- InternetExplorerやOutlookExpressは使っちゃいけないのですか?
前回、ゲイツ君をあまりにも絶賛しすぎたためにこんな質問をもらいました。別に多数来たわけじゃないのですが、私の所に来る質問メールの多数がOutlookExpressによるHTMLなのでこの際、掲載することにしました。お願いだからデフォルトのままで使わないで・・・・・・(>_<)
ま、IEや OutlookExpress のセキュリティ問題でパスワード盗まれたりDM地獄になったり脅迫状が届いたりPC壊された所で人様に迷惑をかけないように使えば、私は一向に構わないんですけどね。それでもお節介をお許しいただけるのなら申し上げたいことがございます。
こんなもの使うのはやめようよ と。
個人的感情もさることながら、あの笹塚に日本法人があるマーケティング会社にはセキュリティ意識が皆無に等しいことに最大の問題を感じるんです。セキュリティホールなら IEのライバルである Netscape Navigator にも弱点があるので「IEだけがダメ」なんて言えないのですが、その数の差と危険性の差からどうしてもIEに非難の目が向いてしまいます。さらに OutlookExpress は「IEのセキュリティホールをそのまま引き継ぐメーラー」になってしまっていることから、研究目的以外に利用価値は皆無でしょう。そこで、OutlookExpress の是非を論じる前に、昨今のブラウザ事情、そして笹塚あたりのセキュリティ意識について考えてみたいと思います。
しかし私はこんなくだらん記事書くために3日も潰したのね・・・・・反省(^^;
●InternetExplorerのセキュリティ問題●
しかし、IEは有名かつ深刻なセキュリティホールが毎日ダース単位で発覚しているのでどれを指摘すればいいのか迷います。こんなことで迷ってもしょうがないので ここ とか ここ でも見てください。よくもまぁここまでうじゃうじゃと出たもんです。まぁ、分からないではないんですけどね。仕様にない弱点を付かれるセキュリティホールとは違って、IEは仕様そのものがクラッカー支援環境ですから。しかし、IEなんて推奨しない方針の私としてはこんなのどうでもいいことです。要は、使わなきゃいいんです(笑)
さて、そのセキュリティホールの温床と悪名高い ActiveX ですが、これは端的に言ってしまえば「ブラウザであらゆるプログラムをダウンロードさせ、かつ起動できる」以外の何物でもないわけで、サーバー上にあるネイティブコードのプログラムをそのまま実行させる技術なんです。実際、ActiveXコントロール作成に使われてる言語もCとかVBなわけで、そこらへんの .exeとか .dllとか付いてるプログラム、たとえば format.com などとも何ら変わることのないレベルで実行されてしまいます。もちろん、後述のJavaアプレットのようなセキュリティの概念なんて皆無です。さすがのゲイツ君もこの問題は見過ごしにできなかったようで、「署名」という苦肉の策を編み出したわけですが・・・私からすれば仕様的に危険なものを小手先の誤魔化しだけで「タダだから」とバラ撒くなんて言語道断だと思うんです。さながらバグが 63000個もあるにも関わらずリリースしてしまった上に、今ではフィックスするのすら諦めてしまった感がある Windows2000 よりタチが悪いと感じるんですね。ここらへん、笹塚あたりのお歴々はどうお考えなのでしょうか?
ともあれ 「Microsoftの秘策=署名」は ActiveXコントロールをクライアントで実行する際には、よほどタコな設定をしてるIE以外では必要となるのです。その「ActiveXの署名」ですが「悪質なプログラムを書かない」という契約の下でベリサイン社がカネ取って発行しているもので、一定の安全性は保証されてるかもしれない物です。万一、悪質なプログラムをばら撒いたことが発覚したら、その段階でベリサイン社のデータベースから署名は抹消されるそうです。もっとも、InternetExplorer が ActiveX を実行するたびにデータベースと照合してるかどうかは疑問なのですが (^^;
ところでみなさん聞きました?「悪質な行為が発覚すれば取り消される」んですよ。なら、適当な住所で署名を取得してメリッサのような自動増殖ウイルスでも書いて、銀行やらクレジットカードやらの情報を盗み出す機能を付け加えて、いつかはバレることを承知の上でバラ撒いたらどうなるのでしょう?署名が取り消されるまでの間に荒稼ぎができるチャンスがあるかもしれないじゃないですか!成功すれば一瞬にして大金持ちですよ!こりゃやるっきゃない!
