情報セキュリティ Windows 10でUSBメモリの自動実行を不可にする

Windows 10でUSBの自動実行を無効化
©いらすとや.

前回と同じくだけど、USBメモリなどを迂闊にPCに挿すのは怖い。そう意識していれば自分自身は出処不明のUSBメモリやUSBドングル或いはUSBの周辺機器っぽいものをPCに挿すことは警戒しているかもしれない。でも、家族や従業員はそうじゃないかもしれないし、外出先では予想外に他人にUSBポートに「何か」を挿されるかもしれない。そんなことは殆どないとは思うけど。
前回はリムーバブルなストレージを使えなくするというのはやった。でも、単なるリムーバブルストレージであれば勝手にPCに挿されてもファイル操作をされなければ怖くはない。でも、USBポートに「何か」を挿されたときに何かを「自動実行」されるととても危険(かもしれない)。普通に、家族用・従業員用のPCのUSB(など)は「自動実行」は要らんでしょ。そこで、「自動実行」を無効化する。

Windows 7あたりから自動実行の初期値は無効にはなったとは聞いているが、ユーザーが何かを触っていたら自動実行の設定値が変わっているかもしれないので設定の確認と変更は行うべき。

ある程度大きな会社・組織ではおそらくユーザーのPCを集中管理するだろうからActive Directoryでグループポリシー管理をやって貰うとして、この記事の対象外。
Windowsをスタンドアロンで管理するような個人・家族・SOHOレベルでは1台ずつ設定する。今回は、Windowsの基本的なUIによる設定方法、Windows 10 Proエディションのグループポリシーエディタ、Windows 10 コントロールパネルによる設定方法、Windows 10 Homeエディションのレジストリエディタ(レジストリファイル)の4種類。

WIndowsの設定で変更

Windows 10でUSBの自動実行を無効化 1
画面1 :
(スタートボタン)から (設定)アイコンをクリック。

Windows 10でUSBの自動実行を無効化 2
画面2 :
「デバイス」をクリック。

Windows 10でUSBの自動実行を無効化 3
画面3 :
左列の「自動再生」をクリック。

Windows 10でUSBの自動実行を無効化 4
画面4 :
右列の「リムーバブルディスク」の項目を「なにもしない」「毎回動作を確認する」などに変更する。 右列の「メモリ カード」の項目を「毎回動作を確認する」などに変更する。

または、

Windows 10でUSBの自動実行を無効化 5
画面5 :
「すべてのメディアとデバイスで自動再生を使う」のスイッチをオフにする。

簡単ではあるが、家族・従業員に全権を与えていると勝手に設定を変更するかもしれないのでユーザーアカウント権限の選択を適切に行う。

Windows 10 Pro グループポリシーエディタで変更

こちらはグループポリシーエディタを使う方法。Windows 10 Homeエディションにはグループポリシーエディタが無いのでこの方法はできません。

Windows 10でUSBの自動実行を無効化 6
画面6 :
[Win] + [R]で「ファイル名を指定して実行」の小窓が開くので、「gpedit.msc」と入力して[OK]を押す。

Windows 10でUSBの自動実行を無効化 7
画面7 :
ローカルグループポリシーエディタが開く。
左列のツリーで一番上から「コンピューターの構成」 「 管理者用テンプレート」「Windows コンポーネント」を開く。 右列で「自動再生のポリシー」をクリック。(左列のツリーの「Windowsコンポーネント」の下層にもある)

Windows 10でUSBの自動実行を無効化 8
画面8 :
「自動再生のポリシー」の中の項目から「自動再生機能をオフにする」をクリック。

Windows 10でUSBの自動実行を無効化 9
画面9 :
「自動再生機能をオフにする」の設定画面であることを確認する。
左のラジオボタンを「未構成」から「有効」に変える。「オフにするのを有効にする」の意味なので「無効」ではない。
右下の[適用]を押す。(この画面では要らない気もするけど一応)
[OK]を押す

上の画面8の他の項目も変更したいものがあれば変更する。(意図しない動作になったら、その項目の「画面9」相当の画面の①で「未構成」を選択して「適用」すれば初期値に戻る。

Windows 10 コントロールパネルで変更

Windows 10の1809からはコントロールパネルでも設定できる。

Windows 10でUSBの自動実行を無効化 10
画面10 :
[Win]+[R]で「ファイル名を指定して実行」の小窓が開くので control と入力して[Enter]

