（緊急周知）怪しいリンクはクリックしないように!!

IEの「createTextRange()メソッド」に深刻な脆弱性、悪質コードに警戒 - Internet Watch

正直MSからHotFixが提供されていない状態なので書くか書かないか迷っていたんですが、既に今回書く脆弱性を悪用しているケースが発見されたので、書く事にします。

なお設定で対応する方法もありますが、当然IEの使い勝手が低下します。その事を踏まえた上で「使い勝手が多少悪くなっても、安全を優先したい人」「正しくMSからの指示に従って設定できる人(HotFixが出た後、設定を元に戻す事ができる人)」のみ、設定による対応を推奨します。
MSからの情報はココの「推奨するアクション」→「回避策」以下をご覧下さい。

それ以外の人は、基本的な対策になりますが「あやしい(メールや掲示板などの)リンクはクリックしない事」を徹底し、少しでもパソコンが怪しい動きをしたら、まずはLANケーブルを抜いて、次にウイルス等の感染が無いか確認をして下さい。
-----
今回の問題は、IEのJavaScript(JScript)の処理の一部に問題(ヒープオーバーフローによる任意のコード実行が出来てしまう)があり、この処理を含むWebページをIEで開くと、今お使いのパソコン上で任意のプログラムを実行させる事が出来てしまいます。

現時点では「電卓(calc.exe)の起動」位で止まっていますが、近い将来には「リンク先からウイルスを感染させる」などに発展する可能性があります。

恐らくは来月の「月間MS発行日(4/12を予定)」にHotFixが提供されるでしょうが、まだ半月もありますので、それまではメールや掲示板等に記されている怪しいリンクはクリックしないように注意しましょう。

過度に期待をすると裏切られます(笑)

ゆりかもめ概要:音声案内装置 - (株)ゆりかもめ
昨日(3/27)からゆりかもめが有明から豊洲まで延伸されたと同時に、発表時に話題になった「声優を採用した音声案内装置の設置」が正式に稼動されました。

幸いにして(笑)、通勤で利用しているので会社近くの駅で試しに聞いてみました。
案内装置は駅入り口付近、お手洗い近く等それぞれに銀色のパネルが設置されているのですぐに分かると思います。

で、聞いた感想。
「所謂アニメ声等の『萌え(苦笑)』を期待して聞くと、思いっきり肩透かしを食らいます」

会社近くの駅は女性の声だったので、やや高めのトーンかもしれませんが、それでも一般的な案内アナウンスと同様普通の声で、ゆっくりはっきりしていて聞きやすい案内でした。

駆け出しの声優・アナウンサーの中には、このような音声案内アナウンスの仕事を手がける人もいるというのを聞いた事がありますが、基本的にはそれと全く同じですネ（ただ、知っている人は知っているという人を採用したというのが珍しいでしょうが）。

えーと……いいのか(セキュリティ的に)？

デジカメアイテム丼：日本写真映像用品工業会「写真・映像用品年鑑」CD-ROM版 - デジカメWatch
今週からいよいよPhoto Imaging Expo(PIE)2006が有明で開催されますが……前売りチケットまだ買ってないや(買ってこないと)。

毎年出るこのカタログには助けられている(写真好きにとっては暇な時は目を通すだけでも楽しいし、何よりこんなアイテムないかなと探す時にも便利だし)んですが、今年からCD-ROM化されるとの事。ノートPCを持っていけば、帰りの電車の中でも見られるかな？

ただ……1点気になる箇所が。
---

用品年鑑CD-ROMの閲覧に必要なのは、Windows 98/Me/2000/XPと、Internet Explorer 5.5SP2以上がインストールされたPCだ。このほかにMicrosoft VMが必要だが、これは用品年鑑CD-ROMからインストールすることができる。
(「デジカメアイテム丼：日本写真映像用品工業会「写真・映像用品年鑑」CD-ROM版 (デジカメWatch)」より引用)

---
えーと……「Microsoft Java VM(MS-JVM)」ですか？、もうMSのメンテも行われない(※)、セキュリティ的に問題があると分かっているMS-JVMをインストールする必要があるんですか？