まあ、こんなバカは幸いにも今までいなかったようですが、こういった弱点に対しチャレンジした方はいたようです。悪意がないプログラムだと公言して(本当に悪さはしなかったようです)、身元も堂々と明かして、「こんなこともできるんだゼッ!」と自己主張をしただけだったようですが署名は取り消されたそうです。さらに、弱点を暴かれて激怒したであろうゲイツ君に損害賠償訴訟も起こされたとも聞きますが・・・どうなったかは知りません。でもこの方は無防備なIEユーザと、将来のゲイツ君のために勇気のある行動をお取りになれれただけと私は思います。・・・恩を仇で返すとはまさにゲイツ君のためにあるような言葉かもしれません。それにしても技術の革新とともに署名を偽造されないなんて保証はどこにもないし、もしかするとウイルスに感染したファイルに対して署名するミスがないとも限りませんから。それに自爆テロの如きクラッカーが相手だとこんな誤魔化しは全くの無意味と化してしまいます。こんな仕様からおかしいセキュリティホールをくっつけて「タダブラウザ」ならぬ「タコブラウザ」をばら撒かないで欲しいものです。
ところで、IEのセキュリティを高めるにはオプションのセキュリティタブで調整するのですけど、これ、「セキュリティレベル高」でも「スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプト実行」という何のことかさっぱりわかんないけどとりあえずプログラムらしきものが走ったりするんですね。まぁ、「セキュリティレベル高」のデフォルトでは利便性に問題がありすぎて使えたもんじゃないので、この環境でのセキュリティ問題を論じることに何のメリットも感じないのですが、いったい何なんでしょう?それに安全だとマークするのは誰?ゲイツ君?
IE5.5SP1で確認したところ、どうやら「セキュリティレベル高」にすれば一切のActiveXが動作しなくなるようです。私の勘違いだったの?それとも修正されたのでしょうか?
路線変更 〜Microsoftは信用できるか?〜
ここではブラウザのセキュリティ問題を論じるつもりでしたが、それは後述のNetscapeも致命的なセキュリティホールがあるようなのでそちらと合わせていきたいと思います。とりあえず、Microsoftという企業はセキュリティという概念を持ってるのか考えてみましょう。
さて、かなり昔の話になるのですが、まずは ここ をご覧ください。前回も紹介した外崎さんのゲイツ応援ページです。こんな1年以上も前の記事を今さら引っ張り出してもゲイツ君に悪いかな?とは思ったのですが、一部では Windows Update で同じことをやってるんじゃないかとの噂もあり油断も隙もあったもんじゃありません。なにせ、「Windows Update はお使いのコンピュータで利用できる製品の更新カタログをカスタマイズ中です。この作業では、Microsoft に情報は何も送信されません。」ですから、カタログのカスタマイズが終わった後は知ったこっちゃないわけですね(笑)
しかし、すごいねこれ。「がんばれ!!ゲイツ君」からの引用だけど、
----------------------------------------------------------------------
・Windows98のユーザー登録時に他のMicrosoft製品のシリアルも一緒に送信する
・「MACアドレス」と呼ばれるネットワーク機器に振られている固有の番号まで送信する
・MACアドレスはWordとかExcelの文書にも埋め込まれている
----------------------------------------------------------------------
何考えてんでしょう?このタコベンダは。何も考えずにやったんでしょうからもう救えないでしょう。Microsoft の体質やセキュリティ意識がどうであるかを如実に表す事例じゃないでしょうか? ゲイツ君の餌食にされてしまった「MACアドレス」ですが、なんとこれ、使い方によっては 個人の追跡までが可能 になるんですね。いやはや、空恐ろしいこと。
ところでこれは「セキュリティホール」の枠内なのでしょうか?そもそも「セキュリティホール」とはプログラム上の弱点を第三者に悪用されてしまうものなので、開発者が意図して埋め込んだもバックドアはどう表現していいのか分かりません。こともあろうに全世界から信用を得てる(かもしれない)ベンダーが、「こんなこともだってできるんだぜ!ふはははは!」なんて堂々とクラックソフトをばら撒いたんですから、どんな目的があったにせよ 論外 でしょう。これに関してはさすがのゲイツ君も「バグじゃなくて仕様です」と言うわけにもいかず関係者は「バグだ」開き直ったようですが、どこをどう間違ったらプロダクトIDとMACアドレスをセットで送信するバグが生産されるのか、後学のためにも詳しくお話を聞きたかったものです。もしかして、バグと仕様の意味が逆になってるんじゃございません?いや、そんなことはないですよね。プロの開発者に対して素人が口出しするなんて失礼いたしました(笑)