Windows 10でUSBの自動実行を無効化 11
画面11 :
コントロールパネルが開く。
「ハードウエアとサウンド」をクリックする。

Windows 10でUSBの自動実行を無効化 12
画面12 :
「自動再生」をクリックする。

Windows 10でUSBの自動実行を無効化 13
画面13 :
「すべてのメディアとデバイスで自動再生を使う」にチェックが入っていたら外す。
リムーバブルドライブやメモリカードのドロップダウンメニューで項目で「なにもしない」や「毎回動作を確認する」にする。初期値は「ストレージ設定の構成(設定)」
下の方にスクロールして他のドライブなども必要に応じて変更する。
右下の「保存」ボタンをクリックする。

Windows 10 レジストリエディタで変更

Windows 10でUSBの自動実行を無効化 14
画面14 :
[Win]+[R]で「ファイル名を指定して実行」の小窓が開くので regedit と入力して[Enter]

Windows 10でUSBの自動実行を無効化 15
画面15 :
左列のツリーの上から「コンピューター」「HKEY_LOCAL_MACHINE」「SOFTWARE」「Microsoft」「Windows」「CurrentVersion」「Policies」「Explorer」をクリックして開く(辿る)。
コンピューター HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies Explorer になるのを確認する。 を辿る。黄字の部分はHKEY_LOCAL_MACHINEなので注意。(ネットの情報で間違っているのがチラホラ)
おそらく、右列にはNoDriveTypeAutoRunという項目は存在無い筈。

Windows 10でUSBの自動実行を無効化 16
画面16 :
右下の方の空白部分で右クリックする。
「新規」をクリックする。
「DWORD(32ビット)値」をクリックする。

Windows 10でUSBの自動実行を無効化 17
画面17 :
「新しい値#1」という項目が名前未確定の状態で作成される。
「新しい値#1」を「NoDriveTypeAutoRun」に変える。途中で間違って確定してしまった場合は右クリックで表示されるメニューに「名前の変更」があるのでそれで名前を未確定状態にして「NoDriveTypeAutoRun」にする。
ちょっとした操作ですぐに名前が確定してしまうのでちょっと難しい。

Windows 10でUSBの自動実行を無効化 18
画面18 :
「NoDriveTypeAutoRun」を(左)ダブルクリックする。

Windows 10でUSBの自動実行を無効化 19
画面19 :
「表記」を「16進数」にする。
値を変更する。(この下)
[OK]ボタンを押す。

値 内容
1 不明な種類のドライブの自動実行を無効
4 リムーバブル ドライブの自動実行を無効
8 固定ドライブの自動実行を無効
10 ネットワーク ドライブの自動実行を無効
20 CD-ROM ドライブの自動実行を無効
40 RAM ディスクの自動実行を無効
80 不明な種類のドライブの自動実行を無効 (1と同じ)
FF すべての種類のドライブの自動実行を無効
⬆すべて16進数
上の複数の項目を組み合わせるならその数値を足す。

Windows 10でUSBの自動実行を無効化 20
画面20 :
「NoDriveTypeAutoRun」行の「種類」列は「REG_DWORD」であること。「データ」列に指定した値が入っていることを確認する。入力した値込みで0x+8桁で表示される。括弧の中はその値を10進数にしたもの。
上の画像は「ff」を入力したので0x000000ffと表示されている。16進数のffは10進数では255。

一応、システムを再起動する。

または、レジストリエディタを操作して設定変更するのがイヤな場合は下のレジストリファイルをダウンロードしてファイルをダブルクリックするという方法もアリ。ファイルの内容は以下のようなテキストファイルだが、一応ダウンロードした後にメモ帳などで開いて内容を確認してから実行して欲しい。

 autorun_all_disable.reg
すべての自動実行の無効化 (ff を指定したもの)
1
2
3
4
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
 autorun_delete.reg
動実行の無効化のNoDriveTypeAutoRunを削除 (戻し用)
1
2
3
4
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=-

上の方法ではあくまでも「一応」レベルで自動実行を停めることはできるが、過信は禁物。怪しいUSBデバイスは挿さないのはもちろん、USBポート自体に物理的に挿せないように対策することも考えるのもアリ。

関連記事: