それでもIEを使いますか?

IEは危険すぎるので使わない方が良いと言っています。過去の実績から言っても明らかです。2004年には1年の内、98%の期間、既知のセキュリティホールに対して脆弱だったとされています。

MSIE was 98% unsafe. There were only 7 days in 2004 without an unpatched publicly disclosed security hole.

Firefox was 15% unsafe. There were 56 days with an unpatched publicly disclosed security hole. 30 of those days were a Mac hole that only affected Mac users. Windows Firefox was 7% unsafe.

さすがにセキュリティホールのレポートが少なくなってきたかな、と昨年末頃には思っていたのですが、最近はすごい事になっています。危険なIEのセキュリティホールが次々に発見されています。

セキュリティ系MLでも書かれていましたが明日にもセキュリティパッチがリリースされる模様です。

Firefoxでは参照できないサイトもIE Viewをインストールしていればさほど困りません。

注意しなければいけないのはFirefoxを使っていても一年の内15%ほど期間な期間があった事です。エンドユーザ教育として「Winnyをインストールしない・使わない」と教えるのも良いですが「ブラウザは危険です」と教える必用があるかと…

# 多くのWebサイトがかなり危険な状態である事も教える必用がありますね…

遅いWindowsの共有フォルダ

前にもクライアント側でWebClientが有効な場合、Windowsの共有フォルダへのアクセスが遅くなる、と書きました。

なんだか最近Windows 2003 Serverの共有が耐え難い程遅くなってきていたので、久しぶりに様子を見てみると自動のWindowsアップデートに何故か失敗していました。再起動が必用かな、と思い再起動後に手動でWindowsアップデート(正確にはMicrosoft Updateにバージョンアップした後Microsoftアップデート)を実行したところ全てのパッチが正常に適用されました。

ついでということでWindows 2003 Server SP1も導入する事にしました。正常にインストールできたようですが、再起動すると起動中の画面でフリーズしてしまいました。SFUを入れている以外は素のWindows Serverでプリント・ファイルサーバとしてしか使っていないのに… と思いつつ強制的に再起動すると今度は普通に立ち上がって来ました。

しかし、ログインしてみるとspxss.exeがクラッシュしたとメッセージが… 何度再起動してもこのサービスはクラッシュしますが、POSIXサブシステムのプロセスらしいのでとりあえず無視。

クライアントから共有ファイルへアクセスしてみると、何故か共有フォルダへのアクセス速度が「普通」に戻っていました。SP1を当てていなかったことが共有フォルダへのアクセスが遅い原因(?)だったようです。# 少なくとも私の環境では。

Microsoft、PC向けセキュリティサービスを6月正式提供~年額49.95ドル

サービス料金が決まったようですね。50ドル(6000円くらい?)で3台までなら今のウィルス対策製品より随分安い計算になります。(個人ユーザの場合)

米Microsoftは7日(米国時間)、米国内限定で公開ベータテストを実施しているPC向けセキュリティサービス「Windows OneCare Live」を6月に正式開始することを明らかにした。料金はPC3台まで利用可能で年額49.95ドル。なお、4月1日から4月30日までに予約申込みをしたベータテスト参加者は、最初の1年間は19.95ドルで利用できる。

詳しくはリンクを先を。

http://www.microsoft.com/presspass/press/2006/feb06/02-07OneCarePricingPR.mspx

Windowsソースコード開示へ

米マイクロソフト社は25日(米国時間)、欧州連合(EU)の反トラスト是正命令に応じて、ウィンドウズ・オペレーティング・システム(OS)のソースコードを一部ライセンス開示すると発表した。

OSもですがInternet Explorerのソースコードがあると更に多くの攻撃方法が判明する可能性は非常に高いと思われます。セキュリティ研究系の会社もライセンスできるくらいの料金でライセンスされるのか興味深いですね。

SpamメールでのWMF攻撃

WMFの脆弱性を利用した攻撃は新しく再利用しやすい攻撃方法が公開されたり大問題ですね。

http://sunbeltblog.blogspot.com/2005/12/new-wmf-exploit-confirmed-in-spam.html

このリンク先の例はメールに添付されたJPEGファイルからWalwareをインストールする仕組みになっているので、システム管理者は年末年始休暇明けからいきなりMalware対策に大忙しかも…

いろいろなところからリンクされていますが、タイトルのリンク先にもアンオフィシャルなパッチのURLが記載されています。SANSのブログでも「普通はアンオフィシャルなパッチなんて適用しないけど、これは適用した方がよい」という趣旨のエントリもありました。さて、どうする。

IE7の新機能

Intranet ZoneでもActiveXは自動インストールできなくなるようです。

http://blogs.msdn.com/ie/archive/2005/12/07/501075.aspx

As a safety precaution in IE7, we have set the default for the Trusted Sites zone to Medium, the same level as the Internet zone in IE6.

