ダブルスタンダード

ここでも何回か愚痴として取り上げていますが、PCセキュリティに関する問題は最近多いです。(実際には昔からあった問題ばかりなのだけど、PC（インターネット接続）への敷居が低くなったことに伴い知識がなくともインターネットに接続できるというのが大きい。ただ、それが悪いことかというとそうも言えず基本的によいことだとは思うのだが価格の安さを前面に出した敷居の低下は問題があったと思う。特に安全にPCを使用するには金がかかるということをしっかりと告知しなかったPCメーカー・プロバイダーは謝罪と賠……)

その中の一つを今回はあげてみようと思います。

サイトから直接感染するウィルス

たまに乗っ取られたサイトにアクセスするとウィルスに感染、ということが話題になることがあります。

あるいはエッチなサイトにアクセスしてしまい広告がずっと出るようになった等も同じようなものです。

これらは主に「JavaScript」「ActiveX」という技術を用いて勝手に入り込んできます。

IE等では何も設定していない場合、両方とも無条件で受け入れる状態なためウィルス対策等をしっかり行っていない場合はその場で感染してしまうのです。(ウィルス等の対策をしていたところでそれが生まれたばかりのウィルス等であればやはり無駄ですが。)

これを防ぐためには設定を変更して初期状態では受け入れないようにするしかありません。

さぁ、これで安全だ。

ところが

この二つの技術、普通のサイトでも使用しているところが実に多く、とくに「JavaScript」にいたっては受け入れないようにしているとページが何も表示されない(受け入れないとうちのサイトは見られませんよ、という警告すら出さない！)こともあるため一気にネット巡回が面倒なものになります。

セキュリティに気を遣おうといろいろ告知して時には有料のセキュリティプランも提案する一方で、安全に気を遣って設定を変更するとまともに閲覧すらできない公式サイトのなんと多いことかー('A`)

天秤

なぜこのような事態になってしまったのでしょうか。

その答えはhtmlの仕様にあります。

基本的にhtmlというのは今となっては貧弱な技術で、これだけではあまりたいしたことはできません。(もちろん技術力のある人がその力を存分に発揮すれば相応のものはできますがそういう話をしだすときりがないので除外。)

たいして上述のような技術を使うとある程度簡単に動的なページ(マウスでリンクにふれただけでさらにサブメニューが出てくるとか、IE上で動画が閲覧できるとか、こういった「単なる文字が表示されるだけではない」ものはわりとこれらの技術を使っています。また最近は見なくなりましたが「今何時何分です」みたいな表示とかもそう。)が簡単に作成できるわけです。

しかし、もともと「動かない」ページを表現できるに過ぎない所に無理矢理動かすものだからどこかに無理をしてもらわないといけません。

それをしているが自分のPCなのです。

そういったホームページにアクセスしますと

「今から○○というプログラムを動かしたいんだ。君のPCに導入させてくれ」

といったような返答がやってきて初期設定だとすんなりOKして実行してしまうのです。

そうするとその内容に応じていろいろなものが動作します。

……この説明を見ればわかりますよね？

そう。プログラムをダウンロードしてそのまま実行する。

よくセキュリティの基本としてかかれている

「メールの添付ファイルなどは実行しないようにしましょう！」

と同様のことを意識しないまま行ってしまうのです。

つまり悪人がいたずらしたければ簡単にできてしまうというわけ。

もともと利便性とセキュリティというのは基本的に相反するもので、セキュリティを厳しくすると利便性は損なわれ、利便性を高くするとその分悪用されやすくなるのです。

これらの技術・およびそれを使用しているサイトはこの二つの要素を天秤にかけ利便性に傾いたものといえましょう。

結局どうすりゃいいのさ

いくつか対策方法はあるのですが、長くなったので翌日に。