IT プロとして、私は日常的に従業員のコンピュータと電子メールを監視しています。 これは、管理目的だけでなく、セキュリティのためにも、職場環境では不可欠なことです。 たとえば、電子メールを監視することで、ウイルスやスパイウェアを含む可能性のある添付ファイルをブロックすることができます。 ユーザーのコンピューターに接続して直接作業をするのは、問題を修正するときだけです。
しかし、監視されていないはずなのに監視されていると感じた場合、それが正しいかどうかを判断するために使用できるいくつかの小技があります。 まず、ある人のコンピュータを監視するということは、あなたがコンピュータで行っていることすべてをリアルタイムで見ることができるということです。 ポルノ サイトのブロック、添付ファイルの削除、受信箱に届く前のスパムのブロックなどは、実際には監視ではなく、フィルタリングに近いものです。
次に進む前に強調したいのは、企業環境にいて監視されていると思う場合、彼らはあなたがコンピューターで行うすべてのことを見ることができると考えるべきだということです。 また、すべてを記録しているソフトを実際に見つけることはできないと思ってください。 企業環境では、コンピュータは非常にカスタマイズされ、再設定されているので、あなたがハッカーでない限り、何かを検出することはほとんど不可能です。
Computer Monitoring
では、まだ誰かがあなたをスパイしていると思うのなら、何ができるかを考えてみてください。 誰かがあなたのコンピュータにログインすることができる最も簡単で単純な方法は、リモートデスクトップを使用することです。 良い点は、誰かがコンソールにログインしている間、Windows は複数の同時接続をサポートしないことです (このためのハックがありますが、心配は要りません)。 つまり、XP、7、または Windows 8 コンピュータにログインしているときに、誰かが Windows の内蔵リモート デスクトップ機能を使用して接続すると、画面がロックされ、誰が接続しているのかが表示されます。 それは、あなたが気づかないうちに、あるいはあなたの画面が乗っ取られることなく、誰かがあなたのセッションに接続するためには、サードパーティのソフトウェアを使用しなければならないことを意味するからです。 しかし、2014 年では、誰もそこまで目立ちませんし、サード パーティ製ソフトウェアのステルス ソフトウェアを検出するのはかなり困難です。
通常、リモート コントロール ソフトウェアまたは仮想ネットワーク コンピューティング (VNC) ソフトウェアと呼ばれるサード パーティ製ソフトウェアを探している場合、ゼロから始めなければいけません。 通常、誰かがあなたのコンピューターにこの種のソフトウェアをインストールする場合、あなたがそこにいない間に行う必要があり、あなたのコンピューターを再起動する必要があります。 したがって、最初の手掛かりは、コンピュータが再起動されたのに、それをしたことを覚えていない場合です。
次に、スタート メニュー – すべてのプログラムで、VNC、RealVNC、TightVNC、UltraVNC、LogMeIn、GoToMyPC などがインストールされているかどうかを確認します。 多くの場合、人々は杜撰で、普通のユーザーはそのソフトウェアが何であるか知らないだろうと考え、単に無視します。 これらのプログラムのいずれかがインストールされている場合、そのプログラムが Windows サービスとしてバックグラウンドで実行されていれば、誰かがあなたのコンピューターに知らないうちに接続することができます。 通常、上記のプログラムのいずれかがインストールされている場合、タスク バーにそのプログラムのアイコンが表示されますが、これは、そのプログラムが動作するために常に起動している必要があるためです。 聞いたことのないものが見つかったら、Google で検索して何が出てくるか見てみましょう。 監視ソフトウェアがタスクバーのアイコンを隠すのはかなり簡単なので、そこに何も異常がない場合、監視ソフトウェアがインストールされていないとは限りません。
では、明白な場所に何も表示されない場合、より複雑なものに移りましょう。
Check Firewall Ports
繰り返しますが、これらはサードパーティ製アプリなので、異なる通信ポートで Windows と接続しなければなりません。 ポートとは、コンピュータが直接情報を共有するための仮想的なデータ接続のことです。 すでにご存知のように、Windows にはセキュリティ上の理由から、多くの受信ポートをブロックするファイアウォールが内蔵されています。 FTP サイトを運営していないのであれば、ポート 23 が開いている必要はありませんよね。
したがって、これらのサード パーティ製アプリがコンピューターに接続するには、ポートを介して来る必要があり、コンピューター上で開いている必要があるのです。 開いているポートをすべて確認するには、[スタート]、[コントロール パネル]、[Windows ファイアウォール] の順に選択します。
ここに、チェックボックスを横に置いたプログラムのリストが表示されます。 チェックされているものは「開いている」、チェックされていないもの、またはリストにないものは「閉じている」です。 リストに目を通し、見慣れないプログラムや、VNC、リモートコントロールなどにマッチするものがないか確認してください。 もしそうなら、そのプログラムのチェックを外すことでブロックできます!
