各種のセキュリティ対策を実施することにより、AutoCAD LT 環境で有害ソフトから保護することができます。
概要
有害ソフトやウイルスとも呼ばれる悪意のある実行コードは、より一般的になり、AutoCAD LT ユーザにも影響を与えています。有害ソフトが広がると、知的財産が失われたり、生産性が低減することになります。
注: AutoCAD LT 2024 以降、AutoLISP プログラムのロードと実行がサポートされるようになりました。
最も一般的な脆弱さの原因は、たとえば作業フォルダから自動的にロードされる AutoLISP ファイルのように、実行可能コードがデータと共存できることにあります。作業フォルダは、デスクトップ ショートカット アイコンで設定されている[作業フォルダ]属性か、ファイルをダブルクリックして製品を起動したフォルダによって決定されます。
たとえば、ZIP ファイル内の図面に同梱されたプロジェクト ベースの実行可能ファイルには、悪意のあるコードを含むように編集された acadlt.lsp、acadltdoc.lsp、および FAS や VLX ファイルが含まれている可能性があります。ZIP ファイルをフォルダに解凍し、DWG ファイルをダブルクリックして AutoCAD を起動すると、LSP ファイルも自動的に起動されます。
また、多くのウイルスは acadlt.mnl を編集して自分自身をロードするような行を追加することにより、自分自身を感染させようとします。
AutoLISP に加えて、AutoCAD および AutoCAD LT を悪用しようとする一般的な脅威がいくつかあります。次のような脅威があります。
- 有害なスクリプト、PGP、CUIx ファイル。外部ソースからのこれらの種類のファイルには、隠れた有害ソフトを含めることができるため、それらを使用する前には、常に注意深く検査する必要があります。
- クラックしたコピーや無認証のアドオンに挿入された有害ソフト。ソフトウェアをクラックする人々は、ユーザの作業を盗んだり、お使いのコンピュータをゾンビに変えてしまう有害ソフトなど、追加のコードを簡単に挿入することができます。
- 実行コードを使用してバッファがオーバーフローするように設計された改造 DWG ファイル。これは、手を加えた図面データが、ユーザのコンピュータ上でコードとして実行されるように設計された、より高度なタイプの攻撃です。AutoCAD セキュリティ チームは、AutoCAD および AutoCAD LT で、バッファ オーバーフロー エクスプロイトを閉じる作業を行いました。機密扱いの設計データで作業する場合は、信頼できる場所からのみ図面ファイルを開いてください。
- バイナリ プランティング(バイナリの植え付け)。このカテゴリには、正規のファイルの代わりに改変したバイナリ ファイル(EXE、DLL、COM ファイルなど)を挿入するという手口があります。それらのファイルをユーザのコンピュータまたはネットワークに植え付けるには特権が必要ですが、フォルダのアクセス権の脆弱さを利用することにより、またはアプリケーションがローカル管理者特権で実行されていると、その特権を獲得することができます。
セキュリティ対策
AutoCAD のセキュリティ対策は、以下のコントロールを用意することにより、悪意のあるコードが実行される可能性を最小限に抑えます。
- 実行可能ファイルに対する信頼できる 1 つまたは複数のフォルダを指定します。信頼できる場所のサポートはシステム変数 TRUSTEDPATHS によって提供され、実行可能ファイルをコントロールされた検査可能なフォルダの場所に格納することができます。これらのフォルダは「読み込み専用」に設定することをお勧めします。 これらの位置は、CAD マネージャによってロックすることができます。
- acadlt<リリース>.lsp および acadlt<リリース>doc.lsp ファイルおよびそれらの後継ファイルは、既定のインストレーション フォルダ、それぞれ <インストレーション フォルダ>¥Support および <インストレーション フォルダ>¥Support¥<言語> からしかロードできないように、アクセスを制限します。
- すべての LSP、FAS、VLX ファイルを含む AutoLISP アプリケーションの現在の製品のセッションへの ロードを制限します。ロードの動作は、システム変数 SECURELOAD でコントロールされます。
- システム変数 LEGACYCODESEARCH を 0 に設定することにより、実行可能ファイルが作業フォルダおよび図面フォルダで不用意に検索されてロードされるのを防ぐことができます。
- 製品の起動時に実行可能コードを完全に無効にすることによって、攻撃後のクリーンアップ プロセスを安全にします。この機能は、/safemode 起動スイッチによってコントロールされ、読み込み専用システム変数 SAFEMODE によって反映されます。/safemode スイッチによって製品を安全に起動できるので、システム変数 SECURELOAD および TRUSTEDPATHS を変更することができます。
- CAD マネージャ コントロール ユーティリティを使用して、システム変数 LEGACYCODESEARCH、SECURELOAD、TRUSTEDPATHS をロックします。
- SECURITYOPTIONS[セキュリティ オプション]コマンドを使用して、ここで説明されているシステム変数のいくつかをコントロールすることにより、セキュリティ レベルを自動的に設定します。
重要: /safemode スイッチを使用すると、ほとんどのコマンドも機能しなくなります。お使いのシステムに有害ソフトがインストールされたと疑われる場合にのみ一時的にご使用ください。
一般的な効果的予防策
次の効果的予防策によって、悪意のある有害なコードに対する脆弱性を小さくすることができます。
- ウイルス定義およびすべてのソフトウェア製品を、常に最新の状態に更新してください。
- UAC をオンにし、既定のプログラム ファイルの場所に AutoCAD LT をインストールします。AutoCAD LT を、管理者権限で実行しないでください。
- 不正な変更を防ぐために、Windows ユーザ アカウント制御(UAC)を使用して権限を制限します。
- セキュリティ警告(特に、未署名の実行ファイル)に注意してください。
- 有害なコードが含まれている可能性がある外部アプリケーション、改変されたソフトウェア、フリー図面、カスタム ファイルには注意してください。
- LSP、FAS、VLX ファイルを含むサード パーティのアプリケーションをインストールする場合は、インストールするファイルが VeriSign などの信頼できる発行元から発行された証明書で電子署名されていることを確認します。
- 最初にコードを検査せずに、未知の AutoLISP ファイルを実行することは絶対に避けます。
- 内容を確認せずに不明なスクリプト ファイルを決して実行しないでください。
- 実行可能コードは、データとは別の読み込み専用フォルダに格納します。
- 実行可能コードは、信頼する読み込み専用の場所に格納します。
- 共有 AutoCAD LT CUIx ファイルは、読み込み専用の場所に置きます。
- 許可されていないコードが AutoCAD LT で実行されるのを防ぐために、システム変数 SECURELOAD は 1 または 2 に設定します。この設定は、[オプション]ダイアログ ボックス の[システム]タブの[実行可能ファイルの設定]ボタンを使用するか、[配置]ウィザードを使用して変更することができます。
- システム変数 TRUSTEDPATHS に、一意の読み込み専用の信頼するフォルダを設定します。C:¥Program Files¥ フォルダと C:¥Program Files (x86) フォルダ(これらのサブフォルダも含む)は、自動的に信頼されます。これらのパスは、配置ウィザードで設定することもできます。
現在のサイバー脅威環境では、AutoCAD LT ですら常に警戒する必要があります。セキュリティ リスクを減少させるために、時間を少し割いてください。