現在は修正(仕様変更?)されたらしいこの問題、Microsoftの真意は何だったのでしょ?やっぱ氾濫する不正コピーの排除が目的?いやー、この程度でヘコむほど現代のソフトウェア収集癖のある愛好家(笑)は単純ではないと思うけど、ある程度の同情はできるかもしんない。でも、これって新たなモラルハザードを起こしたと思うんですね。「一切の個人情報を送信しなきゃ大丈夫じゃねーの?」とごもっともな考えを。今までは「VCは買えないけどOSくらいは買ってやるか」なんて偽善心を持ち合わせた将来の顧客が「PC丸ごと割れ物ならアシ付かないぜ!」なんて具合に。もちろんユーザー登録なんてするわきゃないので個人情報は漏洩しないってワケですね。でも少し甘いんじゃありません?それならMacアドレスを埋め込まれたOfficeドキュメントを外部へ出す時も本名を明かせませんから(笑)
あ、私ですか?10MB超えるようなアーカイブが落ちてたりバイナリエディタ使うようなサイトへの関与については一切ノーコメントなのですが、必要なければ正規ライセンス品のユーザー登録もしない方針です。だってユーザー登録して何かメリットある?せいぜいくだらんDM送ってくれるくらいじゃない?サポセンに電話しても「バグじゃありません仕様です」「もう一度やってみてください」とか何の役にも立たん答えを聞くだけなので、とてもこちらの情報を開示する気はさらさらないんです。これに限らず個人情報は基本的に隠蔽(都会ではそうしなきゃ生きられません。警察はアテにならないし)してるのですが、それでもDMやテレアポの類は少なくないわけです。これ以上無駄な資源を増やされたらたまったもんじゃありません。
もっとも、サポセンの受付係に罪はないんですけどね。そもそもサポセンは外注してることの方が多いようで当人は事情を知らないみたいですし、あの方たちは「どれだけの問題を解決したか」ではなくて「何人捌いたか」の歩合制らしいですから。つまり、とっととユーザに諦めさせるのが仕事だそうです。たとえばPCの初期不良がロット単位で発生している場合は「とにかく丸め込め!」と号令が飛ぶそうで、丸め込みに失敗したら ここらへん に紹介されるわけですよ。メーカーも切実かつ真剣なんです、後ろ向きに(笑) サポセンの方々は安い給与で不祥事隠しの最先鋒かつ最重要課題を背負わされてるわけで、同情しても同情しきれません(これは某通販PCメーカの話ですが、どこも事情は似たり寄ったりのようです)。いやはや、会員集めるだけ集めてトンズラする悪徳業者とほとんど変わらないですね、今のITコンシューマって。PC覚えてリストラされないようにがんばるぞ!なんて言ってるおじさま方が気の毒でなりません。
そうそう、こんな事例 があったようですが、私も経験ございます。届いたアカウントは職場のアカウントだったのですが、管理用(兼・私用(^^; )に使ってたもので、当たり前ですが取引先にも教えてないアカウントだったんですね。う〜ん・・・どこから漏れたのでしょう?少なくとも私が関わった案件には笹塚あたりのマーケティング情報センターはなかったのですが(笑)
あ、ゲイツ君の覗き趣味は個人の趣向までチェックしてDMでも送りつけるための布石だったのかしら?まぁ、あの会社は優れたマーケティング会社なのでそのアイディアも分からないではないのですが、ちょっと限度というものをわきまえてください (^^;
そんなこんなで、ある東側の軍部では、事務や会計処理などを含め全てのコンピュータにMicrosoft製品を入れることを禁じてるそうです。その理由は「不安定」ではなく、「機密情報が漏れかねない」ことのようです。もっとも、あれほど不安定なだけでも危なっかしくて使えませんが(笑)
ついでなのでさらに脱線・・・・・
