両親のパソコンサポートの救世主? AnyDeskが凄い! けど、、、社内的にはまずい(´・ω・`)

2017.03.07
2017年が始まってもう3ヶ月経っています。
本当に年月がすぎるのが早く感じる様になってきました。


…完全に老化ですねww


私自身がこんなに早いのなら両親はもっと早く時間がすぎるのが早く感じているかもしれません。
たまに実家に帰ってパソコンの操作を教えたりするときに覚えが悪いのをみて両親に対して老けたなぁと感じます。


出来れば普段からパソコンのサポートが出来ないかなと思って探してみると…
なんとインストール不要、アカウントやパスワードを準備しなくてもリモート操作が出来るツールを見つけました!

まだ実家では試していませんが、あまりに感動したのでブログに書くことにしました。
そして、逆のパターンとして、会社としては外部への接続は絶対に阻止したいですよね。

今回は便利すぎるツールの紹介と、会社で社員に使われるのを阻止するための方法を書いてみますね。

書いてたら文字主体となってしまいました…読みづらいかもです(´・ω・`)

AnyDesk は少しセキュリティ的によくない可能性があることから、私自身は現在利用を中止しています。

同様のことができるTeamViewer をおすすめします。
こちらでTeamViewer の使用感を書いています!
 
スポンサーリンク

そのツールの名は…AnyDesk

早速ですがツールですが、名前はAnyDeskといいます。
公式サイトは英語満載なので、日本の有名なダウンロードサイト、窓の杜のリンクですw

窓の杜
「AnyDesk」手軽なリモートデスクトップ操作ソフト
forest.watch.impress.co.jp
やっぱり英語に拒絶反応を示す人は一定数いますからねw
窓の杜の中に公式サイトのリンクがあったので、公式サイトも見てみようと言う人は、窓の杜からどうぞw

英語ですが、私のチームの人も拒絶反応を示します。。
このツールで何が出来るかというと、ダウンロードしてお互いに起動すれば、どちらからでも相手のパソコンの操作が可能になります。



文字にしてみると、なんだか危険な感じがしますねw



実は、この類のツールは何種類もあるのですが、結局導入時にインストールが必要だったり英語だったりで初期設定の時点で躓いてしまうんですよね。

でもこのAnyDeskは、ダウンロードしたexeをダブルクリックするだけで起動完了という超簡単な代物ですw
本来、ネットワークを超えて通信するにはルータの設定をしてポート開放して、ファイヤーウォールを切ってなどの操作が必要になるのですが、そのあたりの知識が皆無でもサクッと動かせてしまいます。



やっぱり怖いw


ですが、便利に使えるものは極力使っていきたいと考えています。

少しセキュリティを上げて使う&簡単な使い方

ですがやっぱり気になるのはセキュリティ
操作のやり取りが覗かれないのか、標的にされないかなどが気になる所。


基本的にSSLでのやり取りのみなのでほぼ安全と考えても良さそうですが、絶対に行いたいのはパスワードの設定です。
最初にパスワードとかの設定がめんどうとか書きましたが、それだけは絶対にする必要があると感じました。


私の場合は、今でも時々動画ファイルを両親にインターネット越しに渡しています。
自宅にWEBサーバーを立てて、ブラウザから直接ファイルをダウンロードしてもらう方式です。
通常それだけだと全世界中の誰からもアクセスが出来てしまうのですが、ダウンロードするファイルはパスワードを掛けて暗号化しています。


パスワードを掛けているツールは、FileCapsule Deluxe Portableというツールです。

https://www.resume-next.com

パスワードは20文字程度の物を私と両親で共有してあるので、いつも同じパスワードを使用しています。
exeファイルを作ることも出来るので、ダブルクリックだけでOKなのも嬉しいところです。
と言った感じで、やはりパスワードは必須です。

なので、今回のAnyDeskもパスワードだけは設定します。
ダウンロードしたファイルを起動するとこんな画面が表示されます。



上の赤い枠が自分だけの番号です。



他のパソコンからAnyDeskを起動して、この上の番号を下の黄緑色の枠の入力箇所に入力するとサクッと相手のパソコンに接続出来るという…
もう、使い方の説明すらいらない感じですw

が、肝心なのはパスワード。

操作してもらう側にて上の画面内の赤枠のしたの「ワークスペースへのパスワードを変更する」からパスワードを設定してもらいます。


が…不在アクセス時のパスワード設定の項目しかありません(´・ω・`)



一応チェックを入れて設定します。


流石に20文字(大文字、小文字、数字、記号有り)であればすぐに突破されることはないだろうしね…。。


これで少しは安全性が高まると思います。


アクセス制限もかけるといいのですが、今回は触れませんw

言葉で説明するとちょっと長く感じてしまうのですが、操作される側の実際の手順として、
  1. AnyDeskをダウンロードしてダブルクリック
  2. 出てきた上の番号を操作して欲しい人にメールor電話で伝える
  3. 接続が来たときに承認ボタンを押す
だけの超簡単手順。
注意すべきは手順3で、知らない人からのアクセスに対しては承認ボタンを押さないことです。


と…かなり便利に使えそうですが、ココからが個人的にはメインコンテンツw





会社でこのツールを使われたら厄介ですよね。





自宅にパソコンを付けたままで無人パスワードを設定した上で、会社のパソコンから自宅のパソコンが操作出来てしまうんですからね。
しかも、ファイルの転送機能まで付いています。


なので企業側、経営者目線としては、このツールを使わせないようにする必要があります。


勝手に自宅にファイル送信されたら困りますしね(´・ω・`)

今回はAnyDeskに接続させない対策の例を書きます。

少しだけですが、技術的な話も出てくるので、便利に使えていいなぁ…で終わらせたい人はここで読むのを終わったほうがいいですw
逆に会社で使っている人、社内のネットワーク管理者などは読んでおくといいことがあるかもしれません(´・ω・`)

もし使っている人がいたら、ログから丸わかりなので、今すぐに辞めたほうがいいですよ!