管理者権限が無くてもプラグインがインストールできるのは良いですね。

http://blogs.msdn.com/ie/archive/2005/09/20/471975.aspx

1. Start IE with elevated permissions: click Start, point to All Programs, right-click IE, and then select Run Elevated.
2. Perform the ActiveX installation.
3. Exit the current instance of IE.
4. Start a new instance of IE normally (without Administrator permissions).

Webサイトを運用する側としてはSSLv2が使われなくなる点に注意が必要かも知れません。

Microsoft will also discontinue the use of the SSLv2 (Secure Socket Layer) protocol in IE7 and use the stronger TLSv1 (Transport Layer Security) protocol—part of an overall plan to improve the security and user experience for HTTPS connections.

しかし互換性の為にいろいろやってますね。管理者権限を持たないユーザでWindowsを使っていると分かりますが、管理者権限を持っている事が前提に作られているアプリケーションはかなりあります。Windowsの歴史と仕様などからある程度仕方ない部分もあるのですが、普通のユーザでWindowsを使うと本当に使いづらいです。OSXは気にならないように作られているのですけどね。


20周年記念WinXPアップグレードパッケージ
を買うとVistaのプレビュー版がもれなくもらえるそうです。そのためだけに3万弱は高過ぎですが、WinME、Win2000等をアップグレードしたい方にはちょうど良いかも?

マルチブート環境の構築ページを更新

WikiにGRUBのChainloader(別のブートプログラム呼ぶ機能)を利用したマルチブート環境構築のページがあります。デバイスIDが間違っていた部分がありました。比較的参照数も多いようなのでここでも修正した事を書きます。もし参考にされた方がいらしたら修正したのでご覧ください。

私のデスクトップPCには3、4つのLinuxディストリビューションがインストールされているのが普通の状態なのでchainloaderを使ったマルチブート環境にしています。前にGoogleで検索してもこの手のマルチブート環境の構築手順が書いてなかったのでこのページを作りました。WindowsのNTLDRやGRUBの/bootパーティション共有を使ったマルチ・デュアルブートよりはるかに使いやすいです。興味のある方は是非どうぞ。

アンチウィルスソフトには優先度制御が必須…

最近Windowsマシンとして使っているPCのHDDが壊れてHDD交換&再インストールしたのですがアンチウィルスソフト(Noton AntiVirus:以下NAV)プロセスの優先度を下げる為にインストールしていたAutoGearと言うプログラムはまだインストールしていませんでした。AutoGearはアンチウィルスソフトには必須かも知れませんね。

メールクライアントにはThunderbirdを利用しています。NAVがメールをスキャンしてくれるのは良いのですが一生懸命スキャンしすぎて他のプロセスが遅くなりすぎです。IMEさえまともに反応しなくなります。AutoGearをインストールしてccApp.exeの優先度を「低」に設定して一件落着です。しかし元々もう少しお手柔らかにスキャンするように設定しておいた方が良いような気がします。PentiumM 1.3GhzなのでそれほどCPUが遅い訳でもでも無いですが、スキャン時の遅さは耐え難い物があります。

TortoiseSVN – 気が利いていますね

Windowsでsubversionを利用されている方のほとんどはTortoiseSVNを利用されていると思います。私は今日初めて知ったのですがMS Word文書の差分をみると

word = WScript.CreateObject("Word.Application");
destination = word.Documents.Open(sNewDoc);
destination.Compare(sBaseDoc);

が実行されてあたかもMS Wordの履歴をとっていたかのように表示されました。
これでわざわざ差分を記録してなくても済みますね。WindowsでSubversionを使っていた方には常識(?)とは思いますが気が利いていますね。仕組みは単純な物ですが驚きました。

Linuxの利用者からライセンス料を徴収しようとしていた会社がどこを対象として訴えを起こすつもりだったか履歴機能からバレてしまった件は有名です。履歴機能を使わなくても良くなるのでセキュリティ面でも役に立ちますね。