行き過ぎた不正使用対策は他にもあるもので、やはり個人情報を送信するNextFTP、最悪なものではローレベルからFATを破壊するWinGrooveなどあります。特に後者の方は無関係な各方面からもかなり叩かれたようで、三流弁護士が書いたような謝罪文みたいなものを出してました(さすがに作者もびびったのかしら?でもあれ、どう見ても謝罪文ではなかった。笑)。おそらく100人単位ではいるだろう被害者のうちの1人にでも訴えられたらこのおじさんも今ごろは賠償金地獄になっていたかもしれません。もっとも、被害者の方も後ろめたいことをやった結果だったので訴えられなかったのでしょうが、ひとりくらいは戦う勇者さまを見たかったものです(笑)。そういえばこのおじさんって笹塚のマーケティング会社出身なんでしたっけ?まぁ、蛙の子は蛙というか、腐っても鯛ならぬ海豹っていうか・・・。
ところで、うちのサイトでは「自宅サーバ」を取り上げてるのでよからぬ目的を考えている方もいらっしゃっているかとは思いますが、くれぐれもお気をつけください。こんなもん食らった方が悪いだけですから。対価に見合わないようなソフトは使わなきゃーいいんです。まぁ、MSフリーウェアに関してはタダほど高いものはないと痛感させられるのですが・・・(笑)
それはともかく、NextFTPもWinGrooveも所詮は個人のシェアウェアですがどうでしょう? IEはMicrosoft秘伝の高度なマーケティング手法と強制力を伴う抱き合わせ販売によりNetscapeから全世界のシェアを奪い去ってしまった超大型プロダクトです。求めるだけ無駄だと承知の上ですが、もう少しは社会的な常識くらいは勉強してもらいたいです。たとえ不正コピー摘発が目的だったにせよ、技術的にはメールアドレスとかアドレス帳とかを収集してDB作成・・・とか、悪知恵を総動員して考えたら背筋が寒くなるようなことができるという前例を作っただけでも「バグ」で済まされる問題ではありません。
そこで、こんな危なっかしいHTMLクライアントのInternetExplorerなんて使うのはやめてしまって、他のブラウザを使いましょう。
何だっていいんです。本当に安全に使いたければlynxやemacsなどのテキストブラウザかな〜? (^^;
●NetscapeNavigatorのすすめ●
威勢良く「他のブラウザを使いましょう」なんて言いましたが、現実的にはほとんど選択肢はなかったりします。私だってテキストブラウザはやだし(笑)。そこで、昔は唯一のブラウザだった Netscape Navigator (現在は Netscape Communicator として配布。以下NNと略)の使用、もしくは併用をお勧めします。まぁ、NNにもセキュリティホールはあるもので、特にVer4.74以前の「Brown Orifice」と呼ばれるものは「過去最悪のセキュリティホール」なんて騒がれていた事例です(というか、鬼の首でも取ったかのように笹塚あたりの関係者が大騒ぎしてました)。今では対処された4.75以降がリリースされていますが、こうなるとIEだけを責めることもできないかもしれません。そんなわけで、4.74以前ではJavaを無効にするか、4.75以降を使うことが必須条件です。
しかし、4.75以降(正しくは4.74以降)は日本語のブックマークが文字化けするのでそのままじゃ使えません。さらに欠点を述べればプラグインの起動時になぜかJavaが起動するし(4.x以降)、Javaの起動は正気じゃないくらい重いし、タコなJavaScript書いてあるページにアクセスすればアンカーが動作しなくなったり、スタイルシートをふんだんに使ったページでは原型をとどめないほどにレイアウトが崩れたり、JavaScriptを無効にしてしまったらスタイルシートまで無効になったり・・・・・・IEにとっての唯一のライバルはこんな具合なので、「IEなんてやめてNNに乗り換えれば?」と安易に薦めていいのかどうか迷います (^^;
NN の欠点を羅列してると「なんだ、IEよりNNの方がタコじゃないか」と思われるでしょう。その通りかもしれません。NNもセキュリティホールは少なくないし、何より機能的に見劣りしてしまうのも認めざるを得ない真実です。まぁ、でもそれは ここ を見た後でもう考えてみてください。コメントは控えますが「・・・・・・・・・・・・・・・かんべんして」。
しかし、NNの場合は JavaやJavaScriptの無効化 でとりあえずは強烈なセキュリティホールからは開放されるんですね(なかにはそうじゃないのもあるみたいですが・・・それは割愛。どうせIEも同じだから)。が、IEはどうでしょう?ActiveX・MicrosoftVM・VBS・ActiveScript を塞いだからさあ安心!なんて言う間もなく、お次はウイルス支援機能付のOfficeが連動して立ち上がってマクロウイルスが走ってしまうからそれも何とかしなきゃいけない・・・って具合でもう対処しきれないんです。さて、IEほど脅威を覚えるブラウザが他に存在するのでしょうか?
