217. 秋葉原などのPCショップで売っている2,3千円の30万画素カメラは買いか?    2003.7 目 次

mixel03.jpg 2,3千円で30万画素デジカメが売られている。あれ、どうだろう。

mixel Classic MC-DC02

という中華人民共和国製の安かろう悪かろうというレンズ付きCCDを買ってみた。

なんと1780円という賞味期限切れ食品的投売りだ(2003.7)。

30万画素、ストロボ、動画機能、セルフタイマ、マクロレンズ機能がついてだ。もっとも、どれも全部事実上使い物にならない。おっと、セルフタイマーだけは使えたか。ストロボは無茶苦茶むらができる事があるし、大体電池が持たないのではないかという恐怖が拭い切れない。これは、冷や汗が出るくらい恐ろしいことだ。

何しろメモリーがフラッシュじゃなく、SDRAMだからね。電池が切れたら写真がパーだ。この1点だけで、このカメラは買ってはいけない

それから、このカメラ、露光不足になると横に筆で掃いたような縞が出る。マクロはボケボケだし。動画なんて50秒だったかな?まあ、そんなものだ。10枚/秒だ。1780円に多くを期待してはいけない。静止画が写るだけでいい。カメラじゃなく、レンズ付きCCDなのだ。



mixel04.jpg

 横縞がくっきりと出ている。
 高画質。
 ストロボなし(というか、遠景には無意味だしね)。
 7月末の19時頃。
 白い点は公園内の街路灯。
 リザイズなどの画像処理なし。

 それから連続して同じところを撮っていても露出が真っ暗から結構明るい所まで変わる。測光が不安定なのだ。

あと、同じようなもので昔のミノックスのような超小型デジカメも置いてあった。多分、同じメーカだろう。発想が同じだから。A店で2980円、200m離れたB店で、1980円、要するにどちらの店も投売りなのだ。

さて、使い勝手
これが、まあ、驚きの連続だ。「買ってはいけない」一押し製品だ。「買ってはいけない」に採り上げられた製品は、ありゃみんな買っても良いものばかりだったと思うが、(ああいう、イデオロギーで書いちゃいけないね。何だって世の中はバランスなのだ。塩だって、砂糖だって、ベーキングパウダだって、食べすぎりゃ健康に悪いにきまってるっしょ。酒なんてその最たるものだ。「買ってはいけない」に酒、って入ってたっけ?。タバコもね)。

011d.gif コーヒブレイク
買ってはいけない

居候は、保存剤が入っていないような食品は恐くて食べる気にならない。保存剤が入っている食品を食べた為に90まで生きられた寿命を85で終わってしまうとしても、保存剤が入っていない食品に毎日毎日曝されて、終に食中毒で65で死んでしまうより遥かにましだ。

一度でも食中毒を経験した人間はそう思うだろう。あの激しい症状は老人には絶えられないと思う。バタバタ死んでいるじゃないか。

一度、もう相当前だが、明石近辺の駅で小鯛寿司だったか雀鯛寿司だったか、そんな名の名物駅弁を買い、新大阪から乗った新幹線の中で食べた。食中毒菌の毒は激烈である。京都あたりでもう腹がおかしくなった。30分だ。水のような下痢を起こし、ホウホウノ体で関東に戻った。新幹線のトイレはもう買し切りみたいなものだ。それから1週間、激烈な下痢が続く。若くてピチピチの時でこれだから60歳のご老人なら昇天だよ。

商用食品には保存剤=殺菌剤は必需なのだ。

何かが悪いという時には、それがなかった場合との比較が必要だ。それが科学的態度というものだ。


このカメラは下記の客観的理由により、買ってはいけないのだ。たとえ、子供の玩具にしようとしてもだめ。使い物にならない。

 1.直ぐにハングって、それまで撮った写真がパー
   ただ、使い込んでいる内に安定してきた。アナログ機器みたいだ。
   慣らし運転が必要?
 2.使用中に電池が切れると写真がパー
 3.USBなのに、標準IDE、つまりエクスプローラのドライブとして扱われない。
 4.専用ソフトからしか写真を読み込めない。
  なんとあの、馬鹿なTWAIN規格なのだ。唖然。
 5.フラッシュじゃなく、SDRAMだからね(で、上記1.、2.が起きる)
 6.画質が無残
 7.専用ソフトが、中学生の夏休みの宿題の工作かと思うほどの酷いできだ

さて、一番往生したのが、1.なのだ。使い始めはこの現象に悩まされ続けた。300枚ほど失って、1Kmは撮り直しの為に余分に歩かされた。ただ、下記のように3日も使っていたら安定してきて、こういう現象は起きなくなった。スイッチを切ったカメラにいきなりUSBをつないでPCに転送可となったし、ハングることもない。この1.は使い始め、こういう現象に悩まされている人、あるいはずーーとそのままの人のためのチップだ。

