パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ソフォスのディスク暗号化ツールに不具合、ノートPC紛失によって発覚」記事へのコメント

  • サイボウズの情報もJVNの情報も読みましたが、これってつまり
    Sophos Disk Encryptionをインストールすると常に復帰時の
    Windowsの認証が効かなくなるってことでしょう?

    だとるすと、Sophos Disk Encryptionを導入している企業はみんな
    知ってたんじゃないかなと。
    Sophos的にも「それは仕様です。(`・ω・´)キリッ」みたいな。

    それとも、特定の複合条件(特定HW、OSパッチ等)を満たしたときにのみ
    認証されないんでしょうか。 発表からは読み取れませんでしたが。

    少なくとも、このPCを紛失したサイボウズの中の人やシステム管理者は復帰時に
    認証されないことは知ってたと推測できますけど、どうなんでしょう。
    「会社はパスワード設定しろとかウザいけど、なんか最近認証画面でないしラッキー」
    ぐらいの甘い認識だったのではないでしょうか。
    • Sophosの下記の情報をみると、「POA(Power-on Authentication)」を
      オフにするとWindowsのログイン認証をバイパスするようになる
      みたいですね。
      http://www.sophos.com/ja-jp/support/knowledgebase/121066.aspx

      Sophos Disk Encryptionをインストールして最初にログインした時点で
      Windowsの認証情報をPOAが取得し、以後はPOAが代わりにパスワードを
      入力してくれるようです。

      ユーザーが自分で無効化できる類のものではないようなので
      管理者がPOAを無効にして渡したか、POAのパスワードを
      ユーザー自身が空白にしたかと考えられます。
      どちらにせよ、以前からログイン時にパスワード認証は無かったことを
      認識していた可能性が高いですね。
      まぁ、業務データの運搬・運用についてその程度の認識だったと。
      親コメント
      • そもそもこの機能、何の目的であるんだろう…?
        セキュリティ製品なのに、Window標準のセキュリティを迂回する機能なんて……

        親コメント
        • by Anonymous Coward

          横からですが、Windows側は置き換えられたり追加されている可能性が有ります。 [msdn.com]

          ちなみに内部的にはどうやらSophosのツールの認証>OS起動>Windowsの認証という構成です。
          ただ、そのままだと2回IDとパスワードを入れないといけないので、Sophos側で認証成功すればWindowsの認証を代理で行う機能があるようです。
          その機能が誤って働いてしまうと、本来Windowsの認証が起きるべきパターンでも勝手にSophosのツールがWindowsの認証をして通過してしまうという感じですね。

          • by Anonymous Coward

            本件では、サイボウズ側の説明ではOSの設定を勝手に上書きして認証不要にする事が直接の原因のようです。
            Sophos側のknowledgeだとツールの認証機能自体に不具合が有るようにも読み取れますが技術的詳細が無いため不明です。
            # 「まれにあります」ってなんだ?特定手順で再現性があるなら「確実に発生します」だろうに。

            • by Anonymous Coward
              「特定の手順で常に操作する」ユーザーがまれに居ます
              それ以外の大多数のユーザーにとっては起こりえないバグなのです

              これが「まれによくある」の正体の一つです
      • by Anonymous Coward

        普段使わない環境+スリープなんて使わない運用とかしてたらエンドユーザーは気づかないかもしれない。

    • by Anonymous Coward

      電源の設定でスリープから復帰時にパスワードの入力を求めないようにすることができますよ
      まともなところならそういう設定にはしないと思いますが…

      • by Anonymous Coward on 2014年06月30日 13時35分 (#2630095)

        発表読む限りだと、そのようにパスワード要求するように設定していたのに、
        休止状態にするとセキュリティーソフトがその設定を変更してパスワードなしでアンロックするようにしてしまったということのようですよ。

        別の類似のセキュリティーソフトを使っていたことがありますが、
        Windowsのスクリーンセーバーの設定をユーザーが設定しても、
        ソフトが書き換えて常に一定時間後にロックして認証しないとアンロックできない設定に戻されていました。

        この問題のソフトにも同様な強制上書き機能があって、
        休止の時にセキュリティーソフトの認証しないに設定すると、
        Windowsのスクリーンセーバー設定を間違って危険な方に上書きしちゃうのではないかと想像してます

        親コメント
    • by Anonymous Coward

      普通に考えるとそうなるね

      復帰時の認証がある、という前提がそもそもないから不思議にも思わなかったのかも
      セキュリティ強化するにはモノだけ揃えてもダメで、使う人間の意識も同じレベルでないと
      まったく意味がない、といういい例なんですかね

      • by Anonymous Coward

        いやいや、だからフールプルーフが必要なんでしょうよ。

        グループウェアで使うんだったらパスワードを忘れても大きな問題ではないだろうし、
        強制的に毎回ログインさせる仕様にすべきでしょ。

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...