をGNDに落としたらマウスカーソルが動かなくなるとか、そんな単純な物ではありません。どうしてもソフトウェアではなくハードウェア的に遠隔操作を禁止したいのであれば、NICのコネクタに直接スイッチをかまして、物理的にLAN線の接続を入り切りするしか無いかと思います。 (それはそれで便利な気もしますね)
補足
それならプログラムにパーティションを設けて基本プログラムと応用プログラムに分けてCPUのピンをGNDに落としたら基本プログラムの変更が不可能になるPCを制作すればどうでしょうか? バイオスプログラムもICのピンをGNDに落としたら変更不可能になるPCを制作すればどうでしょうか?プログラムを独立させれば安全性は高まります。 バイオスに関してですが、機械接点スイッチを設けてスイッチをONにしなければバイオスを変更できないPCを制作することはPCメーカーの独断でできるので実現が容易ではないでしょうか?なぜならバイオスはPCソフトから完全に独立した単純なプログラムであり、PCを通常操作中にバイオス設定を変更しなければならない理由がないからです。
>ですがそれなりの不正遠隔操作防止効果があると思いますがどうでしょうか? そもそもご質問の接点スイッチ云々は実質実現不可能じゃないでしょうか? LAN経由でBIOSなりPCに何かしらの操作を行う場合、ご存じの通り「そういう機能を持った」ソフトウェアが必要になりますし、既存のOSなどの脆弱性を防御する場合にはOS(のカーネル)に「そういう機能」を付けなければなりません。単にBIOSをいじればどうにかなるとか言ったレベルの話ではないと思いますが、いかがでしょうか。 もしスイッチで遠隔操作(遠隔操作自体の実現方法も複数のやり方があり、単純な話ではありませんが)他のご質問者様に対する補足の中で書かれていたメーカー云々ではなく、いわゆるAT互換機という規格への機能追加という、より大きな動きが必要になるでしょう。 ソフトウェアだけでスイッチに対応する場合でも、フリーウェアではVNCやTrueRemote、OS標準ではリモートデスクトップなど、遠隔操作を実現しているソフトウェアはそれこそ星の数ほどあります。これらがすべて対応しないことには、接点スイッチだろうとソフトウェアの機能だろうと、遠隔操作を防御することは出来ません。 (そもそもOSにとってみれば、遠隔操作をされているのかユーザがブラウザでネットサーフィンをしているのだか明確な区別はつかないでしょうし……) もし実現するなら、メーカー独自機能として常駐アプリでも入れておき、手元のスイッチが切られたらTCP/IPを無効化(OSにはNICを無効化させたか、LAN線を抜かれたと認識させる)させるのが良いかも知れません。 ただ、最近のアプリはネットとつながっていることが前提の物も大分増えてきましたし、全体的に見た場合はスイッチの誤操作によるクレームを増やすだけかもしれません。
補足
>そもそもOSにとってみれば、遠隔操作をされているのかユーザがブラウザでネットサーフィンをしているのだか明確な区別はつかないでしょうし…… キーボード操作信号はOSにとってあなたの言うとおりかもしれません、しかし マウスのカーソル操作信号はOSにとっては明確な区別はつくはずです。カーソル操作ができないPCは遠隔操作不可能だと考えてもおかしくないのではないでしょうか?
- mrkato
- ベストアンサー率47% (1008/2121)
中間スイッチの提示をした者ですが、No.3回答と同じで、自分が錯誤したか不安で。 BIOSの設定をいじって、(予め余分に装備されないと議論にならないのを承知で) OS現物への介入でなく他のディスク機器の空間にある機械語ソフトウェア=OSでの 起動に振り替え、元の起動区画が関わるデータへの直接操作、という意味でしょうか。 そこまで行くと、乗っ取りが懸念されるパソコン自体を「シン・クライアント」 という「ROMで取り付けても使える、自ら記憶をしないOS」で起動させ、 侵入=操作に必要なソフトの遠隔導入すること自体が不可能な装置として、 一方「考えて働くパソコン」機能をサーバ装置に「仮想PC環境」として入れて、 「データを置いて読み書きに行く」ファイルサーバと同じく厳格な管理とすれば、 自分が踏み台にされる危険を圧倒的に減らす事ができます。 (シン・クライアントは装置一式と、中古や極小PC改造用OSの両方が実在します。 もちろん仮想PCを使うにはICカードやNIC個体識別など厳しい認証を加えます) 単にOS根幹部を改ざんして潜伏する「ルートキット感染」などであれば、 稼動しているOSの瑕疵を突いて侵入してでも、可能といわれています。 一方で、BIOSの起動処理に関わる機械語プログラム自体の情報と、 ブートストラップという「OS側の起動する入り口の機械語プログラム」とは 完全に無縁で移行する造りになっており、主記憶装置のDRAM上にプログラムを 残置する工作ができたとしても、何も見ずに上から書き潰して使ってしまいます。 