このカメラの手抜き具合は物凄いもので、USBったって、PCとつなぐ順序を間違えると、それまで撮った写真が全部パーになる。だから使い物にならないのだ。そんなことはマニュアルには書いてない。ああ、8.がある。

8.マニュアルが間違いだらけね。(だらけは言いすぎかな)

さて、USBケーブルをカメラにつないで、起動しているPCのUSBコネクタに差し込んだ。そして、カメラの電源を入れる。うんともすんとも言わない。つながれば、カメラの液晶にその旨、表示されるが、何もでない。カメラ前面の小さな赤いLEDは点灯しているが、それだけ。「カメラの電源を入れる」と何気なく書いたが、入れても、ATXマザーみたいに電源が入らないのだ。液晶が表示されないのだ。

ここまでは、まあ、許そう。シーケンスがあるUSBなんてアホなのだが、何と言っても安物だ。手抜きもあろう。いや、定価は安くないのだろうが、こういう手抜きするから買い叩かれるのだ。問題は、スイッチが入らないことにあり、USBコネクタを外しても、二度と電源がはいらないのだ。マニュアルのFAQにも書いてない。こんなのSuperFAQだよ。再現性がある。誰でも多分、一度はやるのだから。

で、要するに、上のようなシーケンスでPCとつなぐと、ハングって、一度、電池出してリセットしないと、二度と動かないことだ。ここで、5.のSDRAMが効いてくる、悪い方向にね。このカメラ、フラッシュメモリを使ってないのだ。だから、ハングったら、パーになる。どうせ、4MBとか8MBなんだからそういうところをきちんとやれば買い叩かれる事もないだろうに。フラッシュメモリが高いなんて、たかが知れている。128MBも積むわけではない。8MBだ。

電池を抜けば、写真も消える。しかし、上の理由でハングって動かないんだからしかたない。電池ケースの蓋を開けて完全に電気を切る。これでresetだから、動くようになるが、写真は哀れ海の藻屑と消えてしまった。

で、また、1Kmを歩いて、同じ写真を撮って来た。試しに、これは覚悟の上だが、カメラの電源を入れずに(電池蓋は閉じてSDRAMは生きている)USBのコネクタをカメラだけに差し込んだ。そしてスイッチを入れると、なんと入らない。つまり、このカメラは、PCにつながっているUSBケーブルを、カメラの電源を先に入れて差し込まない限り、必ずハングってしまうのだ。

USBケーブルがどういう配線になっているのか調べないと分からないが、どうも、シリアルや、パラレルみたいに端点がオープンじゃなさそうだ。なにしろ活線挿抜(hot plugね)できるんだから、ケーブルを差し込んだら、差し込まれた機器はそれを感知できるようにループかなにかになってるんじゃないの?で、その反対側にPCが居なかったり、待機状態のところに差し込まれると、このカメラは死ぬんだよ。おいおい、それはないでしょ、っていう驚くべき、M$流に言えば仕様、普通の技術者流に言えば設計ミスなのだ。

チップ1; カメラにUSBを挿すだけで固まるような不安定な時には、まずPCを起動し、専用読み込みソフトを立ち上げる。次にUSBケーブルをPCに挿す。次に、カメラの電源を入れる。そして、USBをカメラにさす。

この順序を間違えると、ハングってしまう=死んでしまうので、写真がパーになる。

なお、このシーケンスを守っても、タイミングを急ぎすぎるとだめ。ゆっくりやろう。カメラのスイッチを入れて、液晶に全アイコンが表示されて起動準備を始めた段階でUSBをカメラに差すと、一応、バスパワードになったというアイコンが出ているのに、実はハングっていて、ドライバーが、カメラを見つけられない。ケーブルを外してもバスパワード状態のまま、アイコンが出ている^^メ。固まっているのだ。死んでね。スイッチは当然きれない。写真は諦める。

さらに、理由不明でよく固まる。スイッチを切る。次にスイッチを入れると入らないのだ。感じとして、標準画質で目一杯、八十何枚かとると、残り1,2枚のところで、PCに写真を移せという警告が液晶に慌しく出る。そこで、慌ててスイッチを切る。で、Windowsを2分掛かって立ち上げ、USBケーブルを差して、準備万端、カメラのスイッチを入れてももう起動しない。こういうことが3度くらい連続してあった。

最初は電池の持ちが分からなかったので電池切れかと思ったが、そうではなかった。この警告が出た時にスイッチを切るタイミングか、あるいはもっと酷い場合、この警告の後、死ぬのだね。ただ、高画質ではこの経験は無い。どういう作りなのだろう?もっとも、5枚とか20枚とかPCに移しているからね。