Check Outbound Connections
残念ながら、これより少し複雑なのです。 場合によっては、着信接続があることもありますが、多くの場合、コンピュータにインストールされているソフトウェアは、サーバーへの送信接続しかありません。 Windowsでは、アウトバウンドの接続はすべて許可されており、何もブロックされないということです。 スパイ目的のソフトウェアがデータを記録してサーバーに送信するだけなら、送信接続しか使用しないので、ファイアウォールのリストには表示されません。
このようなプログラムを検出するには、コンピュータからサーバーへの送信接続を確認する必要があります。 これを実現する方法はたくさんありますが、ここではそのうちの 1 つまたは 2 つについて説明します。 先ほども言いましたが、少し複雑なのは、本当にこっそりしたソフトウェアを扱っているので、簡単に見つけることができないからです。 とても小さなファイルなので、インストールする必要もなく、解凍してTcpviewをダブルクリックするだけです。 メインウィンドウはこのように表示され、おそらく意味がないでしょう。
基本的に、これはあなたのコンピュータから他のコンピュータへのすべての接続を表示します。 左側はプロセス名で、これは実行中のプログラム、つまり Chrome や Dropbox などになります。 他に見る必要があるのは、Remote AddressとStateの列だけです。 Stateの列でソートして、ESTABLISHEDの下に表示されているすべてのプロセスを見てください。 Establishedは、現在オープンな接続があることを意味する。 スパイソフトウェアは常にリモート サーバーに接続しているとは限らないので、このプログラムを開いたままにして、確立された状態の下に表示される新しいプロセスを監視するのがよいアイデアです。 Chrome と Dropbox は問題なく、心配する必要はありませんが、openvpn.exe と rubyw.exe は何でしょうか。 私の場合、インターネットに接続するためにVPNを使用しているので、これらのプロセスはVPNサービス用のものです。 しかし、これらのサービスをググれば、すぐに自分で調べることができます。 VPNソフトはスパイソフトではないので、そこは心配ありません。 プロセスを検索すると、検索結果を見るだけで、安全かどうかがすぐにわかります。
もうひとつ確認したいのは、右端の「Sent Packets」「Sent Bytes」などの列です。 Sent Bytesで並べ替えると、どのプロセスがあなたのコンピュータから最も多くのデータを送信しているかがすぐにわかります。 誰かがあなたのコンピュータを監視しているなら、データをどこかに送信しているはずなので、プロセスが極端に隠されていない限り、ここで確認できるはずです。
Process Explorer
コンピュータで実行中のすべてのプロセスを検索するのに使用できるもうひとつのプログラムは Microsoft の Process Explorer です。 これを実行すると、すべてのプロセスや、親プロセスの内部で実行されている子プロセスに関する多くの情報が表示されます。
Process Explorer は VirusTotal に接続し、プロセスがマルウェアとして検出されたかどうかを瞬時に知ることができるので非常に素晴らしいツールです。 これを行うには、[オプション] – [VirusTotal.com] をクリックし、[VirusTotal.com をチェック] をクリックします。 TOS を読むために彼らの Web サイトに移動しますが、それを閉じて、プログラム内のダイアログで [はい] をクリックします。
それを行うと、多くのプロセスの最終スキャン検出率を示す新しい列が表示されるでしょう。 すべてのプロセスの値を取得することはできませんが、何もしないよりはましです。 スコアがないプロセスについては、Googleで手動で検索してください。 スコアがあるものについては、0/XXと表示されるようにします。 0 でない場合は、そのプロセスを Google で検索するか、数字をクリックしてそのプロセスの VirusTotal ウェブサイトに移動します。
また、会社名でリストをソートし、会社がリストにないプロセスは Google で確認することが多いです。 しかし、これらのプログラムを使用しても、すべてのプロセスを見ることはできません。
Rootkits
また、ルートキットと呼ばれるクラスのステルス プログラムがありますが、上記の 2 つのプログラムでは見ることすらできないでしょう。 この場合、上記のすべてのプロセスをチェックしても疑わしいものが見つからなかったら、さらに強力なツールを試してみる必要があります。 Microsoft からのもう 1 つの優れたツールは Rootkit Revealer ですが、これは非常に古いものです。
その他の優れたアンチルートキット ツールには Malwarebytes Anti-Rootkit Beta があり、これは同社のアンチマルウェア ツールが 2014 年に 1 位になったので非常にお勧めします。 また、GMER.
