書きかけ。
WeChatのサプライチェーンリスクを抑制するためのアイデア。
CopilotとGeminiに訊いて、抜粋、編集した ↓
方針
1. WeChatで機密情報を扱わない運用ルールを明文化する
- 「機密・機微情報はWeChatで送らない」
- 画面共有時も機密資料を開かない
- チャット内ファイル・URLの取り扱いを制限
導入・設定
2. VMwareゲストOSインストール
- (既に構築済みとして委細省略)
3. ホストへのアプリインストール、設定
3-1. OBS Studioインストール
3-2. VB-AUDIO Virtual Cableインストール
4. 物理セキュリティ、自動ログイン禁止、ロック、アップデート
- ホスト、VMで定期ウイルススキャン設定
- 個人デスクトップPC以外では自動ログインを絶対に有効化しない
- ブラウザのホーム画面に"ブラウザアップデート"を設定
- 自動アップデートされないものをリスト化し、定期アップデート
- スマホ・PCの画面ロック・OS更新・アプリ更新を徹底
※スマホは短時間アイドルでロック、PCは離席時ロック
5. VMwareのクリップボード分離設定を行う
- 対象VMを停止
.vmxに以下を設定isolation.tools.copy.disable = "TRUE"isolation.tools.paste.disable = "FALSE"isolation.tools.dnd.disable = "TRUE"
6. スマホ側でWeChatの「起動ロック(生体認証)」を有効化する
- WeChat:自分 → 設定 → プライバシー → アプリロック
7. スマホから「ログイン中端末」と「ログイン履歴」を定期確認する運用を入れる
- 「Windows/Mac WeChatにログイン中」バナーから即時ログアウト
- 設定 → アカウントのセキュリティ → ログインデバイスで不審端末削除
8. VM用カメラ構成を見直す(優先:仮想カメラ → ROM型カメラ)
- OBS等で仮想カメラ化
- 物理直結が必要ならROM型UVCカメラを使用
9. ホストOSのUACを「常に通知」に設定し、BadUSBの権限昇格を阻止する
- UACを最も厳しいレベルに設定
10. ホストのWindowsへの追加策(運用難易度で採否判断)
- USBデバイスの多くを禁止する設定を検討
10-1. ホストWindowsで「新規HIDデバイスの自動インストール禁止」ポリシーを設定する
- 既存デバイスを事前に接続
- gpedit.msc → デバイスのインストールの制限
- 「他のポリシー設定で記述されていないデバイスのインストールを禁止」を有効化
10-2. 必要に応じてUSBストレージのみ許可する例外ポリシーを設定する
- 「これらのデバイスクラスのフラグに一致するドライバーを使用したデバイスのインストールを許可する」を有効化
- クラスGUIDを登録
日常運用
11. 物理セキュリティ、自動ログイン禁止、ロック、アップデート(運用版)
- スマホ・PCの画面ロック・OS更新・アプリ更新を徹底
12. VPN利用時は「スマホと同一国の出口IP」を原則とする
- 日本利用時はVPNも日本リージョン
- 新規アカウント+海外IP+VMを避ける
13. QRコード認証時に「承認画面の文言を必ず読む」ルールを徹底する
- 承認前に端末名・IP・場所を確認
- スマホの自動ロック時間を30秒〜1分に設定
14. VMでUSBデバイスを使う場合の基本運用
14-1. VM会議後にカメラ・マイク・USBパススルーを毎回切断する
- 会議終了時にVMからデバイス割り当て解除
- USBハブの物理スイッチ等で遮断
15. VMでWeChatを使わない時間帯は、PC画面ロックを徹底する
- 離席時は必ず Win + L
16. ビデオ会議用VMは「会議直前に起動し、終了後すぐシャットダウン」する
- 常時起動を避ける
- 「起動→利用→終了」を標準手順化
17. WeChatアカウントで友人承認による解除を「最終手段」とする
- SMS認証・顔認証を優先
- 依頼する場合は日本番号の海外版WeChatユーザーに限定