が、3日くらい使い込んだらすこぶる安定してきた。デジタル回路はアナログ部品を四捨五入して実現しているからね。そんなことも安物ではあるんだろう。



2.電池は割と持つんだけどね。というか、電池の要らないカメラかと思うくらいもつ。写真を撮る分には。高画質で五百枚位撮れそうだ。四百枚くらいとってもまだ撮れる(ストロボ、2,3回使用)。ただ、調子にのってはいけない。上に書いたように往々にしてスイッチを入れてもレジュームでハングって一見電池が切れたのかと思わせることが何度もあった。ファームウェアが実にバグだらけなのだろう。そんな時には電池の蓋を開けてresetしよう。写真はパーだよ。

それから、電池の蓋を開けてもう一度閉めるとこれでメモリーチェックに入る。PC起動時にやっているあれ、あれと同じことだ。入るはずなのにウンともスンとも言わない。電池が無くなったのかと思わせる現象がおきる。しかし、まだあるはずだと信念をもって、開閉を何度も繰り返すとなぜかメモリーチェックが始まる。どうも蓋の接点もおかしいらしい。かなあ、そんな風には見えないのだが、とにかくいい加減なつくりなのだ。

で、調子にのって標準画質で100枚も撮り貯めていると、PCにつなごうとしてスイッチ入れたら電源が入らない。エッ!と思っても、これをバックアップする方法はない。100枚は海の藻屑なのだ。そこにあるのに手に入らないというモドカシイ気分だが、どうしようもない。

チップ2

なお、このメモリーは揮発性のSDRAMだから、電池は、常に使われてる。スイッチを切ってもね。抜き出さない限り、減り続ける。

だから、ワンセッション済んだら、つまり、どこかに行き、20枚撮ったら、すぐ写真をPCに移そう。

でないと、いつ写真がパーになるかわからない。この一点だけで、このカメラは十二分に使い物にならない。 大切な写真を写そうなんて、思わないことだ。

相当余裕を残して、10枚か、20枚単位ごとに早めにPCに移す必要がある。これがモバイル中(カメラが欲しくなると言う事は旅行中だね)なんだから、今度はPCの電池が怪しくなる。少なくとも標準電池では不安なので、PC本体より重いんじゃないの?って言いたくなる仕様上8時間は持つ--ということは実際には4時間くらい--、大容量バッテリーを付けて、肩にかばんのベルトを食い込ませながら歩くことになる。どうせ運んでるんじゃないのって?拠点、拠点ではそんなもんホテルに置いておくよ、普通は。拠点間の長距離移動時に必要なだけだからね。だから常には運んでない。それを常に運ぶはめになった。

この、電池が切れる前、早めにPCに移すというのは、最初のハングる話と併せて重要なことなのだ。電車で移動した後で、さあ、写真をPCに移そうとしたら、電池が途中で切れた(一応、バスパワードだけどね)、カメラがハングッた、で、写真がパーになるので、もう前の場所の写真は諦めるか、もう一度戻るかするはめになる。途中で知り合った可愛い娘の写真ならもう二度と写せない。

ここまで、読めば、買ってはいけないと思うでしょ。

更に駄目押しの3.USBでつないでも、あのドライブを認識している、なんというか、Windowsが忙しくしていそうな砂時計がでてこない。ついでにエキスプローラにドライブも出てこない。最近はやりのUSBフラッシュメモリーは、あれ、標準IDEインタフェース、簡単にいえば、ハードディスクと見なされている。だから、あの親指程度の大きさの中にHDDに見せる回路が入っているのだ。このお陰で、エクスプローラにドライブとして現われ、簡単にD&Dでファイルをフォルダごと、コピーできる。普通のデジカメもそうなっている。

でも、これがダメ。ドライバーを入れ損なったかなと思い、焦ってマニュアル読んだら、専用ソフトからしか転送できないと書いてある。で、この専用ソフトなるもの、スキャナーの読み込みソフトなのだ。どこにも、スキャナとも、TWAINとも書いてないが、分かる人には分かる間抜けなTWAIN規格なのだ。で、どうなるか?まず、ソース選択なるおまじないを行なう。

で、とにかく転送メニューを選んで転送する。えらくゆっくりとしている。とてもUSB1.1の12Mbpsとは思えない。もう、忘れかけている112.5kbpsシリアル転送くらいの速度だ。標準だとjpgで50〜100KB(高画質で平均、その4倍)。4、5秒/枚はかかっている。まあ、それも許そう。安物なのだ。でも、どうしたら、安いからって、わざわざ遅いドライバを書けるんだろう。これも謎だ。普通にかくと、速くなるよ。手間かけて遅いドライバ書いてるのかなあ、安いんだからお客の期待を裏切って高速転送しては申し訳ないって。いや、きっとシリアルの流用なのだ。これは嘘っぽいけどね。

