ベネッセの個人情報漏洩事件が世間を騒がせていますが、個人情報を持ち出すきっかけになったのは「スマートフォンを充電するためパソコンに専用ケーブルを通じて接続したら、偶然パソコンがスマートフォンを認識したためデータをコピーすることを思いついた」と報道されています。おそらく通常の USB メモリの接続は許可しない設定になっていたのでしょうが、残念ながら Windows Vista 以降の Windows とここ数年のスマート フォンの組み合わせでは、その設定では接続を禁止できません。
※上掲図版はNHK ホームページ (http://www3.nhk.or.jp/news/html/20140718/k10013103401000.html) から引用
USB メモリの場合、サポート技術情報の「USB 記憶装置を使用できないようにする方法」やこちらの記事の「グループポリシーを利用したUSBメモリを制限する方法」などで使用を制限できるのですが、これらの方法は接続される USB フラッシュ メモリがマス ストレージ (大容量記憶域) として認識され、リムーバブル メディアとして利用できる場合にのみ有効です。古い携帯電話などでは内蔵のメモリや SD カードが Windows からはリムーバブル メディアとして認識されるので、接続を禁止するのにこの方法が利用できました。
しかし Windows Vista 以降の Windows とここ数年のスマート フォンの組み合わせの場合、スマートフォンは デジタルカメラ (PTP デバイス) やオーディオプレーヤー (MTP デバイス) として認識される場合があります。これらのデバイスは Windows 上では一括して「Windows Portable Devices (WPD)」として扱われます。スマートフォンを Windows PC に接続するのを禁止するには、この Windows Portable Devices の利用を禁止する必要があります。今回のベネッセのケースの場合、これが行われていなかったという事のようです。
Windows Portable Devices の接続を禁止する方法は、TaechNet ブログ「Ask CORE」の「グループ ポリシーを用いたデバイスのアクセス制御について」という記事に紹介されていました。具体的には Windows Portable Devices を示すデバイス セットアップ クラス {eec5ad98-8080-425f-922a-dabf3de3f69a} を利用して、グループ ポリシーでデバイスのインストールを禁止する方法です。
設定するグループ ポリシーは
コンピュータの構成 – 管理用テンプレート – システム – デバイスのインストール – デバイスのインストールの制限
です。この中の「これらのデバイス セットアップ クラス と一致するデバイスのインストールを禁止する」で上記のセットアップ クラス {eec5ad98-8080-425f-922a-dabf3de3f69a} を設定し、「既にインストール済みの一致するデバイスにも適用されます。」にチェックを入れます。このポリシーが適用されたクライアントでは、以降 Windows Portable Devices として認識されるデバイスが利用できなくなります。
なお、USB を含む様々なデバイスの制限方法やその際の注意事項については「グループポリシーを利用したUSBメモリを制限する方法」の記事中に解説がありますので、そちらも参照してください。
7/22 追記 : 設定するポリシーの名称が間違っていたので、訂正しています。スクリーンショットも差し替えました。
Hebikuzure's Tech Memo 
コメントを残す