USBメモリを挿したとき、何も操作していないのにフォルダが開いたりダイアログが出たりしますよね。あれ、毎回「うるさいな…」と思いながら閉じている方、結構いると思います。
この「自動実行(AutoRun / AutoPlay)」、実はかつてウイルスの主要な感染経路のひとつでした。USBを挿した瞬間にマルウェアが自動起動する——という攻撃手法が流行した時期があり、Windows 7以降はかなり制限されましたが、完全には止まっていません。
「自分は大丈夫」と思っていても、不特定多数のUSBを挿す職場環境や、もらいもののUSBを使う機会がある方は特に、一度設定しておくと安心です。止め方は簡単なので、この機会にサクッとやってしまいましょう!
忙しい人向け結論
| 方法 | 対象 | やること |
|---|---|---|
| ①Windowsの設定 | 今のユーザーのみ | 設定 → 自動再生 → オフ |
| ②レジストリ | PC全体(全ユーザー) | コマンドを1行実行 |
| ③グループポリシー | ドメイン内の複数台 | GPOで「自動再生を無効にする」→ 有効 |
個人PCなら①、確実に全員に適用したいなら②、社内一括配布なら③。詳しい手順は下に続きます。
②のコマンド(コピペでOK)
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f③のGPOパス
コンピューターの構成
└ ポリシー
└ 管理用テンプレート
└ Windowsコンポーネント
└ 自動再生のポリシー
└「自動再生機能をオフにする」
→ 状態:有効
→ オプション「自動再生機能をオフにする」:すべてのドライブ「自動実行」と「自動再生」の違い
混同されがちですが、厳密には2つの機能があります。
| 機能 | 動作 |
|---|---|
| AutoRun(自動実行) | USBのルートにある autorun.inf を読み込んでプログラムを自動起動する |
| AutoPlay(自動再生) | USBを挿したとき「何をしますか?」のダイアログを表示する |
ウイルスに悪用されてきたのは主に AutoRun の方です。Windows 7以降はリムーバブルドライブのAutoRunはデフォルトで無効化されていますが、AutoPlayのダイアログは今でも出ます。どちらも無効にしておくのが確実です。
方法①:Windowsの設定から無効にする(一番手軽)
レジストリもコマンドも不要で、設定画面だけで完結します。まずここから試してみてください。
Windows 11の場合
- 「スタート」→「設定」を開く
- 「Bluetoothとデバイス」→「自動再生」
- 「すべてのメディアとデバイスに自動再生を使う」をオフにする
Windows 10の場合
- 「スタート」→「設定」を開く
- 「デバイス」→「自動再生」
- 「すべてのメディアとデバイスに自動再生を使う」をオフにする
これだけでAutoPlayのダイアログは出なくなります。個人PCでサクッと設定したい方はこれで十分です!
方法②:レジストリで無効にする(PC全体に確実に適用)
方法①はCurrentUserへの設定なので、複数ユーザーがいるPCや「PC全体に確実に適用したい」場合はレジストリ(HKLM)の方が確実です。
作業前にレジストリのバックアップを取っておきましょう。管理者権限のコマンドプロンプトで以下を実行してください。
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f値の 255(16進数で 0xFF)は「すべての種類のドライブで自動実行を無効」を意味します。実行後はエクスプローラーを再起動するか、PCを再起動することで反映させることができます!
なお、設定先の Policies\Explorer キーは、標準状態のPCには存在しない場合があります。上記の reg add コマンドを管理者権限で実行すれば不足しているキーも自動で作成されるので、「レジストリエディターで見たらキーがない」という場合でもコマンドはそのまま実行してOKです。
元に戻したい場合は値を 145(0x91、Windows標準)に変更してください!
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 145 /f設定を確認するには
以下のコマンドで設定が反映されているか確認できます。
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRunREG_DWORD 0xff と表示されれば設定OKです!