もう一度言います。InternetExplorerなんて使うのはやめて、他のブラウザを使いましょう。
〜Brown Orifice〜
何かにつけてNNと比較されては危険だと言われつづけたIEの恨みを晴らすかの如くMS信者が批判しまくったNetscape-Javaのバグです。確かにひどいなんてレベルじゃありませんが、Javaを知ってる人に言わせれば「何で今まで悪用されなかったかが不思議」なほどお粗末なものらしいです。 こんな 動作サンプル (高木 浩光氏のサイト) がありましたが、全てのディレクトリ情報を読み取れる上に全てのファイルにアクセス可能なんですね。ゲイツ君じゃなくても大騒ぎしたくなる気持ちは分かります。普段からJavaを無効にしてる私にはあまり関係ありませんでしたが、「プログラムがブラウザで走る危険性」を実感した出来事でもありました。
〜MicrosoftVM〜
MicrosoftがJava環境として実装しているMicrosoft製のJavaVM。オリジナルのJavaを高速化したらしいですが、互換性の問題でSunに訴えられてます。
やはりというか、Microsoft製品の宿命からは逃れなかったようでやはりダース単位でセキュリティ問題を抱えてるようです。それも、実装を誤っただけのNetscapeとは違い、仕様的にシステム資源にアクセス可能になってるらしいので無理からぬことなのですが。あげくに、MicrosoftVMでも Brown Orifice と同様の問題が発覚した らしく、ゲイツ君の慌てふためく姿が目に浮かびます。
まぁ、ActiveXもJavaと比較されてはさんざん叩かれてるだけに気の毒だと思います。比較されて辛いお気持ちはお察ししますが、安全なはずのJavaまでタコにすることはないでしょう。自社製品を持ち上げるためにセキュリティホールまで平等にする方針なんでしょうか?このベンダは。それともMicrosoftVMで問題が起きても「Javaが悪い」とアナウンスするつもりなのかしら?
〜Javaは悪か?〜
ここまで読むと悪者のようになってしまったJavaですが、決してJavaが悪いわけではありません。大問題になった「Brown Orifice」がJavaのセキュリティホールだと言う人がよくいますが、あれはNNに実装されたJava特有の問題です。JavaアプリケーションはCやアセンブリ言語などと同様にネイティブコードで実行されるため何でもありですが、バイトコードのJavaアプレットはサンドボックスと呼ばれるで閉ざされた空間だけで動作するのでシステム資源へのアクセスが厳しく制限されているそうです。それでも空いてしまったセキュリティホールの原因は、アクセス機能の実装の際にSunのライブラリを使用せずにNetscape本体の機能を使用したためにセキュリティチェックをすり抜けたことが原因だとか・・・とJava使いの方に教えられたのですが、残念ながら私には理解できませんでした(^^;。
自分が分からないことを論じるのは避けたいのですが、Javaアプレットは設計段階からセキュリティを考慮されているらしいので誤解しないようにお願いします。(もっとも、「仕様的に安全」だから「絶対に安全だ」と言う気はありませんが。仕様的に危険だらけのActiveXやIEやOutlookとかに比べればはるかに安全というだけで)
〜注意:JavaとJavaScript〜
よく混同されるのがJavaアプレットとJavaスクリプトですが、これは全くの別物です。Javaアプレットはまさにダウンロードして実行されるのですが、JavaScriptはHTMLに埋め込んだ拡張命令みたいなもんです。多分(笑) JavaScript は Netscape Communications が開発した言語で、もともとはLiveScriptと呼ばれてました。IEでも Ver.3 から対応しているのですが、JavaScript と呼ぶのは心情的に引っ掛かりがあるのでしょう。昔は JScript と呼んで、今はActiveScriptなんて呼んでます。「Activeなんとか」と呼ばれるプログラムにろくなものはないと記憶してるのですが・・・ブランドイメージでしょうか(笑)
〜JavaScript〜
JavaScriptはあくまでもHTML内で動作するので、危険性は低いかも・・・と素人丸出しだった私の考えは甘かったようで、どちらかといえばこちらの方が問題が多いようです。セキュリティホールを考えなかったとしてもイタズラに多用されてしまってる現実があるので何かと心臓に悪いでしょう。たとえば「無限に窓が開く」とか「ブラウザが凍る」とか「画面がブリンクして止まらなくなる」とか。手軽で分かりやすい言語であるゆえの悲劇でしょうか?
