オリオン座が沈む窓

azuyuz captain's log〜”ゆず”艦長の航海日誌

【取り敢えず完結編】脆弱性を乗り越えて・・・

 今朝、Windows8.1PCにアプリをインストールしていたら何やらメッセージが表示された。

「このPCで本人確認のための認証をせよ」「・・・のため、ご協力願います」

 ・・・

 訳分からん。

 何で、自分のPCを使っているのに本人確認が必要なのだろうか?

 パワーオンしたときに、ログインIDとパスワードを入力している。

 恐らく、ネット経由でマイクロソフト(MS)の認証サーバと接続して、本体内にある何らかの認証データとの突き合わせをしたいのだろう。

 面倒で評判の悪かった「アクティベーション」は、Win8より廃止されたらしい。しかし、MSとの間で「Windows Live」にせよ、なんちゃらとか言うIDにせよ、”本人”を表すIDは必要を強要されている。

 目的が、偽造対策、著作権保護うんぬんであることは分かっている。

 しかしながら、正規ルートでお金を出してPC/OSを購入した「正直者」が、何やら訳の分からんIDやパスワードをしきりに入力要請されるというのは面倒で腹立たしい。

 善良なる利用者である事を自覚する私達が、何でこんなアホみたいなことを定期的に強要されなくてはならないのか。

 先日も書いたが、MSには業界のリーダーとして、「自己保身」のための仕掛けではなく、「利用者保護」の技術を提案して欲しい。

 私達が、違法コピー、ウィルス開発をやっている訳ではない。

 「セキュリティ強化」を名目に、OSのバージョンアップを勧めたり、本人認証を強要したりすることは、止めてもらいたい。

 

 ・・・

 

 PCを使っていると、タスクバーに「アップデートの準備ができました」というメッセージが表示されたりする。

 「このPCはウィルスに感染するかもしれない危険な状態にあります。至急ウィルス対策ソフトを購入して下さい」というメッセージが「マカフィ」名で表示されたりもする。

 「今お使いのソフトの最新版がここをクリックすれば入手できます」とのメッセージも出たりする。

 何で、このようなことが可能なのであろうか?

 こちらからそのようなことを問い合わせた覚えは無い。そもそも、インターネットを利用してない時、アプリを使っていない時にすらメッセージが出てくるのだ。

 これは、OS動作中に当方の意図とは別に、特定メーカーの”エージェント”が勝手にバックグラウンドで動作していることを意味している。

 いつも、システムの状態がどうなっているのかを「監視」しているのだ。勝手に・・・

 「エージェント」は、PC等が故障した時には、その旨をメーカーやコンタクトセンターに自動通報する機能として利用できる。

 この機能は、PCというよりは、基幹システムとしてクリティカルな使われ方をする「サーバー」などを遠隔保守するためのツールとして利用されている。

 しかし、システム情報は外部からは「丸見え」だ。いつ、どこで、誰が、何をやっているかを外部から監視可能となる。

 

 「リモートコンソール」という機能をご存知であろうか。

 これは、ネット経由で特定のPCや端末を操作する機能だ。

 ネット経由とはいっても、PCの前に座って操作することと全く同じことが出来る。

 この技術は、Unixの誕生と同時に実用化されており、歴史は古い。

 大層、便利で強力なツールだ。Windows2000にもサポートされていた。

 この機能を用いて、PCの「乗っ取り」ができる。

 

 自分宛のメールがメールサーバに到着したら、「ポン!」という音を出して知らせてくれるメールソフトがある。

 これは、わざわざメールサーバに接続する操作が不要になるので大変便利だ。多くのユーザは、この機能を無意識に利用している。

 しかし、待って欲しい。

 「smtp」「pop3」という言葉を聞いた事はないか?

 前者は、手紙(メール)をポストに投函するソフト。後者は、玄関まで出て行って郵便受けの中を見るためのソフト。

 つまり、メールは本来機能としては、OSからPOP3コマンドを発行しないと「郵便受け」や「私書箱」まで手紙を探しには行けないのだ。

 なのに、「ポン!」といって受信を知らせてくれるということは、OSが勝手に、それも定期的にメールサーバまで接続に行っているということだ。

 私達が知らない間に・・・。便利だけどね。

 

 現在のOSがもつ機能の一部であるが、これらの「勝手に動いて便利を提供する」仕掛けは、悪用することもまた可能だ。

 「ウィルス」と呼ばれる高度で退廃的な技術は、これらの機能を「求めざる混乱」を引き起こす為のものとして利用している。

 TCP/IPは、今や無くてはならないプロトコルであるが、このアーキティクチャは外部からの「乗っ取り」を行う為にも必須の技術だ。このプロトコルにマスター/スレーブの概念は無い。

 IBMが設計したSNA(ネットワーク・アーキティクチャ)を使っていれば、スレーブ側がマスター側を「乗っ取る」ことなどは出来ない。

 Web利用を前提としたインターネット技術が、今の”カオス”を生み出したとも言える。

 今のネットークワーク/OS技術は、「利用者側に立脚した」とは言い切れない部分が含まれている。

 そして、ウィルスと脆弱性の関係について、それらの「余計」かもしれない技術が関与していることもある。

 マイクロソフトに提案してもらいたのは「便利」なだけの技術ではない。

 私達の住む社会と「共栄」できる技術だ。

 

 もちろん、それには不純な動機を持つテロリスト、マッドエンジニア達の排除も大前提だ。