SATAのみでWindows

PATAにインストールされたWindowsXPをSATAに引越ししてみたのですが、予想通り動きませんでした。レガシーATAエミュレーションがないM/Bなのでドライバが無いと見えないのは当然です。インストールCDから起動しM/Bに付属しているCDのドライバを読み込ませて修復セットアップすればSATAのみでも起動できるように設定できるのかも知れませんがめんどう… あっさり替わりに容量の大きいPATAのHDDを付けることにしました。これでPATAのみ2台構成になってgrubのchainloaderが思った通りに動作するようになりました。

Windows用リソースモニタ

Linuxの場合、Xfce4、Gnome、KDE、どれを使っていてもそれなりに使い勝手が良いCPU利用率などのリソースモニタが用意されているので困りません。Windowsの場合、動作がやけに遅くなる、という事が頻繁にある割にいつも起動しておくにはタスクマネージャは使いづらいです。

1年くらい前にも良いものが無いか探して見たのですが気に入る物が無かったので特にツールはインストールしていませんでした。先日探して見るとやっと気に入ったプログラムを見付けました。Akabei Monitorと言うモニタですが結構良いです。Skinを作ったりもできるようですがソフトに付属しているAkabei Slimを使い、透明度を上げると邪魔にならずに何時でも動作状況がわかります。

Slimスキン

Linuxではどのデスクトップ(よく使うのはKDE、Xfce4、Gnomeの順)でも、必ずリソースモニタを表示しているのでこのAkabei Monitorがあると気分が良いです。リソースモニタの為にリソースを使う、という矛盾もありますが気持ちの問題ですから(笑 

Windowsのリソースモニタをお探しの方にはお勧めです。
表示可能な情報は次の様な情報のらしいです。

すべての情報
Dock風の場合

詳しくは次のURLに記載されています。
http://park8.wakwak.com/~akabei/software.html

GW-DS54GL

PCIスロットに挿す無線LANカードです。製品紹介のページにはXP SP2に対応している、と書いてありますが、この無線LANカードに付属するツールはWindows XP SP2には対応していません。

私のシステム(915G)の場合、ツールのインストール直後からログインすると突然リブートするようになりました。ブルースクリーンにさえならずいきなりリブートしました。セーフモードで起動しツールを削除するとリブートしなくなり、Windowsの標準的な設定手順で無線LANも使えるようになりました。ツールくらいなら、と思うかもしれませんがこのカードのドライバをインストールするにはツールをインストールしなければならない仕組みになっています…

http://www.planex.co.jp/support/download/bwave/gw-ds54gl.shtml

のページ下にはツールはXP SP2に対応していない、と書いてありますが製品ページにはXP SP2対応と記述されています。これで良いのかな… 危うくカードの初期不良だと思って販売店に交換してもらいに行くところでした。

# 重要な情報はよく見える所に貼りましょう、というFirefox 1.0.7 リリースと
# 同様のネタと言う事で記載しました。

LaVie RXの無線LAN設定

NECのLaVie RXシリーズの内蔵無線LANの設定でハマリました。

Windows XP ProfessionalがプレインストールされたBTOデモルですが何故か無線LANアクセスポイントに全く接続できない状態でした。デバイスマネージャには何も問題無く無線LANデバイスは表示され、ネットワークのプロパティにも表示されます。プロパティも表示できるのでESSIDやWEPキーも登録できます。しかし、全くアクセスポイントに接続できませんでした。

あまり時間を使うのも無駄。有線LANは普通に利用できるので有線LANを使っていました。しかし、無線LANを内蔵しているのに使えないのも困るので再度いろいろ試して見ましたが、やはりダメでした。

ふとタスクバーに表示されているアイコンに×マークが付いているものがある事に気が付きマウスポインタを乗せると「ワイアレススイッチが入っていない」旨のメッセージは表示されています。これかなと思いダブルクリックすると無線LANの状態を表示している「ワイアレスネットワーククライアント」が表示されました。無線LANを使う、使わない、ラジオボタンがあり無線LANを使用するが選択されています。動作チェック機能があったので使ってみると無線機能でFailureとエラーが表示されていました。

きっと何処かにスイッチがあるに違いないと思って本体をみてみたのですがありません。ざっとマニュアルを見てみましたがとても役に立ちそうにおもえる記述はありませんでした。

