各種のセキュリティ対策を実施することにより、悪意のある実行ファイルから保護することができます。
概要
有害ソフトやウイルスとも呼ばれる悪意のある実行コードは、より一般的になり、AutoCAD ユーザにも影響を与えています。有害ソフトが広がると、知的財産が失われたり、生産性が低減することになります。2 つの一般カテゴリには、自動的にロードされる AutoLISP ファイルと VBA (Microsoft® Visual Basic® for Applications)マクロがあります。知的財産を傷つけたり盗んだりする高度な攻撃には、 悪意のある ARX アプリケーション、Object Enabler、DLL (ダイナミック リンク ライブラリ)があります。
最も一般的な脆弱さの原因は、実行可能コードがデータと共存できることにあります。たとえば、次のようなものです。
- DWG ファイルに埋め込まれたマクロ
- 現在のフォルダから自動的にロードされる AutoLISP ファイル
たとえば、ZIP ファイル内の図面に同梱されたプロジェクト ベースの実行可能ファイルには、悪意のあるコードを含むように編集された acad.lsp、acaddoc.lsp、および FAS や VLX ファイルが含まれている可能性があります。ZIP ファイルをフォルダに解凍し、DWG ファイルをダブルクリックして AutoCAD を起動すると、LSP ファイルも自動的に起動されます。
また、多くのウイルスは acad.mnl を編集して自分自身をロードするような行を追加することにより、自分自身を感染させようとします。
セキュリティ対策
AutoCAD のセキュリティ対策は、以下のコントロールを用意することにより、悪意のあるコードが実行される可能性を最小限に抑えます。
- 1 つまたは複数の一意の読み込み専用フォルダ パス、または承認したアプリケーションをロードして実行できる一意のドメインまたは URL を指定します。これらのアドレスおよび場所は、システム変数 TRUSTEDPATHS と TRUSTEDDOMAINS によってコントロールされます。
- acad2013.lsp および acad2013doc.lsp ファイルおよびそれらの後継ファイルは、既定のインストレーション フォルダ、それぞれ <インストレーション フォルダ>\Support および <インストレーション フォルダ>\Support\<言語> からしかロードできないように、アクセスを制限します。
- すべての LSP、FAS、VLX ファイルおよび acad.dvb を含む AutoLISP および VBA アプリケーションの現在の AutoCAD セッションへのロードを制限します。ロードの動作は、システム変数 SECURELOAD でコントロールされます。
- AutoCAD の起動時に実行可能コードを完全に無効にすることによって、攻撃後のクリーンアップ プロセスを安全にします。この機能は、/safemode 起動スイッチによってコントロールされ、読み込み専用システム変数 SAFEMODE によって反映されます。/safemode スイッチによって AutoCAD を安全に起動できるので、システム変数 SECURELOAD、TRUSTEDDOMAINS、TRUSTEDPATHS を変更することができます。
悪意のあるコードは、次のファイルに含まれている可能性があります。
- ARX、DBX、CRX、HDI ファイル
- LSP、FAS、VLX、MNL、SCR ファイル
- .NET アセンブリ
- VBA マクロ(DVB ファイル)
- acad.rx
- JavaScript
- DLL ファイル
推奨事項
以下のベスト プラクティスによって、悪意のある実行可能コードに対する脆弱性を最小化することができます。
- ウイルス定義を常に最新の状態にします。主要なアンチウイルス ソリューションであれば、どれを使っても AutoCAD のウイルス感染を特定し、修復することができます。
- Microsoft Windows 7 以降のオペレーティング システムの場合は、ユーザ アカウント制御(UAC)を常に有効にします。
- ARX、DBX、CRX、HDI、DLL ファイルを含むサード パーティのアプリケーションをインストールする場合は、インストールするファイルが VeriSign などの信頼できる発行元から発行された証明書で電子署名されていることを確認します。
- 最初にコードを検査せずに、未知の AutoLISP ファイルや VBA マクロを実行することは絶対に避けます。
- 常に、実行可能コードは、データとは別のフォルダに保持します。
- 常に、実行可能コードは、信頼する読み込み専用の場所に格納します。
- 常に、共有 AutoCAD CUIx ファイルは、信頼する読み込み専用の場所に置きます。
- 常に、許可されていないコードが AutoCAD で実行されるのを防ぐために、システム変数 SECURELOAD は 1 または 2 に設定します。(この設定は、[オプション]ダイアログ ボックスの
[システム]タブの[実行可能ファイルの設定]ボタン、または、[配置]ウィザードを使用して変更することができます。) - 常に、システム変数 TRUSTEDPATHS に、一意の読み込み専用の信頼するフォルダを設定します。AutoCAD の実行可能フォルダおよびサブフォルダ、および ApplicationPlugins フォルダは、自動的に信用されます。(これらのパスは、[オプション]ダイアログ ボックスの[ファイル]タブ、または[配置]ウィザードで設定することもできます。)
- 常に、システム変数 TRUSTEDDOMAINS に、信頼する特定のドメインおよび URL を設定します。