既にあちこちで取りざたされているウィジェットについての危険性。うちよりアクセスの頻繁なBlogやサイトがしっかりと取り上げてくれているのでもうほとんどのMacユーザーはこの情報をご存知のはず。実は私もすぐに取り上げようかと思ったのだが、私の知っている(リンクを貼るべき)ソースはその時まだITmediaニュースしか無く、「ITmediaの記事には勝手にリンクを貼っちゃいかん」と規約されているのですぐに記事に出来なかったのだ。そもそもWebって著作権や情報の出所をはっきり示す上でリンクフリーが原則だと思うんだけど…??? という疑問はさておき、リンク貼っても大丈夫なYahoo!ニュースの方をば。
「Dashboard」にご用心--Mac OS X「Tiger」の新機能、ハッカーの餌食に
『Tiger』のセキュリティーに不安の声
驚いたのは、「ウィジェットは簡単に削除できず、しかもAppleは削除方法を明かしていない」ということ。ウィジェットは(たしか)HTMLとCSSとJavaScriptで簡単に作成できるもので、これから色々なウィジェットがユーザーの手によって作られ、配布されていくものだと思っていた。それだけに「簡単に削除できない」というのはビックリである。実を言うと私はこの問題を「ま、すぐパッチか何かが出るだろ。もうすぐ10.4.1になるって話しだし、そもそも私Pantherだから関係ないし」と、あまり真剣に考えていなかったのだが、記事を読んでいてふとあることを思い出した。「Nitram and Nunca」さんで以前見た「禁断の呪文」という情報である。
これははっきり言って怖い。(絶対やる奴がいそうだから)怖すぎてリンクを貼るのも躊躇われる…というより、現在「Nitram and Nunca」さんはサイトのリニューアル中で過去ログが参照できなくなっているためそもそもその記事が拝見できない。実は私はその記事をブックマークしておいたので今でも読めるしリンクもTBも出来るのだが、リニューアル中にTBなんぞして何か迷惑がかかってもまずいのでリニューアルが終わるまで控えておく。
簡単に触りだけ説明すると、UNIXの世界ではとても基本的なあるコマンドをターミナルから入力すると、ホームフォルダが完全に消去する、というもの。長ったらしいものではなく「たった一言」と言ってもいいくらいのコマンドなので、「恐いもの見たさ」で思わず誰もが試したくなるはずだ。
さてそこで、先ほどのウィジェットの脆弱性(と言っていいと思う)である。セキュリティー知識に乏しい私のような素人だと、やれ脆弱性がどうとか悪質なプログラムがどうとか言われても「そんなのそこそこのハッカーで無ければどうせ出来ないんだろ。そういう人でしかも悪質な人は大抵Win用のウィルスを作るのに情熱を傾けるから心配いらんよ。それに、ちょっと待ってればAppleからすぐに何か対応策が出てくるし」と、ついついのほほんと構えてしまう。
しかし、今回のはちょっとやばい。なんせ今回は「ウィジェットにUNIXコマンドを忍ばせておいて、ウィジェットの内部からひそかに実行させることも可能かもしれない」というシロモノ。そして忍ばせるUNIXコマンドがもし「禁断の呪文」だったら…。
私のように「UNIXコマンド?何それ?」なユーザーは、UNIXコマンドなんて言われても複雑で長ったらしいものしか連想できないため、「ユーザーのホームフォルダを消去させるUNIXコマンドをウィジェットに仕込んで実行させる」なんて芸当はそう容易くできない気がしてしまう。しかし、その「禁断の呪文」があまりにも単純であることを知った(というか思い出した)ため、今では「もしかしたら、頑張れば私にも作れちゃうかも」とすら思ってしまう。
現在のところ、全世界のコンピュータユーザーの中でMacユーザーの占める位置と割合、更にその中でTigerを買って使っている人の割合を考えると、被害が広まったとしてもまだ「それほど大きな問題にはならない」はずだ(もちろん錯乱狂気する個人ユーザーは山のようにいるでしょうが、あくまで世界規模で大騒動になるかどうかって話です)。しかし、このままAppleが「ウィジェットの自動インストール」と「ウィジェットは簡単に削除できない」状態/方針を維持するのなら確実にやばい(なんせTigerの売れ行きは好調らしいし)。もちろん今回のことについてはすぐ対策が取られると信じてはいるが、Appleには一刻も早く「ウィジェットの自動インストール」を無効化できるようにしてもらい、ウィジェットを誰でも簡単に削除(Libraryフォルダからだけでなくツールバーから直接削除、等)できるようにしてもらいたいと思う。TigerやKonfabulatorの普及で「にわかウィジェットプログラマー」が急速に増えて行きそうな今、的確な対応をしてもらわないと大変なことになる気がする。
