インターネット被害妄想狂スケプトイド #17 |
今日は懐疑的な目でコンピュータ・セキュリティを見てみることにする。常に警告され続けている脅威はどのくらい現実的なのか? それらのいわゆる脅威は実際にどのくらい危険なのか? もし危険ならどのような危険なのか? 実際にどんな対策を取る必要があるのか?
ウェブ・ブラウジングが始まった初期のころに、ウェブサイトをブラウズしたユーザのコンピュータにブラウジングのセッション情報を保存するために革新的なプログラマがクッキーというものを作った。例えばボブが Amazon をブラウズしている時に彼の名前がボブ・スミスだとサーバーに伝えると、Amazon が名札に“ボブ・スミス”と書いてボブのシャツに貼付ける。これがクッキーである。ボブがショッピングカートに商品を足す度に Amazon がボブに対していちいち身分を証明するように聞くことなく、ボブはショッピングカートに商品を足すこと可能にする。サーバーは“あぁ、あなたはボブ・スミスですね。また会えて何よりです”と言って、ボブが欲しい新しい DVD をどのショッピングカートに入れればいいかわかるのである。クッキーなしでは、ボブは商品をショッピングカートに足す度にいちいちログインしなくてはならない。これはボブにとって不便なだけではなく、サーバーに対しても大きな負荷になる。サーバーの処理能力は無限ではないのだ。サーバーが効率良く走れれば、より速くボブに対応できるのである。クッキーとしてボブの名札が彼のシャツに目立つように付けてあれば、ボブを見間違えて間違った商品を送ってしまうような可能性も少ないのである。クッキーは誰にとっても良いものなのである。
Skeptoid.com もクッキーを使う。あなたがあるエピソードに対してコメントを書くと、あなたが入力した名前と出身地がクッキーとしてあなたのコンピュータに保存される。こうすることであなたが次にコメントを書こうとする時に、Skeptoid.com はあなたの名前と出身地を自動的に表示することができる。毎回入力する手間を省くし、一貫した名前と出身地が使われることになる。ちょっとした便利な機能なのである。ちょっとしたことだけど、良いことなのである。
不幸なことに、初期のマイクロソフト・インターネット・エクスプローラーのころに、インターネット・エクスプローラーがライバルのネットスケープより優れているように見えると思ってレッドモンドのある天才が恐ろしい保安上の危険性をユーザに警告するダイアログを付けることにした。次第にインターネット・エクスプローラーが多くのユーザに使われるブラウザになって、クッキーは保安上の危険として恐れるべきであらゆる手段を使って阻止するものだと信じ込まされてすべてのウェブ・サーファーが育ってきた。考えとしては、非良心的な人がボブ・スミスのオフィスに忍び込んで彼のコンピュータのクッキーフォルダを見て、Amazon をアクセスするのに彼が“ボブ・スミス”という名前を使ったということを知ってしまうということだ。
クッキーは単純なテキストファイルである。プログラムや暗号化された情報は含まない。良い点は、ウイルスやトロイの木馬のようなプログラムを含むことができないことである。悪い点は、人間が読むことができるテキストを含んでいてあなたのコンピュータをアクセスできる人なら誰にでも読むことができるということである。あなたのコンピュータに保存されているほとんどすべてのプログラムやデータファイルは人間が読むことができるテキストを使っているので、これのどこがどんでもない保安上の危険なのか? プログラマーとソフトウェア・エンジニアはそれが危険でないことを知っているがマーケティングの人々はその真実に売れ行きの邪魔をされたくないのである。もし彼らがあなたのコンピュータを普通に使うことに危険性があって彼らのソフトウェアを買うことによってそれを緩和できるとあなたを説得できたら、売れ行きが上がることを彼らは知っているのだ。
クレジットカード番号やその他の情報をあなたのコンピュータから盗むのにクッキーが使われると思っている人もいる。そのようなことが可能なメカニズムがないばかりか、それは非論知的である。ウェブサーバーがあなたのコンピュータにクッキーを書き込むのであって、ウェブサーバーはそれがすでに知っていること以上の情報を書き込むことはできないのである。
