現在地 HOME > 掲示板 > IT6 > 727.html ★阿修羅♪ |
|
Tweet |
初心者のためのMS講座2004【がんばれ!!ゲイツ君】
http://www.asahi-net.or.jp/~FV6N-TNSK/gates/column229.html
IEに、悪意のあるページを読み込むと任意のコマンドが実行されるというまぁ相変わらずのセキュリティホールが先週発表されましたが、今回の脆弱性は実際に攻撃を与えることが出来るコードも一緒に公開されていることもあって、一気に危険度が高まってしまっていますね。また、IEコンポーネントを使っているメールソフトも当然被害を受けますので、MS製品を使っていないからと言って被害を受けないわけでもありません。
しかし、 IEのバッファオーバーフローなんて基本的な脆弱性一ついつまで経っても直せないってのは一体なんでなのでしょうね。ま、先週もお伝えしましたようにゲイツ君は自分たちの製品にバグなど無いとのことなので、そうなると今回のバグも仕様だということになると思うのですが、つまりMS製品は外から勝手に任意のコードを実行できるという仕様であると言うわけですかね(^^;。
現時点では個別のパッチも出ていないのでWindowXPのSP2を当てるしか対処がしようが無いとのことですが、こんなMSも物騒だと認めているようなサービスパックを当てるわけにもいきませんしそもそもWindows2000を使っている人はどうしようも無いわけで、普通は他のブラウザに乗り換えるしかないでしょうね。
しかし、コードが公開されているわけだから、そういうHTMLファイルを添付で送るか、無料のウェブサイトに立ち上げてそのURLにリンクさせたメールを送るなんてことをするだけで電子版剃刀メールが簡単に出来るわけで、いやはやゲイツ君のおかげでなんとも便利な世の中になったものだと痛感いたします(笑)。MSに言わせるとこれも仕様なのだそうですから、仕様の範囲でWindowsを使うのであれば問題無いのでしょうね。
さて、一週間の御無沙汰でしたがみなさまいかがお過ごしでしたでしょうか。アメリカの大統領選もブッシュが勝利したとの報道がされていますが、それを受けてイラク全土に非常事態宣言が発令されておりますね。米軍によるファルージャの総攻撃も開始したようで、また一般市民が大勢巻き添えになることが予想されます。
ところで、先週もちょっとお伝えした通り、今回の大統領選ではかなり電子投票のシステムが導入され実際に使用されているのですが、かなり奇妙な現象が起きているようです。こちらの記事をご覧頂ければお分かりと思うのですが、どうもブッシュの票がかなり不正に上積みされているのですよね。例えばある地域では投票した人が638人しかいなかったのにブッシュが4258票も獲得したように算出されてたとのことです(一方ケリーは260票だそうで(笑))。
確かに電子投票って普通の投票と違って細工しようとすればプログラムをいじるだけで簡単に出来るので票を操作するには持ってこいのシステムかと思うのですが、しかし総投票者よりブッシュの票の方が圧倒的に多くなるってのは細工にしてもお粗末過ぎますね(^^;。ま、MSに甘いブッシュを当選させるのがこのシステムの仕様ってことかもしれませんが(笑)。
さて、先週MSがWindowsUpdateのタイミングでPCから情報を吸い上げているという情報をお伝えしましたが、これをMSがやることが何が問題なのかがよくわからないというお問い合わせのメールを一通頂戴しました。
かなり以前に、初心者のためのMS講座というコラムを掲載させていただいたことがあるのでですが、あれから時間も立っておりますし、確かにここらへんのお話をしてもなかなかピンと来ない方もいらっしゃるかと思いますので、今日はちょっと「先週の記事の初心者向けの解説」というのをお送りしようと思います。まぁ個別にメールでお返事させていただいても良いのですが、良い機会ですしね。
WindowsUpdateのタイミングで、MSがPCから情報として吸い上げている内容は、WindowsUpdateのポリシーを見る限りでは、下記になります。
1、OSのバージョン番号
2、IEのバージョン番号
3、他のソフトウェアのバージョン番号(WindowsUpdateで関係があるもの)
4、ハードウェアデバイスのプラグアンドプレイのID
5、地域と言語設定。
(先週、プロバイダ名や、インターネットのアクセス履歴が対象、と書いたのですが、あの内容はPCローカルからではなくMSのウェブサイト側で取得しているということでしたら何も問題無いですね。どうも大変失礼しました(^^;。まぁPCから吸い上げているのでしたらやはり大問題ですが)
これらの情報を取得するとした場合は、まぁ普通に考えるとWindowsのレジストリ(PC固有の設定情報やソフトのインストール情報が格納されているデータベースのようなもの)から取得していると見るのが常識ですよね。で、これらを取得してMSのサイトに送信している、ということです。
でも、別にレジストリからこれ以外の情報を吸い上げたとしても、MSの方はプログラムをたいして変更する必要もありませんし、ユーザーの方も何も気が付きません。例えば、IEのお気に入りなども、その表示順にこのレジストリを使用していますが(これもよくわからない仕様ですが)、これを吸い上げるとユーザーが何が興味があるかが解ってしまいますね。ダイレクトメールを効率的に送信することもできるので、こういう情報はスパム業者はかなり欲しい情報のはずです。