仕方が無いのでNECの121コンタクトセンターに電話すると、どのような状況であるか、動作確認の方法(他の無線LANを内蔵したPCからの接続確認、11b/11gの両方で試したこと、アクセスポイントのファームウェアも最新版に更新してみたことなど)を説明しているにも関わらず「では私と一緒に無線LANの設定をしてみましょう」と言い出されました。さすがにこれは無意味かつ時間の無駄なので丁重に断り、他に考えられる原因を聞くと、デバイスを削除してみることを薦められました。デバイスマネージャでデバイスを削除しても状況は変わりません。

「BTOモデルなので無線LANモジュール(?)の接続不良・ミスとかでは?」「ワイアレスクライアントマネージャで無線LANを使うになっていれば使えるはずですよね?」「ちなみに同じPCが2台ありますが状況は同じですよ。壊れているなら修理に出すのでなにか他に動作を確認する方法は?」と色々聞き保留で随分待たされた後、「NXパッド下の点が3つ付いているようなランプが付いていますか?」と聞かれました。ランプは確認できましたが点灯していませんでした。

最終的には「Fnキー+F2」で無線LAN機能をON/OFFできる事が分かりました。しかし、ここまで来るまでに1時間ほどの時間が経過していました…

よく分かっていないユーザが危ない野良フリーアクセスポイントを使用してしまう危険性を考えれば工場出荷時に無線LANが無効であっても良いと思います。しかし、サポートセンターに電話かけてこれほどまでに時間がかかる問題では無いような気がします。FAQになっているのではないかと思うのですが…

マニュアルを全部最初から読んでいれば何処かに記述してあるのかも知れませんが、PCを買って最初からマニュアルを読んだ事がありません。PCの設定に慣れている人はハマリ易いのではないかと思います。マニュアルを全く読まなかった訳ではないのですけどね…

ちなみにNECのコンタクトセンターの方の感じはよかったです。解決までの時間はかかりましたがコールセンターとしての評価は高いです。

Windows Vista

Windows Vista情報はほとんど追っかけていないのでこんな事もこの記事で知りました。やっと普通(?)に普通の権限を持つユーザとしてログインし、必要な場合にのみ権限を持つユーザで実行するようになるようです。

今でもrunas /user:administrator some_command.exe で別ユーザでも実行できるのですがUNCが使えないなど、使いづらいですからね… ノートPCのWindowsは再来年早々にアップデートすることになりそうですね。
# VAIOの特殊キードライバ等は使えるのかな?! これが無いと
# ノートPCとしては致命的ですからね。直ぐにアップグレード
# したくても出来ないかも知れませんね。

IIS 7.0

「IISおよびASP.NETの両方で、Windows認証のような設定を2度行う必要がなくなるだろう」(Isakson)

「開発者なら、IIS7を必ず気に入るはずだ。IIS7では、開発者が必要とする設定を、管理者に依頼しなくても自分で調整できるようになるのだから」(Isakson)

という事らしいです。
なんとなくセキュリティーホールを作る危険性も増えるような気配がします。
サーバとしての出荷数でWindowsがUNIX系サーバを超えた、というニュースもありましたがMicrosoftにとっては試金石になるかもしれませんね。

カカクコム、23日めどに再開へ

価格.comの件は多くのブログで書かれていると思いますが、この件で期待しているのは「何故クラックされたのか」が明らかになる事です。

事件後のコメントに「最高レベルのセキュリティ対策をしていたつもりだった」との発言もあったと聞いています。最高レベルと言うからには、IDSやIPSも当然含まれていたと思います。ウィルスを捲くために特定のサイトへアクセスするようになっていたらしいですが、何故IDSやIPSで防げなかったのか疑問です。IDS/IPSを導入していれば、攻撃元のIPアドレスが複数であったとしても、少なくともある程度は、防御可能であったように思えます。

情報の真偽は判断できませんが「社員がWebページを巡回して改ざんを確認し修正していた」という記事もあったので、本当に最高レベルのセキュリティ対策を行っていたのか、も疑問符が付きます。

東証1部上場企業
として恥ずかしくない情報開示を期待したいです。

追記:
こんな記事もあるんですよね…

どのような攻撃だったのか判りませんが、中国からの攻撃の可能性も高い、と聞いています。中国がボットネット大国であることは有名です。世界中では何十万台のPCがボットネットに組み込まれている、と言われています。「最高レベルのセキュリティー対策」であればこのような現状を認識した上での対策が取られていたはず、と思います…

Firefox 1.0.4とMozilla 1.7.8のWindowsバイナリ

致命的なセキュリティホールフィックスを含むFirefox 1.0.4日本語版リリースの影響でMozilla Japanは大量のダウンロードリクエストの影響(?)でアクセス出来ないしづらいようですね。
とりあえず私のサイトにもWindows版バイナリを置いておきます。

