Windows には、Auto Logon という機能が備わっており、コンピューターの電源を投入するだけで、ID/パスワードの入力なしに操作ができるようになります。一見便利そうな機能ですが、ランサムウェア攻撃を受けた場合は、まったく無力となります。本稿では、その危険性を解説します。
結論
Windows Auto Logon は “利便性のために認証を放棄する設計” であり、ランサムウェア時代・ゼロトラスト設計では原則 NGです。特に 管理者権限が付与された状態での Auto Logon では、ランサムウェア被害を食い止める方法がありません。
仕組みそのものが危険
Auto Logon は以下の情報を OS が自動使用します。
- ユーザー名
- ドメイン
- パスワード(復号可能な形で参照される)
この、ユーザー名、ドメイン、パスワードは レジストリ(Winlogon)に “平文” で保存され、コンピューターにアクセスできれば、自由にその情報を読み出すことが可能です。
つまり、Auto Logon 設定されたコンピューターにアクセスできれば、ドメインに参加している認証を求める( Auto Logon ではない)コンピューターに対しても、正規のユーザーとしてログオンが可能です。
正規のドメインユーザーですので、アクセス権限が与えられているコンピューター、ファイル、データーに自由にアクセスできますが、「誰が」を特定することはできません。
攻撃シナリオ別の具体的リスク
① ランサムウェア侵入後(最重要)
- 攻撃犯、もしくはウイルスは ログオン済みセッションを即取得
- 追加操作なしで:
- ID/パスワード窃取
- ネットワーク探索
- SMB / RDP / WinRM などで水平展開が可能
- 万一、脆弱性アップデートをしていないと
- 初期侵入 → 特権操作までが数秒〜数分
- 追加操作なしで:
つまり、Auto Logon があるだけで「侵入後の作業」がすべて省略される状態になります。
② 物理アクセス(内部犯行者・外部侵入者)
- PC を起動するだけで業務ユーザーとしてログオン
- File Server や NAS へのアクセス、情報窃取が可能
有人監視がない、もしくは無人状態になる受付端末・医療端末・工場端末では致命的な状態に陥ります。
③ 管理者権限を持つ Administrator(SID-500)× Auto Logon
- Administrator は:
- UAC が適用されない
- Auto Logon すると:
- 起動=すべてのドメイン管理操作が可能
- 他のコンピューターの C ドライブへの接続が自由(C$ 管理共有へのアクセス)
- ウイルス対策ソフトやセキュリティソフトの停止が自由=暗号化ウイルスが自由に活動
これは、「PCの電源スイッチがドメイン管理権限」と同義です。
よくある誤解と現実
- 閉域網だから安全
- 徳島県つるぎ町立半田病院、大阪急性期・総合医療センター、岡山県精神科医療センターなどは、すべて閉域網運用を前提にしていましたが、侵害されました。
- PC 操作がすぐにできない
- “緊急時に早く触れる” の代償として、“攻撃者も24時間いつでも触れ自由自在” です。
- 認証を恒久的に放棄し、水平展開を許す設計で全システム暗号化された場合を考えると、数十秒~1分程度の遅延のデメリットははるかに小さいといえます。
- ランサムウェア被害の復旧には数ヶ月かかり、その間、収益機会を失い、かつ、費用は増大します。
- ログオンが面倒
- Auto Logon の場合、ファイルサーバーや NAS へのアクセス制限はできないため、誰でも、改ざん、削除が可能です。つまり、サーバーに保存された文書やデーターの真正性、完全性は一切担保されません。
- ログオンが遅い
- Windows 標準のスマートカードログオンの場合、スマートカード挿入+PIN 入力でのログオンは10秒~20秒程度で Windows 画面が立ち上がります。実際には、ログオンが遅いのではなく、アプリケーションの起動が遅いケースが大半です。
「常時操作可能にしておくこと」と、「認証を省略すること」は別の話です。
即時操作が必要な端末については、あらかじめ認証済みの状態で運用することで対応できます。Auto Logon のように認証を恒常的に無効化し、サイバー攻撃の耐性を低下させるという理由はありません。
