インターネットを使っていると、誰かにウイルスを送り付けられたり、Webページを開いただけで個人情報を覗かれたり、いろいろな危険性があることはさんざん言われてきましたが、それにしても、いつまでたってもこうした話題が尽きないのはなぜでしょうか。危ないOSやソフトが悪いのか、いや、危険性を大騒ぎするからいけないのだという意見もある。

最近、またまた、マイクロソフトのOutlook(アウトルック)というメールソフトにセキュリティの問題が指摘[cnet]されました。マイクロソフトの製品については、セキュリティの問題が何度も報告されてきたので、今回もまたかぁ、という程度の印象ですが。それでも、一応記事に目を通すと、ActiveXコントロールとVisual Basicコードを使うと、「被害者のコンピューターを『完全に支配』する能力を相手に与えてしまう恐れがある(引用)」のだそうな。何度読んでも、どうやってそんなことができるのか理解できないが(^_^;、考えたら、記事を読んで分かっちゃったら、全世界の人が真似をしちゃうわけで、こういう危ない技術の報道は、なんか理解できないけどすごそうだと書くしかないのですね。マイクロソフトさんとこのソフトは、いろいろネットワークを便利に使うように作ってあるのですが、ローカルなネットに閉じていればよいのに、インターネットまで出ていくと、なんか裸の王様状態になるという印象があります。だから、アンチマイクロソフトの皆さんは、マイクロソフトの製品はそれ自体がウイルスなのだとか、一番ウイルスを防止するのによい方法は、アウトルックを使わないことだとか言ってたりします。でも、ソフトってのは、一度使い始めて手になじんじゃうと、それを止めるのにもエネルギーが必要なのよね。だから、多分、みんなOutlookを使い続けるだろうし、Webを見るのにはインターネットイクスプローラ(IE)を使うのでしょう。それで、マイクロソフトが無くなるまで、セキュリティー問題は続くのかな。じゃ、Netscapeは安全かといえば、多分、こっちもシェアが戻ればウイルス作家の皆さんの標的になるんでしょうが。

でも、ウイルスがOSやアプリケーションソフトのしょーもないところを見つけて、そこを攻撃するのは事実です。Windows系のパソコンを狙ったウイルスは、上のActiveXやらVisual Basicを巧みに使って作られています。最近、情報処理振興事業協会（ＩＰＡ）が危険性を報告している[ipa]、VBS/Stagesウイルスというのも、よくよく読むと、Windowsの仕様が馬鹿だからこんなウイルスが出たんだろうな、というような代物です。どんなものかは、このリンクを読めば詳しく出ていますが、基本的に、SHSという形式のファイルをメールに添付して送り付けるというもの。このファイルをダブルクリックすると、ウイルスが起動して、自分自身の分身をメールで送信します。一般に、添付ファイルで送り付けるウイルスは、それを開かないと起動しないわけで、それをどうやって開かせるかが作者の頭の使いようになっています。一時騒がれたLoveLetter系のウイルスは、おじさんの意味のない期待感を使って開かせたし(^_^;、中には、請求書を添付しましたなどというメールを送り付けるものもある。誰だって、買った記憶の無い請求書を送られてきたら開きますもんね。今回の、VBS/Stagesというウイルスは、テキストに似せた添付ファイルを送り付けるところがミソになっています。ちょっとでもウイルスが気になる人は、まず、マクロがくっついているかも知れないWordやExcel形式のファイルを開けようとはしません。でも、テキスト形式のファイルには、ウイルスはつかないということは知っている。そこで、このウイルスは、いかにもテキストのようなアイコンとファイル名に化けます。それを受信した人は、こいつはテキストだから大丈夫と思って、ついダブルクリックするのです。

でも、これって、そもそも紛らわしい拡張子の表示を許している、Windowsの仕様がおかしいと思うんですが。Windowsでは、拡張子というペリオドの後の三文字を使ってファイルの種類を識別しますが、ファイル名に複数のペリオドがあっても構わないのです。すると、virus.txt.shsというファイル名も許される。プロパティで表示できるDOS名だと、これはばれちゃいますが、Windowsのイクスプローラの表示だと、virus.txtとなっちゃう。さらに、話をややこしくしているのは、フォルダーオプションで「登録されているファイルの拡張子は表示しない」のチェックを外してshsを表示させようとしても、shsの部分は表示できないのです。では、ファイルのプロパティーを表示しない限り、これがshsだかtxtだか区別できないかというと、実は、「登録されているファイルの拡張子は表示しない」設定にしても、例えばvirus.txtと拡張子txtが表示されてしまうというところで識別できないこともない(^_^)。もちろん、他にもshsファイルのアイコンがいかにもテキストファイルっぽいということも後押ししてますけどね。いずれにせよ、このウイルスが生まれた原因は、紛らわしいアイコンもそうですが、拡張子を表示させる設定にしても、表示できない特例を作ったWindowsの仕様もまずいと思います。OSに限らずソフトというのは、あまり特例を作るべきではないと思う。とくに、めったに使わない機能に特例を設けると、使っている人は、それが特例だと覚えられません。すると、そこを狙ったウイルスが発生する可能性もある。

こうした、ウイルスや、それも含めたOSやアプリケーションソフトのセキュリティー問題は、実は、セキュリティホール情報の公開がさらに大きくしているという報道[zdnet]もあります。この、セキュリティーホールは黙っていれば悪用されないという記事は、確かにで事実かも知れません。セキュリティーホールを見つけるハッカーは、見つけると大々的に報告して自分の名声をあげるという傾向があります。確かに、そういう活動が、ソフトウエアの完成度を上げるのですが、一方で、そういう情報を使って悪用する人もいる。ハッカーはセキュリティーホールを見つけると、その穴を操作するツールを作るのですが、それを悪用してサイトに進入するクラッカーが多いのです。ツールそのものは、自分のサイトの安全性をチェックするのに便利ですがね。悪意のあるクラッカーにとっても、便利なツールということです。同様のことはウイルスでも言えると思います。例えば、ウイルス駆除ソフトのメーカーも、逆にウイルスをまん延させる原因になっているとも言えませんか。新しいものを発見すると、大声で世界中に報道して、自分のソフトが唯一対応していると宣伝する。でも、その情報を使って、もともとのウイルスをさらに流行しやすく改造した、亜種ウイルスの被害が、最近のLoveLetterウイルスの例でも目立ったいます。

セキュリティに関する話題は、ネットワークと計算機があるかぎり尽きないように思います。zdnetの記事のように、あからさまに危険性を報道するよりも、黙って、OSの修正ソフト(パッチ)やら、ウイルス駆除ソフトの定義ファイルを配れば、それで問題ないようにも思いますね。でもなぁ、やっぱ、危ないものは危ないと報道しないと、ソフトメーカーの方も積極的に直そうとしないのではないかな。一方で、ずーっと危険性を指摘されながら、相変わらず危険なOutLookみたいなソフトもありますけどね。