Firefox 1.0.4(日本語版)
http://www.ohgaki.net/download/Firefox%20Setup%201.0.4.exe

Mozilla 1.7.8(英語版)
http://www.ohgaki.net/download/mozilla-win32-1.7.8-installer.exe

90cf68afbe5f22ae077a8ba4d6528733 Firefox Setup 1.0.4.exe
00f8a2cdd541944611ff08aa796a5685 mozilla-win32-1.7.8-installer.exe

# どこかに正式なMD5サムが掲載されていればどなたでも安心してダウンロード
# できるんですが…

# そうそう、そう言えばeEyeが未パッチのIEセキュリティホールに関して
# 多少詳しい情報を公開しています。対象となる問題はこれだったと
# 思います。
# http://www.eeye.com/html/research/upcoming/20050505.html
## うろ覚えです。間違っていたらご指摘ください。
## 参考: http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050509/160520/

# しかしこのブログを読まれている方のブラウザの問題に対する
# 対応はすばらしいですね。(統計情報から推測しています)
# 平均的ユーザがこのレベルで対応できれば良いのですけど。

ソフトは買う時代から使用する時代へ

ソフトウェアは買う時代から使用する時代に移行している事は間違いないと思います。ASPサービスなどは典型です。

通常、Windowsのライセンスは購入しますがマクロソフトがAntiVirusアプリに参入するにあたりサブスクリプションを使用する可能性はありますね。これはマイクロソフトだけに限った事ではなく、RedHatやNOVELL(SuSE)等もサブスクリプションプログラムで利益を得る仕組みになっています。

Windowsユーザもアンチウィルスソフトでサブスクリプションとはどのようなサービスか体験しているので、導入も行い易い状況になってきている、と言えると思います。

サブスクリプションでソフトウェアを利用するライセンス体系に移行するとすれば、海賊版Windowsを海賊版と知らずに購入したユーザに対して正規版を無償配布するプログラム(現在、マイクロソフトが行っているはず)の正当性も見えてきます。

IE7 Beta

時期は「今年の夏」ということ以外は明示していませんが、近日中(?)についに出るようですね。まだ、中身を全然知らないのですがW3C DOMに完全対応とかだと良いのですが。
# ありえないか..

内部エラー:2755

最近、ノートPCにインストールしているWindows XP Professionalにアプリをインストールしようとすると内部エラー2755と表示されインストールできない。このノートPCはXP Homeがプレインストールされていた代物で、しかも非常に重要なデバイスドライバがメーカサイト(Sony)では公開されていません。なおさら再インストールは避けたい状況なので、このエラーについて少し調べて見ました。

さすがにMicrosoftのサイトを検索すると色々出てきます。どうも2755番のエラーはアクセス権限が原因の様です。

ここまでで思い当たる節がありました。ノートPCを紛失した場合の安全性強化の為にプロファイルディレクトリのApplication Data等も暗号化した事が関連しているかも知れません。現在、暗号化を解除中ですが非常に時間がかかるので結果はまた書くことにします。

追記:
思いのほか速く暗号の解除ができました。推測は正解でした。プロファイルディレクトリのMy Docuementsのみ暗号化し、他のファイル(Application Dataなどの隠しファイルも含む)の暗号化を解除するとアプリケーションがインストール出来るようになりました。どのディレクトリ/ファイルのアクセス権限に問題があったのかは判りませんが、プロファイルディレクトリ中のファイルには紛失した場合に参照されたくないデータが多数ありますが暗号化すると問題があるようですね。

試していませんが別の管理者権限を持つユーザを設定しインストールするとインストール出来たのかもしれません。どのファイルへアクセス出来なかったか判ればもっと早く問題を解決できるのですが…

追記:検索エンジンからのアクセスが多いので補足します。私の場合、プロファイルディレクトリのテンポラリディレクトリを暗号化したため、アプリケーションインストール時に切り替わったユーザIDから暗号化されたファイルにアクセスできなかったため、2755エラーが発生しました。
これ以外にも、ディレクトリが無くなっている、アクセス権限が無いなど、2755エラーと言っても原因はいろいろあります。アプリケーションがエラーに対して適切に処理していればどのファイルにアクセスできなかった表示される場合もあります。この場合はそのファイルへアクセスできるか確認すると良いでしょう。表示されなかったら勘を頼るしか無いです。