● 中小零細企業用:ランサムウェア対策についてChatGPTに聞いてみたこと

20台くらいのクライアントマシンの場合に限る。

昔ながらのオンプレミスなら、
全員が、顧客DBを見るクライアントPCと、
メールやWebを見るクライアントPCの2台持ちをして、
顧客DBを見るクライアントのLANは、メールやWebを見るクライアントから
遮断する。
顧客DBを見るクライアントのLANは、Webからも遮断する。

★クラウドに顧客データが置いてあっても有効かもしれない。
クラウド顧客データを見るクライアントPCと
メールやWeb専用のPC(感染源)の2台持ちをし、
顧客データを見るクライアントPCのLANと
メールやWeb専用のPC(感染源)のLANとを分離・遮断させ、
顧客データを見るクライアントPCではWebとも遮断する。

メールやWebを見るクライアントPCも
顧客DBを見るクライアントPCも、
中古のミニPCでもいい。

特にメールやWebを見るクライアントPCは
ミニPCなら2台目としてスペースも電力もあまり食わない。
もちろん、ノートやタブレットでもいい。
2~3万の中古(SSDのもので第8世代以降のCPUでMARのものなど)で
ネット見るなら十分の速さ」。
メモリ高騰の今、新品を買う理由が無い。
それにSSDになってから、パソコンの寿命は延びている。

マイクロソフトやその手下のIT野郎どもの言うなりにパソコンを買い替えれば、
デジタルゴミが増える一方で、地球を汚すことに加担することになる。
本当にそれでいいのか?
何がSDGsだ。
何が環境を守ろうだ。
何がレアアースがデジタルゴミからとれる、だ。
騙しばかり。
そのせいで貧国の子供たちを奴隷労働させているかもしれない。

マイクソフトのクソOSアップグレード地獄
=「アップグレードクソ商売の奴隷となること」、
=「マイクロソフトやその手下のIT野郎どものケツの穴を舐め続けること」、
=「GAFAMやその手下のIT野郎ども自社データをクラウドに人質に取られて右往左往になること」、
のままでいいのか?

「そもそも」
「顧客DBのデータはファイルの形やメモの形でそう簡単に持ち出すことはあまりない」。
ならば、
メールやWeb、FAX、を見るクライアントと顧客DBを見るクライアントが分けてあったとすると、
両者は、実は「あまり接点が無い」のではないか?
両者は、USBでのやりとりくらいで十分なのではないか?
いちいち全部をLANでつながなくとも。

マイクロソフトやそれにおんぶにだっこの手下のIT野郎どもが、
「”全部を”つながないと効率悪いですよ」と騙しているだけで。
「実は全部をつなぐ必要が無かった」と最近気づいた。

コンビニが24時間営業でなくても、顧客は一向に困らないのと似ているかもしれない。
なんでもかんでもオーバースペックな日本。
おもてなしはいいけれど、海外の製品は全部100円ショップ品質なのに安く売りすぎ。

それに顧客DBをHUBと固定IPだけでつないで、Webから遮断すると、
万が一USB経由でランサムウェア感染しても
漏洩しようがないし、バックアップがあれば復旧も可能。
犯人に脅されることが無くなる。

すなわち、顧客DB側はOSアップグレード不要。
下手したらセキュリティソフトも不要。

マイクソフトのクソOSアップグレード地獄
=「アップグレードクソ商売の奴隷となること」、
=「マイクロソフトやIT野郎どものケツの穴を舐め続けること」、
=「自社データをクラウドに人質に取られて右往左往になること」、
からも抜け出せる。

最近増えている「社内開発者のパソコンこそが油断的感染源」、ということも防げる。

メールやWeb、FAX、を見るクライアントと顧客DBを見るクライアントとの接点回数。
もういちど見直して、クズマイクロソフトとクズIT野郎どもから解放されたほうがいい。

●ランサム拡散、潜伏、しにくくするには?(試案?アイディアのみ)
✔ LANケーブル抜き(外出時、あるいは、必要な時のみ挿す)
✔ LANアダプタ無効
✔ 共有フォルダなし
✔ 休止状態
✔ Wake on LAN 無効
✔ クラウド同期全OFF
 (MSアカ、Edgeブックマークバー、DropBox、
  OneDrive、Goolgeアカ、スマホ同期など)
✔ 開発PCを社内LANから物理分離(GitHub汚染などからの回避)
✔ USB手動受け渡し
LANアダプタ無効化(バッチ)
共有フォルダ無効化バッチ
共有フォルダが1つもないPC

PC2台持ちで、1台はメールとブラウザ専用で、無線ルーターのプライバシーセパレーター機能的な機能で無線のみフォルダ共有禁止

管理共有のOFF

✔ 日常は標準ユーザー
✔ 管理者は別ID

PC①:顧客DB専用、LAN限定、メール・Web不可、
     ネット遮断(HUBと固定IPのみでファイル共有)
PC②:メール・Web専用、外部通信可、DB不可

✔ 新品 or 初期化済USBのみ
✔ 常時空(持ち帰らない)
✔ 自動実行OFF
✔ ショートカット(.lnk)禁止
✔ exe/js/vbs持ち込み禁止

開発者PCを社内LANから分離(Pocket Wi-Fiでネットをやらせる。)

ファイル通信を、サーバ側にWebDAVサーバをたちあげ、別ネットワークアドレスのPCからHTTP経由でデータを吸い上げる。SMBを使わない。(一方向通信になってしまうけど、何かに利用できないか?)

  
  
  
  

投稿タグ
, , , , , , ,