いや、コレが本当なら、かなりダメダメなんですが。orz

日曜(26日)にPIEに行ってくるので、実際入手して確かめないと……。
---
(※)Javaの開発元であるSun Microsystemsとの絡みで、現在はMS謹製のJVMは提供されておらず、SunのJVMをインストールするのが基本です。
---
(2006/3/20 12:45追記)
発売元である日本写真映像用品工業会のページも見てみました。

えーと……
---

・Microsoft　VM SunJavaがインストールされている必要があります。
　ブラウザの設定で、JavaおよびJavaScript設定を有効にする必要があります。
(「「2006写真・映像用品年鑑」(日本写真映像用品工業会)」より引用)

---
……よく分からないぞ(苦笑)。
これって「MS-JVM」と「Sun製のJava VM(J2SE)」の2種類をサポートって事で良いのかな？
---
(2006/3/28 1:35頃追記)
えーと、自宅環境(WinXP SP2 + Firefox 1.5.0.1 + J2SE 1.5.0_06-b05)で試した処、MS-JVM等のインストールも不要で、サックリ見る事が出来ました。

単にこのソフトを作ったベンダが単に「これなら動作保証します、それ以外は分からん」というのを(日本写真映像用品工業会が)そのまま鵜呑みにしている状態っぽい感じ……。

動機付けの部分を忘れていましたよ(苦笑)

何とか自宅に戻ってこられました(苦笑)。
---
前のネタで、大事な事を書き忘れていました。

それは「何故セキュリティ対策を行うのか？」の動機付けの部分です。

前にも書きましたが、セキュリティ対策を行う事がエンドユーザのPC・ネットの利用目的に直接的なメリットを見いだすのが難しい以上、別の方向で「セキュリティ対策を行わなければならないんだ」と思わせる動機付けが必要になりますネ。

自分の考えは2点。

自分を守る為(これは従来から言われている事なので、理由は割愛)。

他人に迷惑をかけない為。

特に後者は、簡単な事例を挙げて「他の人に迷惑をかけないようにするためにも、セキュリティ対策を行う事が重要なんだ」と思わせる必要があると思っています。
(無論、それでも言う事を聞かない人……「正真正銘の自己中(間違った意味での『天上天下唯我独尊(※)』を地で行っている人)」や「本当の悪人」など……には無力なので、そいうい人達に対しては技術や法律側で対処するという事になると思います。尤も「正真正銘の自己中」なんて人はそんなに多くは無いでしょうが。)

例えば……

自分のPCには重要なデータは無い→「あなただから教えた」という友達からのプライベートなメール位はあるのでは？→それがウイルス等で漏れたら、友達は嫌(ムカツク)よねぇ？→結果友達を失うかもしれないよ。

自分nyはデータをダウンロードしているだけだ、誰にも迷惑かけていないだろ→現在のny等のP2Pファイル共有システムは、データを気付かない内に中継する仕組みになっている→現在のny上に流れているデータの中にはウイルス等も混ざっている→使っているだけでウイルス等を広めるのに荷担しているんだよ。

クラック版のnyを使っているから、中継なんてしないぜ、フフン→あなたがダウンロードしたデータ(例えばmp3等の音楽データ)は、ちゃんとCD/DVDを買えば作った人に対価(報酬)が支払われる筈なのに、報酬を払っていないんだよね？→短期的にはあなたはメリットがあるかもしれないけれど、その曲を作った人からすれば収入が減って嫌になる(ムカツク)んだよね？→その所為でその人が曲を作らなくなったら……ちょっと寂しいよね？

結局はCD/DVD買ってるYo→それは結果論であって、ダウンロードした曲に関するCD/DVDを全部買っている訳じゃないんだよね？→またダウンロードする時点で絶対に買うという約束をしている訳じゃないんだよね？→絶対に買うという補償が無いのなら、ダウンロードした時点ではCD/DVDを買っていないのと同じでは？
……かな？
結局のところ「誰も他人に対して迷惑をかけて良い事は無い」という点で訴求していくのがベターかなぁ……。

でも、この点でセキュリティ対策は重要だと言っている人って、自分はあまり見かけた事が無いのが現実だったりしますが(苦笑)。
---
(※)本来は「皆お互いが自分というものは尊い存在で、かけがえの無い大切な命である」……まぁ、苦しい修行に耐えたお釈迦様だからこそ言える言葉なのでしょうけれど。