確かにWindows上からBIOSのフラッシュ書き換え、CMOS設定変更するツールは マザーボードメーカ、PC完成品メーカが必要に応じ無償供給しています。 その為システム侵入後に、起動順位など設定を替えられる懸念が残ります。 BIOS自体の変更阻止については、CMOS(CR2032ボタン電池保持)RAM記憶の問題で 残念なことに現在すべて「基盤上時計の年月日情報」も同時に保持されています。 CMOSの書き込みピンを遮断してしまうと、時計の時刻を扱っているICからの 日付更新を受けられず、起動時にそれを読み込むOSの動作を壊してしまいます。 「電池を抜いてしまえば再起動されても万全」が通用しないのと、同じです。 BIOSの機械語そのもの、および基盤パターン変更で必要な接点ジャンパを 設置して、選択的に設定画面呼び出しを行う設計も可能と思われますが、 そこまで投資して構わないサーバ装置であれば同様の管理回路を装備した上で原点に返って 「イメージとして金庫、に入れてイメージとして門番、も使う」 物理的な被害を避けたデータセンター建屋に、ネットワーク接続についても 専用装置のゲートウェイ、負荷分散スイッチを通した形で通信を行う事が出来ています。
お礼
回答ありがとうございます、デスクトップのPCは電気コタツのスイッチを電源コードに付けたほうが安上がりですね。
補足
私の言いたいことは「PC及びPCのバイオスを改良して、LAN端子からのバイオス設定変更操作信号及びPC操作信号を受け付けないように設定できるPCをメーカーが作ればPCの安全性が高まるのではないか?」ということです。 常時PCを遠隔操作可能にする必要のあるユーザーには無意味ですが… 私の質問はメーカーレベルの話なんです。
- RTO
- ベストアンサー率21% (1650/7787)
私もNo2さんも 質問内容を「LANケーブルに細工する接点」と勘違いしていたようですね 「PCにONにしなければ」これも「PCの電源をONにしなければ」と曲解しました 「PCに、手動でONにしなければ」と言う文でしたら間違えようもありませんでしたが。 そういう質問内容であったなら「人間は スイッチを入れていた(切っていた)ことを忘れる」から あまり意味がないでしょうと答えておきます。 「現在でもシーケンス制御回路等に使用されています。」 制御の基礎「フェイルセーフ」の考えを適用するならば単純なスイッチでは意味がありませんね。
補足
曲解:相手の言動・心中・を、素直でなくわざと曲げて解釈すること。(広辞苑より) あなたの国語力にも問題があるのではないでしょうか?電子接点スイッチに対する機械接点スイッチの長所は遠隔操作不可能な状態にできることです。
- mrkato
- ベストアンサー率47% (1008/2121)
現役商品があります(過去回答1362626、質問者:bb2005、投稿日時:2005/05/01) エレコム、通信遮断機能付きRJ45中継コネクタ LD-DATABLOCK01 [CAT5/5E/6] http://www2.elecom.co.jp/cable/accessory/ld-datablock01/index.asp 外装は樹脂ですが、両コネクタとスイッチ周りは高周波特性の確保されている。 これだけでは使えず、別に手元まで引き回す、短尺のイーサネットケーブルが必要。 ですので民間療法と言うか全て100円均一ショップで買える 「RJ-45延長コネクタ」と短尺コード、ケーブルバインダ(これが選び放題)を 揃えて入手し「適宜引き抜く事で代用、消耗したら一式交換」も試せます。 (接点性能より、固定爪の耐久性や、そのノブを押し下げする操作性に問題ある)
- RTO
- ベストアンサー率21% (1650/7787)
その装置は 「PCをONにすると LAN端子からのPC操作信号を受け付ける」ことになりますので まったくの無意味です。 そもそも電源が入っていないPCは 乗っ取れません。 WAKE UP ON LANを有効にしないだけで充分です。
補足
あなたはバイオス設定というものがどのようなものかわかっているのですか? 私が「機械接点スイッチを設ける」と書いた意味もわかっているのですか? もっとPCのハードの仕組みを勉強してください。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/images/related_qa/c205_4_thumbnail_img_sm.png)
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/images/related_qa/c205_2_thumbnail_img_sm.png)
お礼
非常に詳しい回答ありがとうございます、しかしLAN端子からのカーソル操作信号を受け付けないようにする設定は可能であり、そのような設定にすれば安全性はかなり高くなると思います。 もちろんPCを常時遠隔操作可能な状態にしなければならない者にとっては無意味なことですが…