スポンサーリンク
 

簡単解決はプロキシの設定

多分、どの企業でも今やインターネットが出来るパソコンがあるはずです。
が、どこにでもアクセス出来るわけではなく、ある程度のアクセス制限が掛けられているはずです。


例えば、2ちゃんねるが見れないとか、オンラインゲームサイトにつながらないとか。
それらは基本的にプロキシサーバーというサーバーが役割を担っています。


私の会社では、自社内にサーバーを持っていますが、今はクラウド上に構築していたり、外部企業にメンテナンスを任せている企業もあるかもしれません。


プロキシサーバーのメリットを語りだすと止まりませんが(笑)…、とりあえずアクセスしても良いサイトとダメなサイトの管理をするためにも使われているようなサーバーです。
また、すべてのログを取得することが可能なので、いつ誰がどのパソコンからどこにアクセスしたというのがログをみると全てわかります。



しかし、SSL通信はわかりません。




…あれ? AnyDeskってSSLでしょ。SSLならわからないのにどうして…と思うかもしれません。


でもSSLでもわかることはあるのです。



いつ接続されたのか、どこに繋いだのか程度はわかります。




そこでやり取りしている内容まで見ることは出来ません(´・ω・`)
じゃあなぜ、AnyDeskのやり取りを見極めることが出来るのか。



それはAnyDeskがかなり変わった動作をするからですw

といっても、Skypeと同じような動作なんですけどねw

とにかくプロキシをかいくぐろうとする!

私の会社では、インターネットをするためにはプロキシサーバーを指定する必要があります。
ルータには、プロキシサーバー以外からのアクセスは、外部(インターネット)に出られないような設定がしてあるからです。

逆にいうと、プロキシサーバーの設定が可能なアプリケーションであれば外に出ることができちゃうと言うわけです。
ぶっちゃけると、わりとザルな管理方法ですが、普段、ログを頻繁に確認しているので大きな問題とはなりません。。


さて、AnyDeskのログを確認してみると。。。


ダウンロードして何もせず初期設定にもかかわらず、勝手にプロキシの設定がされます。
つまり、私の会社の場合は、自動的にインターネットに出る設定が動的に行われます。

その後、SSLでAnyDeskに接続されます。

ログとしてはこんな感じ。
CONNECT boot-1.anydesk.com:443
CONNECTとは、https接続を示します。
こうなったらもう簡単に接続出来てしまいます。

なので企業としての対策は、
anydesk.com:443
をフィルタリング(拒否)すれば解決となります。
…が、そんな簡単に行かないのが厄介な所w

AnyDeskはそれを見越してか、拒否されるとあの手この手を使って外に出ようとしますw
個人ユーザーだったらありがたいのですが、企業としては迷惑すぎるwwww


拒否されると、今度はDNS名ではなくIPで接続しようとします

さっきの”anydesk.com”がIPに変わるわけですね。
IPはほぼほぼ無限にあるので対応が出来ません。

ちなみにSkypeも同様の動きをします。

こんな時は正規表現でフィルタリング(拒否)します。
/^(([1-9]?[0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([1-9]?[0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$/:443
ってな感じです。
が、個人的に可読性が悪い(知識不足)ことや、今回は特定パターンだけでいいことから、こんな風に書いています。
^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+:443
こうすることで、IPでの443ポートを拒否出来ました。
これでいいかなと思ったら、、、なんと、、、最終的には80番ポートまで使う始末w

80番ポートは通常httpなのですが、強引にconnectで80番ポートを使ってきますw

connectは443が基本なのに…よくよく考えられているなぁと感じます。

なので、それも拒否します。
^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+:80
ここまでやって外へのアクセスは防ぐことが出来ました。
外からのアクセスは確認していないのですが、ログを見る限り、ポート7070を閉じればいけるのかな…と思っています。

プロが教える情報セキュリティの鉄則 ――守り・防ぐ・戦う科学 (Software Design plus)
プロが教える情報セキュリティの鉄則 ――守り・防ぐ・戦う科学 (Software Design plus)
技術評論社
¥30(2024/11/21 07:28時点)
説明文を入力してください
Amazonの商品レビュー・口コミを見る
 

まとめ

今回はかなり便利に使えそうなツールを見てみました。
今度実家に返ったら両親のパソコンにダウンロードするつもりです。

もちろん連絡とりあったときだけ起動してと言うつもり。。
実家にはipadも有るので、出来ればipadでも同じようなことが出来ればなぁと思っています。

便利なツールはどんどん使っていきたいものです。

↓↓↓ブログランキングに参加しています。m(_ _)m ↓↓↓

ブログランキング・にほんブログ村へ