各種のセキュリティ対策を実施することにより、悪意のある実行ファイルから保護することができます。
概要
有害ソフトやウイルスとも呼ばれる悪意のある実行コードは、より一般的になり、AutoCAD ユーザにも影響を与えています。有害ソフトが広がると、知的財産が失われたり、生産性が低減することになります。
最も一般的な脆弱さの原因は、たとえば作業フォルダから自動的にロードされる AutoLISP ファイルのように、実行可能コードがデータと共存できることにあります。作業フォルダは、デスクトップ ショートカット アイコンで設定されている[作業フォルダ]属性か、ファイルをダブルクリックして製品を起動したフォルダによって決定されます。
知的財産を傷つけたり盗んだりする高度な攻撃には、悪意のある ARX アプリケーション、Object Enabler、DLL (ダイナミック リンク ライブラリ)があります。DWG ファイルに埋め込まれた VBA (Microsoft® Visual Basic® for Applications)マクロによってもたらされる脅威もあります。
たとえば、ZIP ファイル内の図面に同梱されたプロジェクト ベースの実行可能ファイルには、悪意のあるコードを含むように編集された acad.lsp、acaddoc.lsp、および FAS や VLX ファイルが含まれている可能性があります。ZIP ファイルをフォルダに解凍し、DWG ファイルをダブルクリックして AutoCAD を起動すると、LSP ファイルも自動的に起動されます。
また、多くのウイルスは acad.mnl を編集して自分自身をロードするような行を追加することにより、自分自身を感染させようとします。
脆弱なファイル
悪意のあるコードは、次のファイルに含まれている可能性があります。
- ARX、DBX、CRX、HDI ファイル
- LSP、FAS、VLX、MNL、SCR ファイル
- .NET アセンブリ
- VBA マクロ(DVB ファイル)
- acad.rx
- JavaScript
- DLL ファイル
セキュリティ対策
AutoCAD のセキュリティ対策は、以下のコントロールを用意することにより、悪意のあるコードが実行される可能性を最小限に抑えます。
- 実行可能ファイルに対する信頼できる 1 つまたは複数のフォルダを指定します。信頼できる場所のサポートはシステム変数 TRUSTEDPATHS によって提供され、実行可能ファイルをコントロールされた検査可能なフォルダの場所に格納することができます。これらのフォルダは「読み込み専用」に設定することをお勧めします。これらの位置は、CAD マネージャによってロックすることができます。
- acad2013.lsp および acad2013doc.lsp ファイルおよびそれらの後継ファイルは、既定のインストレーション フォルダ、それぞれ <インストレーション フォルダ>¥Support および <インストレーション フォルダ>¥Support¥<言語> からしかロードできないように、アクセスを制限します。
- すべての LSP、FAS、VLX ファイルおよび acad.dvb を含む AutoLISP および VBA アプリケーションの現在の AutoCAD セッションへのロードを制限します。ロードの動作は、システム変数 SECURELOAD でコントロールされます。
- システム変数 LEGACYCODESEARCH を 0 に設定することにより、実行可能ファイルが作業フォルダおよび図面フォルダで不用意に検索されてロードされるのを防ぐことができます。
- AutoCAD の起動時に実行可能コードを完全に無効にすることによって、攻撃後のクリーンアップ プロセスを安全にします。この機能は、/safemode 起動スイッチによってコントロールされ、読み込み専用システム変数 SAFEMODE によって反映されます。/safemode スイッチによって AutoCAD を安全に起動できるので、システム変数 SECURELOAD および TRUSTEDPATHS を変更することができます。
- CAD マネージャ コントロール ユーティリティを使用して、システム変数 LEGACYCODESEARCH、SECURELOAD、TRUSTEDPATHS をロックします。
- SECURITYOPTIONS[セキュリティ オプション]コマンドを使用して、ここで説明されているシステム変数のいくつかをコントロールすることにより、セキュリティ レベルを自動的に設定します。
推奨事項
以下のベスト プラクティスによって、悪意のある実行可能コードに対する脆弱性を小さくすることができます。
- UAC をオンにし、既定のプログラム ファイルの場所に AutoCAD をインストールします。管理者権限を使用して AutoCAD を実行しないでください。
- ウイルス定義を最新の状態に保ちます。主要なウイルス対策ソフトウェアであれば、どれを使っても AutoCAD のウイルス感染を特定し、修復することができます。
- ARX、DBX、CRX、HDI、DLL ファイルを含むサード パーティのアプリケーションをインストールする場合は、インストールするファイルが VeriSign などの信頼できる発行元から発行された証明書で電子署名されていることを確認します。
- 最初にコードを検査せずに、未知の AutoLISP ファイルや VBA マクロを実行することは絶対に避けます。
- 内容を確認せずに不明なスクリプト ファイルを決して実行しないでください。
- 実行可能コードは、データとは別のフォルダに保持します。
- 実行可能コードは、信頼する読み込み専用の場所に格納します。
- 共有 AutoCAD CUIx ファイルは、信頼する読み込み専用の場所に置きます。
- 許可されていないコードが AutoCAD で実行されるのを防ぐために、システム変数 SECURELOAD は 1 または 2 に設定します。この設定は、[オプション]ダイアログ ボックス
[システム]タブ [実行可能ファイルの設定]ボタンを使用するか、[配置]ウィザードを使用して変更することができます。
- システム変数 TRUSTEDPATHS に、一意の読み込み専用の信頼するフォルダを設定します。C:¥Program Files¥ フォルダと C:¥Program Files (x86) フォルダ(これらのサブフォルダも含む)は、自動的に信頼されます。これらのパスは、配置ウィザードで設定することもできます。