まぁ、最悪でもマシンを再起動すれば済む問題なのでActiveXのような何でもアリの被害は出ませんが、必要がなければ無効にするべきでしょう。しかし、あまりにも有名すぎるクラッシャーがNN・IE共に未だに通用するのはJavaScript絡みくらいじゃないでしょうか?何とかしてもらいたいものです。(JavaScriptと似た位置付けにあるVBScriptもセキュリティなんて考慮せずに作られてるはずなのですが、あまり問題は起きてないようです。誰も相手にしてないだけか、それともあのタコベンダにしてはまともなものだったのか・・・・・)
●Netscape Navigator を使う上での対処法●
上で挙げたNetscapeNavigatorを使う上での対処法です。IEはすでに私には無理なので諦めるか他のサイトをあたってください。結局は消去法で NN を絶賛してますが・・・・何とも複雑です(笑)
・Java高速化への対処・
Netscapeを使ってると特に鬱陶しいのがJavaの起動時です。何であんなに重いのかは知らないけど軽くする方法はあるようなので書いておきます。どういう理屈で軽くなってるのかは私にも分からないので自己責任で行ってください。(確か、情報源もいい加減なトコでした。笑)
------------------------------------------------------------------------
・Netscape 4.75以降をダウンロード(現在の最新版は日本語が4.75、英語が4.76)
・「\Program Files\Netscape\Communicator\Program\java\bin\jit3240.dll」
を削除、もしくは拡張子の変更。これで起動が高速化します。
(何かのコンパイラらしいのですが、なくても問題ないとのことです)
------------------------------------------------------------------------
これだけでいや〜なJava起動時の重い現象もなくなりますし、現在発覚してる致命的なセキュリティホールもなくなります。
ところで、スマートアップデートの方は大丈夫なのかなぁ?これも気味悪いから無効にしてるんだけど。どうせ使えない機能なので無効にしてるのですが。
・日本語ブックマーク文字化けの対処・
4.75以降で BrownOrifice 問題は解決されてるのですが、なんと4.74以降では「日本語のブックマークが文字化けしてしまう」なんてバグがくっついてます。私のブックマークも潰れました (^^;
この問題は現在の最新版(4.76)でも修正されてませんが、アンオフィシャルな解決法が出ているので、こちら などを参考にしてください。私はNN4.76英語版に山崎淳氏のパッチを当てて使ってますが問題なく動作しています。
というか・・・4.73でJava無効にすれば普通は問題ないでしょ・・・
アプレット貼ったページなんて限られてるし・・・・
●メーラー乗換えのすすめ●
自分でもよくわからない文章を長々と書いてしまいましたが、今回の最大の議題は「OutlookExpressなんて使うのをやめましょう」ということです。IEの危険性についてはActiveX以外にほとんど述べなかったのですが ここ を見れば私が言うことなんて何もないと思います。しかし、改めて見てもその数と質に圧倒されます・・・・・。当然、IEのエンジンでHTMLメールを勝手に展開してくれちゃう OutlookExpress もこれと同じ危険性をはらんでるんですね。
しかしIEがタコなのはさておき、これはHTMLメールを勝手に展開するから悪い と思うんです、私は。少し前までは「メールでウイルスが感染するか!」なんて初心者を見下した風に豪語する「自称ぱそこん専門家」や「こんぴーたーマニア」がかなりいましたが、HTMLメールが世に出た瞬間からすでに「インラインHTMLによるウイルス支援」は研究されていました。探究心と好奇心が強くて、ちょっとイタズラ好きな自称ハッカーたちの手によって・・・・・・(注:こういうのは「バッカー」と呼ぶそうです。笑)
もっとも、当時は「VBS」なんてウイルス作者御用達の強力なプラットフォームがなかったため、「クラッシャーメール」程度の可愛げのあるもの(今となっては・・・ですが)だったんですが、現在では
<script language="VBScript">
で始まるHTMLメールがそのままウイルスになる可能性があるため、「たかがメール」などと侮ってては足元をさらわれます。たとえばこんな感じのファイルに「test.eml」と名前を付けて開けば少しはHTMLメールの危険性もお分かりいただけるでしょう。
<![CDATA[メモ帳に貼り付けて test.eml ってファイル名で保存してダブルクリック
(本当はVBSで書きたかったけど、VBなんて全然知らないし.......)