方法③:グループポリシーで設定する(ドメイン環境・複数台展開向け)
Active Directoryのドメイン環境であれば、グループポリシーで複数台に一括配布できます。
方法②のレジストリは管理者がPCに直接触る必要がありますが、GPOなら一度設定するだけでドメイン配下の全PCに自動適用されます。新入社員のPCや新規キッティングしたPCにも自動で設定が入るので、「設定し忘れ」が起きません。
また、ユーザーが自分でレジストリを変更しようとしても、GPOの設定が上書きして管理者の意図した状態を維持します。個人ユーザーへの案内が不要になるのも利点です。
コンピューターの構成
└ ポリシー
└ 管理用テンプレート
└ Windowsコンポーネント
└ 自動再生のポリシー
└「自動再生機能をオフにする」をダブルクリック
→ 状態:有効
→ オプション「自動再生機能をオフにする」:すべてのドライブ
GPO適用後、クライアント端末を再起動すると反映されます。再起動せずにすぐ反映させたい場合は、クライアント端末の管理者権限のコマンドプロンプトで gpupdate /force を実行してください!
業務で展開する場合の注意点
利便性とのトレードオフを理解しておく
この設定を適用すると、デジカメのSDカードを挿しても写真のインポートが自動で始まらなくなり、音楽CDを入れても無反応になります。個人PCならいいですが、一般ユーザーが使う社内PCに展開すると「壊れた」と問い合わせが来ることがあります…。
社内展開する場合は設定と同時に「今後はエクスプローラーから手動で開いてください」というアナウンスをセットにするのが定石です。ヘルプデスクへの問い合わせが減ります。
より厳しい環境では物理対策との併用を
工場内端末や機密情報を扱うPCなど、本当に厳しいセキュリティ環境では自動実行の無効化だけでは不十分なケースもあります。そういった環境では以下の対策と組み合わせることが多いです。
- USBポートを物理的に塞ぐ:専用のUSBポートブロッカーを使い、そもそもデバイスを挿せなくする
- GPOで「リムーバブル記憶域へのアクセス拒否」を設定する:自動実行の無効化より一段上の設定で、USBデバイス自体をOSに認識させない。グループポリシーの「コンピューターの構成 → 管理用テンプレート → システム → リムーバブル記憶域へのアクセス」から設定できる
どこまでやるかはリスクと運用コストのバランスで決めることになりますが、「自動実行を止める」はその入口として最低限やっておくべき設定です。
3つの方法まとめ
| 方法 | 適用範囲 | こんな人向け |
|---|---|---|
| ①Windowsの設定 | 現在のユーザーのみ | 個人PCでサクッと設定したい |
| ②レジストリ | PC全体(全ユーザー) | 確実に止めたい・複数ユーザーがいる |
| ③グループポリシー | ドメイン内の複数台 | 社内SEが一括配布したい |
よくある質問
Q. 無効にしたらUSBが使えなくなる?
A. 使えます!「自動でプログラムが起動しなくなる」だけで、エクスプローラーから手動で開けば普通にファイルを読み書きできます。
Q. 設定してもまだダイアログが出る
A. エクスプローラーの再起動が必要な場合があります。タスクマネージャーで「Windowsエクスプローラー」を右クリック→「再起動」を試してみてください。それでも出る場合はPCを再起動してみましょう。
Q. CDやDVDの自動再生も止まる?
A. 方法①の設定はすべてのメディアが対象なので止まります。方法②のレジストリ(NoDriveTypeAutoRun の値 255)もすべてのドライブ種別が対象です。
まとめ
個人PCなら方法①のWindows設定で十分、複数ユーザーがいるPCや確実に止めたい場合は方法②のレジストリ、職場のPC一括管理なら方法③のGPOという使い分けでOKです!
USBの自動実行は「知らずに有効のまま」になっているPCが今でも多いと思います。設定自体は1分もかかりませんのでこの記事を読んだついでに、サクッとやってみてはいかがでしょう!
