2013年4月22日月曜日

デフォルト依存が生むセキュリティーの脆弱性、文字化け対策の勘所は

[4月26日(金)更新、改題と推敲]
 文字化けするのは、世界では日本語とロシア語くらいでしょか。いずれの場合も、たいていは文字セットの指定が正しくないか、ソフトウエアー上の初期設定(デフォルト)の不備・技術的な不具合のせいです。使用環境が変化したにもかかわらず、デフォルトのままにしておくと、いつかそうなります。IEのバージョンアップが繰り返された際のバグとして、調整不足の「レイアウト崩れ」が生じているのです。
 人が化ける成り済ましの事例は、匿名性を悪用して為されること。お目当ては、ずばりお金です。現代の錬金術師たちの策謀に落ちらないためには、好奇心からボタンをクリックしない、おかしな表示を見逃さない、まず疑うことです。乗っ取りの霊が文字に憑依するのは、曖昧さの美を誇るユーザーがいる為です。デフォルト設定を安全と鵜呑みにしている君のハウスに裏口を造り、大事な情報を盗み取るウイルスを忍ばせる、巧妙な手口です。たとえデフォルトを疑い、互換性表示をオンにしていても、実は空き家も同然。サーバー側のデフォルトがいい加減だと、もっとひどい汚れた霊を連れ込み、クライアントの状態は一層ひどくなります(→新約聖書のマタイによる福音書12章 4345節参照)。大事な端末のフェイスがスポンジ状のBSE化に陥らないよう願いたいものですが、そうならない保証はどこにもありません。サーバーの「そっくりさん」が横行する中、安全神話への過信は禁物です。
 デフォルト依存が、事実セキュリティーホールを開ける原因となっています。文字化け(レイアウト崩れ)は、不注意の結果を反映しているに過ぎません。マイクロソフトフォーラムで討議した際に指摘されたこと、IE用の「累積的なセキュリティー更新プログラムKB2416400 には、JIS (Japanese Industrial Standard) エンコーディングの自動検出を無効にする修正プログラムが含まれています。そのため、JIS エンコーディングは自動検出されず、電子メール メッセージのコンテンツは読み取ることのできないコードで表示されます。」その結果、JISコードの読み取りに失敗しています。「自動検出、つまり、デフォルト依存がセキュリティーの脆弱性を生み、文字化けを生んだ」(ウインドウズスクリプトプログラマ氏が指摘する)例として、一連の事象の因果関係をしっかりと把握しておく必要があります。
 数々のスレッドから学び得た私の総括、以下はKB2416400のやり取りで考えさせられたことです。使用環境の整合性がすべてフィットするまで、セキュリティーは強すぎてもいけない、また弱すぎてもいけない(フィットネスは目標値、微調整が必要)。デフォルト依存からの脱却は、ユーザーの自己責任でなされること(自動検出への過信は禁物)。バグはつきものなので、クライアントの自分!と導入した製品のアップデイトに手を抜かないこと(危機管理は双方の自己管理)。以上三点。 

Shigfried Mayer (宮村重徳), copyrightsall reserved 2013, the Institute for Rikaishakaigaku

