★[近況] あたまいたひ [14:50]

休日出勤するつもりだったけど、お休み…。

きっと最近ふりふり分が足りてないからだ…(ぼそ)

★[PC] USB Key [15:35][3/16 22:58追記]

[3/16 22:58追記] ---------- ここから ----------

3/16 の日記で、Princeton Technology に問い合わせた結果を載せてます。要はこのデバイスが「紛失」「盗難」を想定したものでなく「のぞき見」「いたずら」からガードするものである、という点です。あわせて3/16の日記もお読みください。なお、公開時にあった「金返せ」という文句は私の勘違いな部分もあるので削除させていただきました。

[3/16 22:58追記] ---------- ここまで ----------

わたし、ノートPCよく持ち歩いてますが、いろいろ危険な情報はいってますし、SSL証明書とったりしたらさらに守るべきものが増える……ってことで、USBのKeyとか導入しようかな、って思ってます。USB Keyが無いとパスワードわかっててもPC使えない、みたいのが良いのです。これとEFSと組み合わせて、ガードしようかな、と。(できればwindowsのログインにも使えるといいなぁ)

とりあえず、あまり高くなかったので、PrincetonのU-CLEFというのを買ってみました。

結論、まだ考え足りないかもですが、穴がありそうな気がすします…。少なくとも、ユーザを信頼できない場所や、一般ユーザにAdministrator権限を出すような場所では使えません。パスワードとキーがあれば、ロック機能を無効化することは可能です。キーがないけどパスワードがある場合にはわかりませんが、回避策がありそうな予感がします…。

Windowsからsmart cardとして認識されるわけじゃないんで、ログインには使えません。ログインは通常どおりパスワードで認証です。ログインすると、autorun で yekcul.exe というプログラムが走り、USB keyをチェックする仕組み。autorunはスタートアップではなく、レジストリに入ってました。

USB Keyを抜くと、このautorunプログラムが走り、全画面に画像を表示し、キーとマウスを奪います。ただし、タスクトレイがでたままなので何を実行しているかはみることができてしまいますし、ロック画面がでてから立ち上がってきたウィンドウは、ロック画面より手前に表示され、見ることができてしまいます。ctl-alt-del(「ようこそ」画面使用の場合はタスクマネージャ表示、使用しない場合はロックやパス変更などの画面)が、フックできずに使えてしまいます。ただし、表示されたタスクマネージャにはキーが届かないので操作できません。ctrl-alt-delからの「ログオフ」は可能です。「パスワード変更」「再起動」は試してませんが、できそうです。

監視プログラムですが、タスクトレイにアイコンが居て、そこから、U-CLEFのパスワード変更、ロックを使用するかどうか、ロック画像の変更、プログラムの終了ができます。ロック画像の変更以外にはすべてパスワードの入力が必要です。ただし、これが回避可能なんです。まず、タスクマネージャを見ると「U-CLEF.exe」が居ました。実行ユーザはログインユーザのアカウント。落とせます。落とすと、キーを抜いてもロックされなくになります。そして

[install]
DirPath=C:\Program Files\U-CLEF\
[password]
PassWord=password
ModeCheck=true
[mode]
Monitor=true
[file]
Screen=C:\Program Files\U-CLEF\U-CLEFimage\U-CLEF_l1.bmp

C:\WINDOWS\yekcul.ini の内容です。なんか不思議な文字が見えますっ…(汗　暗号化もなしに平文でパスワード書いてありますっ…(汗

このファイルのパーミッションですが、Administrator:フルコントロール、Administrators:フルコントロール、SYSTEM:フルコントロール、Power Users:変更、Users:読み取りと実行。

…読めます。激しく読めます……。

結局、なんか危険な香りがするデバイスでした。完全に信用する気にはなれないです。会社マシンのほうはそれほどsensitiveな情報はいってないから、そっちに使おうかな…？