-----------------------------------------------------
From: <test@test.com>
To: <test@test.com>
Content-Type: text/html
<html>
<script language="JavaScript">
window.open('http://www.yahoo.com/')
</script>
<body></body>
</html>
-----------------------------------------------------]]>
さて、ほとんどの環境でIEが立ち上がったと思います。さすがにアカウント消されたくはないので無限ループさせたりILOVEYOUとかを貼り付けたりするわけにはいかなかったのですが、 「JavaScript」 と呼ばれる一種のプログラムが 「OutlookExpress」 という単なるメーラで走ってしまったことが問題なのは理解してもらえたと思います。しかしどういう時に手紙の中でプログラムが走る必要があるのでしょうか?ゲイツ君の所に届くラブレターは開封した途端に何らのアクションを起こすのでしょうか?爆発したとか。あ、なるほど、ご自分の思い出を世界中の人々にも共有してもらうんだ〜〜〜!なんてお考えなんですね。いや、失礼しました :-p) (へ?このメールをどうやって送りつけるかって?そんなの、私が言えるはずがないじゃない。 "telnet smtp 25"とでもやってあとは勝手にやってみてね。どうなっても私は知らないけど)
そして、これはスクリプト言語の安全性を論じる問題でもないでしょう。たとえどんなに安全な言語だったとしても「文章を伝えるメールにとっては無意味なもの」であり、ここまで来ると気に入らん奴に嫌がらせをするためにこんな機能を付けてるの?とかゲイツ君はシ●ンテックとかトレンド●イクロからカネでも受け取ってるの?としか考えられないんですね。いえ、スクリプトだけじゃなくてHTMLメール自体が危険で不要な機能だといい加減に自覚してもらいたいもんです。その気になればHTMLタグだけでもセキュリティホール空けることなんてできますから。
前置きが長くなりましたが、やはり「OutlookExpressを使うのはやめましょう」 に尽きます。なら何を使えば・・・というのは星の数ほどあるメーラの中からどれを推奨していいのかよく分からないし、高機能なシェアウェアを絶賛して善意で公開されてるフリーウェアを卑下するような記事も書きたくないので、私が今まで触れた中で「いいな〜」と思えるものをコメント程度にしておきます。こんなところで適当にダウンロードして 使いやすいものを使えばいいでしょう。ちなみに、HTMLメールがデフォルトで通用するのはOutlookExpressとOutlook、NetscapeMessangerくらいのものなので、それ以外ならどれを選んでも問題ないと思います(笑)
・電信8号(フリーウェア)
本当にシンプルなメーラ。操作に慣れるまで大変かもしれないけど。
エディタが選べるので使いやすい。
・Becky!(4000円)
IEのエンジンでHTMLメールを展開する機能はあるけど無効にすれば安全。
操作も簡単なので価格を考えなきゃ(笑)Bestだと思う。
余計なお世話ですが、メーラー配布サイトでJavaアプレット貼るのはいただけないな (^^;
・AL-mail(2000円/学生等フリー)
操作がOutlookExpressに似てるので乗り換え候補としては最適と思う。
やはりシェアウェア。
・sesna (1000円/機能限定版はフリーウェア)
OutlookExpressを意識して作られてる・・・のかなぁ?かなり似てる(笑)
しかし、トップにいきなり
!!!HTMLメールの表示機能によるセキュリティホール問題について!!!
