こんにちは、阿久津です。ちょうど先ほど某書籍の原稿を書いていたのですが、そこで改めてWindows XPの仕様に疑問を感じざるを得ませんでした。例えば「ようこそ画面」ですが、この画面ではWindows XPにアカウントを持つすべてのユーザー名が表示される点に疑問が残ります。Windows XPからマルチユーザー環境に入った方には違和感がないと思いますが、UNIXの世界ではあまり考えられないことなのです。

たとえば、"A"というアカウントを使っているA氏は非常にずぼらな方ですが、社内ではある程度の権限を持ち、とあるプロジェクトの責任を負う立場にいると仮定しましょう。A氏はパスワードをおぼえるのが苦手なので、自分の誕生日"1月1日"を"0101"という単純な数字の羅列に置きかえパスワードとしています。悪意を持つB氏が、パスワードの話を聞きつけ、一目を盗んでためしにログインしてみたら、簡単にログインできるではありませんか。後は……。

と、いう具合にパスワードさえわかれば簡単にログインできるというのは、かなり危険な状態にあるのです。UNIX系のOSではご存じのとおりスタート画面は「Login:」という無味簡素なログインプロンプトだけで、ユーザー名とパスワードの両方が分からなければログインできません(最近ではGUI環境もメジャーになってきていますが……)。悪意を持った人物が不正にログインするには、まずそのシステムからユーザー情報を抜き出すところからはじめなければなりませんでした。そういう意味でWindows XPは「ようこそ画面」ではなく「Windowsログオン」ダイアログモードに切りかえて使うべきではないかと思うのです。

しかし、その「Windowsログオン」ダイアログすら完全ではありません。なぜなら前回ログインしたユーザー名がそのまま残るからです。先の例で言えば、A氏がログインした直後にB氏が進入を試みれば結局同じ、というわけです。

最近ではTVのCMなどでも"セキュリティ"という単語を耳にする時代ですから、ある程度セキュリティ意識というものが生まれてきたと思っていましたが、そもそもOS側が標準でこうした仕様になっているのでは、あまり意味がありません。そこで自衛策というわけではありませんが、Windows XPのそういった問題を設定変更し、対応していきましょう。まずは、「Windowsログオン」ダイアログへの切りかえです。

1.＜スタート＞メニュー→＜設定＞→＜コントロールパネル＞と開く。
2.＜ユーザーアカウント＞アイコンをクリック。
3.＜ユーザーのログオンやログオフの方法を変更する＞をクリック。
4.「ようこそ画面を使用する」をクリックしてチェックオフ。
5.＜オプションの適用＞ボタンをクリック。

設定が完了したら、［Windows］＋［L］キーを押してください。以前は「ようこそ画面」が表示されましたが、前述の設定を行なうことで「コンピュータのロックの解除」ダイアログが表示されるはずです。後は「パスワード」欄に任意のパスワードを入力→＜OK＞ボタンをクリックで、デスクトップに戻ってください。それから以下の作業を行ないましょう。

1.＜スタート＞メニュー→＜ファイル名を指定して実行＞を選択。
2.「名前」欄に半角で「secpol.msc」と入力。
3.＜OK＞ボタンをクリックする。
4.「ローカルポリシー」をダブルクリックで開く。
5.「セキュリティオプション」をクリックして開く。
6.右ウィンドウの「対話式ログオン:最後のユーザー名を表示しない」をダブルクリック。
7.＜有効＞をクリックしてチェックオン。
8.＜OK＞ボタンをクリック。

これで設定は完了です。一度Windows XPからログオフし、「Windowsログオン」ダイアログを表示させてください。すると「ユーザー名」欄に表示されていたユーザー名が表示されなくなりました。以前は「DontDisplayLastUserName」という文字列値を作成し、値に「1」と入れることで動作しましたが、Windows 2000以降は仕様が変更したようで、上記の方法が一番確実でした。

もちろんこの作業を行なうことでアタックを受けないとは言いませんが、よりアタックしにくい環境を作るのが、セキュアなWindows XPへ近づく第一歩と言えるのです。それではまた次週お会いしましょう。

阿久津良和 ( akutsu@pc.mycom.co.jp )

バックナンバー
http://pcweb.mycom.co.jp/column/winxp.html