<追記>
とりあえず、Safariの設定で「ダウンロード後「安全な」ファイルを開く」のチェックを切っておけば自動インストールは防げるらしいです。
「Dashboard」にご用心--Mac OS X「Tiger」の新機能、ハッカーの餌食に
『Tiger』のセキュリティーに不安の声
驚いたのは、「ウィジェットは簡単に削除できず、しかもAppleは削除方法を明かしていない」ということ。ウィジェットは(たしか)HTMLとCSSとJavaScriptで簡単に作成できるもので、これから色々なウィジェットがユーザーの手によって作られ、配布されていくものだと思っていた。それだけに「簡単に削除できない」というのはビックリである。実を言うと私はこの問題を「ま、すぐパッチか何かが出るだろ。もうすぐ10.4.1になるって話しだし、そもそも私Pantherだから関係ないし」と、あまり真剣に考えていなかったのだが、記事を読んでいてふとあることを思い出した。「Nitram and Nunca」さんで以前見た「禁断の呪文」という情報である。
これははっきり言って怖い。(絶対やる奴がいそうだから)怖すぎてリンクを貼るのも躊躇われる…というより、現在「Nitram and Nunca」さんはサイトのリニューアル中で過去ログが参照できなくなっているためそもそもその記事が拝見できない。実は私はその記事をブックマークしておいたので今でも読めるしリンクもTBも出来るのだが、リニューアル中にTBなんぞして何か迷惑がかかってもまずいのでリニューアルが終わるまで控えておく。
簡単に触りだけ説明すると、UNIXの世界ではとても基本的なあるコマンドをターミナルから入力すると、ホームフォルダが完全に消去する、というもの。長ったらしいものではなく「たった一言」と言ってもいいくらいのコマンドなので、「恐いもの見たさ」で思わず誰もが試したくなるはずだ。
さてそこで、先ほどのウィジェットの脆弱性(と言っていいと思う)である。セキュリティー知識に乏しい私のような素人だと、やれ脆弱性がどうとか悪質なプログラムがどうとか言われても「そんなのそこそこのハッカーで無ければどうせ出来ないんだろ。そういう人でしかも悪質な人は大抵Win用のウィルスを作るのに情熱を傾けるから心配いらんよ。それに、ちょっと待ってればAppleからすぐに何か対応策が出てくるし」と、ついついのほほんと構えてしまう。
しかし、今回のはちょっとやばい。なんせ今回は「ウィジェットにUNIXコマンドを忍ばせておいて、ウィジェットの内部からひそかに実行させることも可能かもしれない」というシロモノ。そして忍ばせるUNIXコマンドがもし「禁断の呪文」だったら…。
私のように「UNIXコマンド?何それ?」なユーザーは、UNIXコマンドなんて言われても複雑で長ったらしいものしか連想できないため、「ユーザーのホームフォルダを消去させるUNIXコマンドをウィジェットに仕込んで実行させる」なんて芸当はそう容易くできない気がしてしまう。しかし、その「禁断の呪文」があまりにも単純であることを知った(というか思い出した)ため、今では「もしかしたら、頑張れば私にも作れちゃうかも」とすら思ってしまう。
現在のところ、全世界のコンピュータユーザーの中でMacユーザーの占める位置と割合、更にその中でTigerを買って使っている人の割合を考えると、被害が広まったとしてもまだ「それほど大きな問題にはならない」はずだ(もちろん錯乱狂気する個人ユーザーは山のようにいるでしょうが、あくまで世界規模で大騒動になるかどうかって話です)。しかし、このままAppleが「ウィジェットの自動インストール」と「ウィジェットは簡単に削除できない」状態/方針を維持するのなら確実にやばい(なんせTigerの売れ行きは好調らしいし)。もちろん今回のことについてはすぐ対策が取られると信じてはいるが、Appleには一刻も早く「ウィジェットの自動インストール」を無効化できるようにしてもらい、ウィジェットを誰でも簡単に削除(Libraryフォルダからだけでなくツールバーから直接削除、等)できるようにしてもらいたいと思う。TigerやKonfabulatorの普及で「にわかウィジェットプログラマー」が急速に増えて行きそうな今、的確な対応をしてもらわないと大変なことになる気がする。
<追記>
とりあえず、Safariの設定で「ダウンロード後「安全な」ファイルを開く」のチェックを切っておけば自動インストールは防げるらしいです。
※コメント投稿者のブログIDはブログ作成者のみに通知されます