2013年4月13日土曜日

他人事でない、相次ぐ文字化け現象、その原因と解決策

[5月1日(水)更新]
 最近気になることと言えば、MSIE(Microsoft Internet Explorer)の文字描画がどこかおかしい。ヘッダー部分(記事タイトルやファイル名)の文字が化ける。フォントが第三者の手で密かに書き換えられている可能性もあり、要注意です。例えば、IE9でこのブログ記事を読もうとすると、「社会」や「贈る」などの漢字が旧字体(中国の漢字体?)で表記されてしまいます。随所で、タイトルの表記がおかしい。その上、一部のフォントだけがアトランダムに強調文字になっていたりもします。コンテンツの書き換えなどの異常は見られないとしても、気味が悪いですね。NIS(Norton Internet Security)でチェックしても、フィッシングなどのウイルスは検出されておらず、ブログ主幹のわたしに対する嫌がらせか悪戯(いたずら)のようなものか、と疑いたくもなります。そうでなければ、どんな要因が考えられるでしょうか。因みに、他のブローザー(Firefox, Chrome, Safari)では、正常に表記されています。マイクロソフトのブローザー(IE)の脆弱性が狙われている疑いもあり予断を許しませんが、或いはセキュリティー強化の目的で、最近MSやNISの(リモート)サーバーが中国の大連経由となった?ことによる余波の可能性も一概に否定できません(ここまでは、前記のママ)。
 さて、その後の調べで判明したことを、以下に付記しておきます。中国語漢字体の混入と見える文字化け現象の原因は、最初の内はHPを装った偽サイトの存在を疑わせもしましたが、実際は日本語版のWindows7乃至IE9に付きまとう、フォント表示の切り替え(デコーディング)がうまくいかない(UTF-8 とシフトJISのコンフリクトによる)互換性の問題だったようです。
 疑心暗鬼から、国内外の至る所で混乱が生じています。今回の原因は、結論から言えば、ウィルスでも悪意のあるプログラム(遠隔操作による乗っ取り)でもなかった。真相がどうであれ、このブログでは金銭の扱いは一切しませんので、問題は発生しません。(仮にそうだとしたら、何の目的で?不法な言論統制の監視フィルター?なぜIEだけに?などと疑う必要は、ひとまずないということです)。マイクロソフトの迅速な対応と適切な解決策を待つしかありません。それでも不安な読者には、しばらくIE以外のブローザーを使うようお勧めします。諸君の中にも同じ現象が見られたら、わたしに報告してください。なるほど、「文字化け」(Zeichensalad)は不正な割り込みではないとしても、エンドユーザーを不安にしない・クライアントに安心して使用できる権利を保障する意味で、ユーザビリティーはセキュリティーの根幹に係わることです。なので、大手サービス業者にとってとても重要です。*この件については、現在マイクロソフトフォーラムに問合せ中、回答があり次第ご報告します。
一件落着の朗報:
 この問題はひとまず解決しました!ヴェップ・ページを閲覧するMSのプログラムは、IE7/IE8/IE9/ IE10など、目まぐるしいバージョンアップを繰り返したせいで、バージョンの違いによる「レイアウト崩れ」が発生していました。それを避けるために、以前のバージョン(IE6)の Internet Explorer と同じ振る舞いをして正常に表示する 「互換表示」 という機能を、それ以降のIEは隠し持っています。これを有効にすることで、「レイアウト崩れ」を防いで表示できるようになります。嘘だと思ったら、ご自分で試してみてください。青天の霹靂です。
 あとは、一時しのぎの互換表示としてではなく、本格的な仕様として装填された製品版の完成を、一時も早くマイクロソフトに望みたい。
(「互換表示機能」は、IEのツールバーから選択してください。なお、この問題解決のために、マイクロソフトのサポートセンターから重要なヒントを頂きました。感謝します。またフォーラムでのやり取りの中で判明したことで、日本語フォントが文字化けする原因に韓国語フォントのBatangが絡んでいる可能性が指摘されており、ユニコードの主導権を巡る争いは激しさを増しているようです。その詳細を述べようとすると長くなるので、再調査した上で別途に報告いたします。)

 付記: ご注意ください。これで危険が去ったわけではありません。文字化けはシグナルに過ぎず、背後で誰かが成り済ます危険な可能性を排除しません。セキュリティーホールを狙ったサイバー攻撃は、これからますます激しくなり、巧妙に忍び込んでくるでしょう。危機管理は自己責任ですること、人任せにしておいてはいけません。「想定外」を口実にした責任転嫁はご法度です。想定されるシナリオを予測し、最悪のケースをも想定して退避する場を確保するにも、自分に与えられた悟性を使って善悪を判別し、理性を使用して自由を確保するにも、最後は君たち自身がよく考えてなすべきことです。

Shigfried Mayer(宮村重徳), copyrights all reserved 2013, the Institute for Rikaishakaigaku

2013年4月10日水曜日

風雲急のパワー・ハラスメント対策、緊急レポート2013(その一)

[4月16日(火)更新]
 昨今は風雲急を告げる事件が相次いで、息つく暇もありません。国内は一躍アベノミクスに沸き、これが黒田イズムの緊急金融緩和の政策に後押しされて、景気回復と脱デフレの期待が一気に膨らむ中で、他方隣国北朝鮮で停戦の一方的破棄や物騒なミサイル発射計画から核戦争勃発の危険性が高まり、これが中国でのPM2.5拡散事件と鳥インフルエンザ大流行の兆しに後押しされて、ポジティブとネガティブな指数が奇妙に入り乱れた、不透明で極度に不安定な政情(グレーゾーン)に陥っています。欧米のメディアが恐れている、第三次世界大戦勃発に繋がるほどのことではない、子供じみた嫌がらせ(パワーハラスメント)か火遊びの類だとしても、いや、そうだからこそ、ふとした間違いから何が起きてもおかしくない。今後の状況は決して楽観はできません。しばしリスク高の疾風怒涛が続くとしても、一連の事態を冷静に見守るほかありませんが、政治家であるなしにかかわらず、想定外の「先を読む」力(あらゆる事態を予測して、「諒解」可能な未来を手繰り寄せる力、リスクマネージメントの知恵と実行力の有無)が試される次第です。
 「先を読む」力は、幾何学や代数の計算力だけでは足りない。想定外の未来を予測する預言者的知性の課題です。これについては、いずれ別途に詳しく論じることにしましょう。

Shigfried Mayer(宮村重徳), copyrights ⓒ all reserved 2013, the Institute for Rikaishakaigaku