保安上の危険と言われているもう一つの通常の機能にリファラー・コードがある。ウェブ・ブラウザーがサーバを訪れる度に、ブラウザーはリファラー・コードを送る。これはリンク元のウェブ・ページの URL である。これは http スペックの一部で通常の機能であって、あるハッカーの極悪な計画ではない。例えばボブが CNN.com 上でニュースを読んでいるときに、Amazon のプレズマテレビの広告を見たとする。ボブは良いプラズマテレビの購入を検討中だったので、その広告をクリックしたとする。Amazon のウェブサーバーはボブのブラウザーからボブは CNN.com からリンクされたというリファラー・コードを受け取る。Amazon はどの広告が最も有効かを解析するのにリファラー・コードを使うことができる。この解析は良い広告をするためには欠かせない。もしボブが何かを購入すると、商売を引き合ったということで CNN またはその他のウェブサイトに対して売り上げ報酬が与えることもできる。ボブに対して商売できたことに対して Amazon は喜んで売り上げ報酬を払う。Amazon はボブがどのサイトから来たかを見ることができるのでボブに対して CNN の特別割り引きを提供することもできる。リファラー・コードは Amazon にとって役に立つ。良くてボブにとっても役に立つし、最悪でもボブの知ったことではない。リファラー・コードはウェブ上で他の多くの役に立つことに使われている。
あなたの想像通り、セキュリティー・ソフト会社はリファラー・コードも脅威になるものとして宣伝している。彼らの説明としてはあなたがどのリンクからウェブページをアクセスしたかは Amazon に知らせるべきものではないということだ。厳密な自由意志論的にはそれは確かにそうだが、実用的にはリファラー・コードは Amazon にとって助けになるのだ。訪問者がどのリンクからアクセスしたかを知ることで Amazon などの多くのサービス業者は目玉商品をカスタマイズすることができる。共同フィルターと呼ばれる技術は“CNN からの訪問者はバラック・オバマの新しいラップビデオを好む”と Amazon が分析することを可能にする。もしセキュリティー・ソフトを使ってあなたのブラウザがリファラー・コードを送ることを阻止すると、良くてもより一般的なインターネット体験を得られるだけなのだ。最悪の場合いくつかのウェブサービスは使えなくなる。
ウイルスは本物の悩みの種である。もしあなたが Windows を使っていてインターネットをアクセスしたなら、おそらくあなたのコンピュータは一日に少なくとも十数個の新しいウイルスをダウンロードするだろう。ウェブページ上の広告やメディアの表示や古いグラフィック・イメージなど、ウイルスはいくつかの方法でウェブページに埋め込まれている。いくつかの巧みに作られたウイルス(またはトロイの木馬)は大金を儲けている。例えばあるウイルスは偽のクッキーをあなたのコンピュータにインストールしてあなたが何かを買った時にインドネシアのある人が売り上げ報酬を得る権利があると Amazon に伝える。あるウイルスはあなたのコンピュータを違法の分配型ファイル共有システムの一部にしてしまう。あるウイルスはあなたのコンピュータを迷惑メールサーバーにしてしまう。あるウイルスはブラウザツールバーをインストールしてあたながそれを使う度により多くのウイルスページに行かせる。あるウイルスはポップアップ広告を表示するソフトウェアをインストールする。幸運にも、Spybot Search & Destroy や Ad-Aware などの無料のソフトがそれら脅威になるものをすべてまたはほとんどすべてを除去することができる。それで、スケプトイドはこれらのことをどう考えているのか?
人々がウイルスやトロイの木馬を作る理由は広告や売り上げ報酬を通して金儲けするためである。実際上記の脅威になるものは究極的にはお金に通じる。コンピュータのファイルを削除したり問題を起こさせるようなウイルスを書くことでは誰も儲からない。主に初期のインターネット時代にはそのようなウイルスは存在したが、それらは有益ではないのでほとんど完全にすたれてしまった。人々はあなたに物を売りたいしあなたのお金が欲しいのであって、あなたのハードディスクを消すことに利益はないのである。わたしがこれを言うと常に“わたしのおばのコンピュータはウイルスによって消去された”とか“わたしのコンピュータには画面を真っ黒にしたりアドレスブックを消すウイルスがある”などというコメントを受ける。実際にはソフトウェアのコンフリクトやシステムクラッシュがそれらの問題の原因である可能性の方が高い。もしあなたがコンピュータを持っているなら、問題が起こることは入場料みたいなもので、そのうちいつかデータを失うのである。何千もの通常のオペレーティングシステムの不具合がほとんどの問題の原因なのである。同じくらい簡単にお金儲けのウイルスを書くことができるので、誰も不具合を起こすようなウイルスを書かないのである。自然界同様、ホストを殺さないウイルスが繁栄するのである。
Spybot Search & Destroy や Ad-Aware を使ってこれらのくだらない物を消してあなたのコンピュータをきれいにしなさい。技術的な知識が限られたお客さんにつけ込む高価なソフトを買う必要はない。または、これらのくだらない物は Unix 上では動かないのでわたしと同じように Mac を使いなさい。そしてあなたの思考をサイバースペースの奥深くへ埋めないこと。あなたのコンピュータが単に盗まれてしまうことの方が、統計的に比べ物にならないほど大きな脅威であることを覚えておきなさい。
参考
© 2009 Skeptoid.com