ですか。なんだ・・・・私がこんな長い文章書くことなかったじゃん・・・・・ (^^;
あ、そういえば私、バッファオーバーランには全然触れなかったわ。
いっか・・・こんなの詳しく書いてりゃIEのことを「クラッカー支援機能付」とか言えなくなるし。
その他、Macの間では信者の多い Eudoraとか有名どころがありますが、適当に選んで使ってみてください。そして、一番重要なことは、「これらのメーラではHTMLメールはただのゴミ付」に見えたり、ひどい場合は「文字化けonlyのメールと化す」ことです。いかにHTMLメールが迷惑なものか改めて考え直してみましょう。
どうしてもOutlookExpressを使いつづけたい場合は、最低限でも
1.ツール→オプションで、「送信」のタブを開く。
2.「メール送信の形式」をテキスト形式にする。
これだけはやっておいてください。 ウイルスメールの脅威からは逃れられませんが、ひとさまに迷惑をかけることは減るかと思います。(って、最近のウイルスは人様にもウイルスメールを無作為にバラ撒いちゃうのよね〜。やっぱダメじゃん。笑)
用語解説
MACアドレス、またその収集
MACアドレスとは、全世界のネットワーク機器に対する12桁のIDのこと。ipconfig /all(WinNT/2000)とかwinipcfg(Win9x)とかで「XX-XX-XX-XX-XX-XX」と表示されるはず。基本的にはハードウェアに焼き付けられた唯一無二のものなので、ネットワークインターフェイスを特定することが可能。
インターネットでは「IPアドレス」という言葉をよく聞くと思いますが、やはりこれも同一ネットワーク上においては固有の番号です。ネットワークでは多数の端末の中から相手先を特定するためにどうしても固有の番号を振ることが必要なので、それをたまたま記録してても別に悪いとまでは言いません。
しかし、MACアドレスの収集に関しては事情がかなり異なります。その理由は・・・
-----------------------------------------------------------------------------
・通信プロトコルはいくつかの層に分かれている(詳細は割愛)
・通信の際、隣接するプロトコルの情報は必要だけど、それ以下の情報は知ることすらできない。
・MACアドレスは「データリンク層」と呼ばれる下位プロトコル、IPアドレスはその上位の「ネットワーク層」の情報、インターネットで使われる通信はTCP/UDPと呼ばれるさらに上位の「トランスポート層」。
・TCP/UDPで通信するインターネットには、2段階下位にある「データリンク層」の情報は流れない。
-----------------------------------------------------------------------------
つまり、どんなにサーバー側で悪意のある処理をしてもMACアドレスの情報を集めるなんて無理なわけで、ゲイツ君はそこらへんのクラッカー以上の悪さをしてくれてるわけです。
なんか難しそうなことを偉そうに書いてますが、こんな話は私にもさっぱり分かんないので大丈夫(^^; しかしながら、MACアドレスを収集される最大の問題点は簡単で 個人の追跡が可能なデータベースが作成可能 なんですね。IPアドレスも個人の追跡に使用されて問題が起きるケースがありますが、これは技術的に止むを得ない問題です。それに専用線を引かない限りはほとんどのケースでIPアドレスが動的に変更されるため、プロバイダから情報が漏洩しないと個人の追跡は難しいでしょう。しかし、MACアドレスに関してはたとえ接続プロバイダを変えたとしても決して変更されることがありません。たとえば、Windows98のユーザー登録のように個人情報とセットで記録していると、理論上は 誰がどの端末でどこのサイトで何をしたかまで 追跡可能になります。
なんか上の話と矛盾してないか?と指摘したあなたは鋭い。そう、MACアドレスをサーバー側で把握することは無理なので「どこのサイトで何をしたか」は追跡できません。が、MACアドレスを収集するプログラムをブラウザで走らせてしまえばどうでしょう?あの会社のことなので、こんなのもマーケティング手段としても使うことは容易に想像が付きます。
最近ではPentiumIIIのハードウェアシリアルで個別の端末を特定できるということで問題になりましたが、実はMACアドレスも悪用すれば個人を追跡することが可能なわけです。PentiumIIIはもともと個人を特定する目的で固有のIDを振るから叩かれただけでしょうが、MACアドレスの収集も重大な問題を含んでるかと思います。
あとがき
今回はQ&Aに挙げるべきものとはほとんど関係のないことだけで終わってしまいました。
その関係のないことがさらに脱線しまくったので収拾付かなくなりました。
うちのサイトってゲイツ君応援サイトだっけ・・・・・・?
しかもいつもの私じゃないなぁ。汚くない言葉遣いの暴言はネット上で戦い慣れした連中(謎)
とか批判系サイトが好んで使うのですが、私の文章力じゃ無理がありすぎてただの暴言 (^^;
実は最近、かなりの影響を受けたサイトがあったのですが・・・・・ある種の特殊な世界で
生活する方々をロット単位で敵に回しそうなのでリンクは控えます(笑)
そういえばApacheがセキュリティホール発覚で1.3.14にアップグレードされました。例の1.3.12で問題になった文字化けも修正されたらしいです。「らしい」と書いたのは、私の環境ではやはり文字化けするから・・・・(>_<)
|