これらのツールをインストールし、実行することをお勧めします。 もし何か見つかったら、彼らが提案するものは何でも削除するか、除去してください。 さらに、アンチマルウェアおよびアンチウィルス ソフトウェアをインストールする必要があります。 これらのステルスプログラムの多くは、マルウェア/ウイルスとみなされるため、適切なソフトウェアを実行すれば、削除されます。
メール & Webサイトの監視
メールが監視されているかどうかを確認することも複雑ですが、この記事では簡単なものにこだわります。 Outlookやパソコン上のメールクライアントからメールを送信する場合、必ずメールサーバーに接続する必要があります。 プロキシ サーバーはリクエストを受け取り、変更またはチェックして、別のサーバーに転送します。
メールや Web ブラウジングでプロキシ サーバーを経由している場合、アクセスした Web サイトや書いた電子メールを保存して、後で見ることが可能です。 どちらも確認することができますので、以下に方法を示します。 IEの場合、「ツール」→「インターネットオプション」を選択します。 接続」タブをクリックし、「LANの設定」を選択します。
プロキシサーバーにチェックが入っていて、ローカルIPアドレスにポート番号がある場合は、Webサーバーに到達する前にまずローカルサーバーを経由しているということです。 これは、あなたが訪問したWebサイトは、アドレスをブロックするか、単にそれをログに記録する何らかのソフトウェアを実行している別のサーバを最初に経由することを意味します。 唯一安全なのは、アクセスするサイトがSSL(アドレスバーに表示されるHTTPS)を使用している場合であり、これはあなたのコンピュータからリモートサーバーに送信されるすべてのデータが暗号化されていることを意味します。 つまり、あなたのコンピューターからリモートサーバーに送信されるデータはすべて暗号化されます。たとえ、あなたの会社がその間のデータを取得したとしても、それは暗号化されます。 多少安全というのは、コンピュータにスパイ用のソフトウェアがインストールされていると、キーストロークをキャプチャできるため、これらの安全なサイトに入力した内容をすべてキャプチャできるからです。 Outlook で確認するには、[ツール] – [電子メール アカウント] – [変更] または [プロパティ] をクリックし、POP および SMTP サーバーの値を見つけます。 残念ながら、企業環境では、メール サーバーはおそらくローカルにあるため、プロキシを経由していなくても、間違いなく監視されています。 セキュリティも突破しようとすると、システムを迂回したことがバレて大変なことになるかもしれませんよ。 IT関係者はそういうの嫌がるんだよ、経験から言ってね! しかし、Web ブラウジングや電子メールでの活動を保護したい場合、最善の方法は、Private Internet Access のような VPN を使用することです。
これには、コンピュータにソフトウェアをインストールする必要がありますが、そもそもできないかもしれませんね。 しかし、もしそれが可能なら、ローカルなスパイソフトウェアがインストールされていない限り、誰もあなたがブラウザで行っていることを見ることはできないでしょう。 ローカルにインストールされたスパイソフトウェアは、キーストロークなどを記録することができるので、あなたの行動を隠すことはできませんので、上記の私の指示に従って、監視プログラムを無効にするように頑張ってください。 何かご質問やご不明な点がございましたら、お気軽にコメントください。 お楽しみに!