また、WindiwsUpdateで関係のあるソフトウエアのバージョン番号を取得する、とあるのですが、これも別に関係ないソフトの情報を取得することも簡単にできますね。こうした情報も個人の嗜好が解るのでスパム屋さんにとっては大変欲しい情報でしょう。
今はレジストリの話をしましたが、レジストリ情報がアップできるのでしたらOEのアドレス帳の情報を上げるなんてことくらい何も難しいことはありません。今はそこまでやっていないかもしれませんが、WindowsUpdate時にPCローカルの情報をアップロードできる仕組みがある以上、やろうと思えばなんでもできるはずです。MSは「上記情報以外は吸い上げていない」などとと言っていますが、オフィスの抱き合わせ商法なんてのもさんざんやっていないと言って実はやっていましたし(^^;、この手の詭弁はもうこの会社はお手の物ですからそうとうお人好しの人で無い限りは信用しろと言う方が無理でしょう。
そもそも、こういう情報を別にローカルのPCから吸い上げなくても、アップデータがPCの中のソフトのバージョンを認識して、それとサーバー側のバージョンを比較し、新しいバージョンのパッチなどをダウンロードするようにすればWindowsUpdateなんて出来るはずなのですが、なんでこういう実装をしないでわざわざPCのローカルの情報をサーバーにアップロードするようにしたのか全く解らないのですよね。しかもMSがこんなことをやっていると解ったら絶対に疑われるというのに(^^;。
これが、WindowsUpdateという目的のためではなく、個人情報を収集することが目的でやっているのだ、と仮に考えるとつじつまが合うわけです(逆に他の理由って思いつかないのですけれどね。まぁ何か他の理由があるようでしたらまたご連絡下さい)。
ま、昔のようにパソコンと言ってもみんなソフトを買ってきてオフラインでプログラムを動かしているのが普通だった世界ではこうしたやっかいなことは何も考えなくても良かったのですが、今はもうオンラインの接続が前提の世の中。全世界のPCの90%以上はWindowsでそのほとんどがネットで接続されているわけですから、ゲイツ君はやろうと思えばなんでもできてしまうわけです。今こんなことを全世界的にできるのは、国連でも米国政府でもCIAでもトヨタでもなく、Microsoft社だけですね。
じゃぁ、例えばこの手のことって、他のメーカーはやっているのでしょうか。
例えば、AppleのMacOSXもソフトウェアアップデートをオンラインで実行することができます。この時に何か個人情報を吸い上げているのか?
MacOSXはWindowsと違って、機械的なMUIDなるものでライセンスガードをしているわけではありませんからPCローカルの情報を収集する必要は無いし、情報を吸い上げても紐付けができないのでメリットはかなり減りますが、まぁそこはわかりません。こっそりやっているかもしれないですし、やっていないかもしれません。
そしたら、LinuxなどのオープンソースのOSだったら、どうなんでしょうか。
これだと、もしそんなことをやっていたらたら簡単にバレてしまいますよね。
こういう意味でも、オープンソースのOSが広まる意義は十分あるはずです。実体の無い利便性だけを求めて、MSという危なっかしい板前の前のまな板の上に裸で寝ているような状態が今後も続くような状態が、決して健全なわけがありません。
あとは、使う人一人一人の判断になるでしょうね。もちろん、Windowsではネットに一切繋がない、というのも一つの手段ではありますが、まぁやはり縁を切るというのが最善でしょう。それでシェアがApple並になったらあまり問題は無くなると思いますが(笑)。
といった所で、今日の所はこれで終わりです。この手の話は年末にでもしようかと思っていましたが、まぁついででしたので(^^;。かなり寒くなって参りましたので、体調などにお気を付けて頂けますと幸いです(私も今朝風邪をひいてしまいましたし(笑))。
ところで、最近またなにかと話題の孫先生ですが(なんか本当にホークス買収だそうですね)、以前お伝えしたようにYahoo!BBユーザーに一斉にスパムメールをお送りあそばされた件について、最近総務省から行政指導を受けたようです。内容は、「収集した個人情報を不正に使用している」というわけで。
まぁ確かに、ユーザーはあくまでプロバイダを使う一環として連絡先をソフトバンクBBに送ったわけで、スパムメールを受けるために送ったんじゃないですからね。個人情報を不正に使用しているお手本のような事例ですが、この会社はスパム業者に名簿を売るとかでなく直接自分たちで使う所がまた他と一線を画している所ですかね(^^;。
で、孫先生は
総務省からアドバイスをいただいた。行政指導だったとは考えていない
などとおっしゃっているようですが、総務省がはっきり行政手続法による行政指導と言っているのですけれど、孫先生なにか白昼夢の中にでもいらっしゃるのでしょうか(^^;。そろそろこっちの世界に戻っ来て下さらないとみんな寂しがりますよ(笑)。
あと、「他にも似たような業者がいる」ともおっしゃっておられるようですが、あんたのことを言っているわけで誰も他の業者の話をしているわけでは無いのですけれど・・。なんかまるっきり子供みたいな言い訳ですね。まぁ、このレベルだと孫かも知れませんが(^^;。
それでは、また来週まで、さようなら。