でも、TWAINだから、こんなアホ専用ソフトは捨てて、手持ちのスキャナ用ソフトなら何でも使える。driverだけ入れればいい。これが、なぜか2回入る。スチルカメラのものと、それから10秒くらいたってまた新しいハードを見つけたという。ビデオカメラだ(動画も撮れるのだ)。で、両方のドライバを入れる。手持ちのUleadのスキャナ用ソフトでやってみたら速い速い。ドライバじゃなく専用ソフトが滅茶苦茶な手抜きソフト。中学生の工作なのだった。

更に、ここからが許せない。運良く、100枚を転送ができたとしよう。専用画像ソフトのウィンドウ内にはぎっしりと100枚の写真が詰め込まれている。

この図は3枚だけどね、こんな感じで詰め込まれる。

mixel01.jpg これをどうやってエクスプローラで扱える普通のファイルにするの?という疑問が当然に湧いてくる。一挙にファイルに書き出すコマンドがきっとメニューにあるよね、ってまともな人間なら考える。技術者じゃないよ、普通の人ならそう考えるでしょ。

ところが、その期待は裏切られて、マニュアルには、「ファイル→名前を付けて保存」で保存してくださいと書いてある。つまり100枚もあれば、普通のWordでも、Paintでもなんでも良いが、保存する時のあの面倒な手続きをしないといけない。普通のUSBメモリーなら、エクスプローラのD&D一発だが、100枚あると、何十分かかるかね?

ショートカットキーを連打してもなにやら腱鞘炎になりそうな気がするよ。これで賠償請求できるんだろうか。写真の保存方が悪く、その為に腱鞘炎になったって。アメリカならありそうだ。何しろ、マクドナルドのハンバーガを食べ過ぎてブヨブヨに太ったのは自分の頭が悪いわけでも意思が弱いわけでもなく、そういうものを食べさせるマクドナルドが悪いなんて訴訟が起こせる国だから。ああ、マックのハンバーガも「買ってはいけない」なのかねえ?居候は、良くお世話になっているが、肥満度10%だ。人生すべからくバランス、節度なのだ。

で、更に頭にくるのが、この保存、標準で、jpgになっていない。psfとかいう、この間抜けたソフト専用の形式で、ダーレモ読めない。保存する時に、うっかりjpgへの変更を忘れると、悲惨なことになる。もう一度このソフトで1枚ずつ読み込んでは保存しなおさないといけない。

それから100枚も保存していると、途中でPCがハングるかも知れない。Windowsだからね。1枚に普通の人なら5〜10秒かかる。10秒として全部で15分くらいだ。気が滅入る。ショートカットキーの連続打ちでも3分以上かかる。手が遅いのじゃない。ソフトが遅くて手が待つのだ。多少先打ちはできるけど、それだって限度がある。人間の手より、コンピュータの方が遅いという世にも稀な、ひょっとしたら世界に唯一つしかないソフトなのだ。起動時に女性の顔など出している暇があったら、こちらにコーディングの力を注いで貰いたい物だ。

PCがハングったら、つながっているカメラにどんな影響があるのか、普通に終了しても、このカメラではハングらないという保証はない。カメラもPCに連れてハングる可能性が高い。そうなれば、写真は海の藻屑。。。だから居候は、一枚ずつ保存するなんて嘘だろ、って思って日本語マニュアルを信じず、原語のHelpを見ようとしたら、こちらも翻訳されていて、微かな期待は裏切られた。

チップ3

そこで裏技;

写真をカメラからPCに全部転送したら、即、ALT+F4(ウィンドウ右上の「X」をクリックしてもいいけどね。揺れているバスの中ではマウスカーソルの位置合せができない。それからこの専用ソフトのウィンドウを前面に出してからAlt+F4だよ。でないと、今、前面にあるソフトが終了してしまう)でこの専用ソフトを終了してしまう。そうすると、写真を保存するかと1枚毎に聞いてくるので、Enterを押しているだけでどんどん保存される。このEnterは、先押しできる。PCが保存するタイミングより数枚分早めに押しタメテおくと効率が良い。

保存先は、デフォールトで「My Pictures」。

最初の1枚だけは、拡張子をpsfから、jpgに変えておくこと。

(2枚目からはこの設定を覚えていてjpgで保存してくれる。)

でないと、後で一枚一枚合計1000枚を読んでは書き出しするみじめな事になる。

あるいは、手持ちの優れたスキャナソフトで読み込む。これだと、一瞬で済むかもしれない。とにかくこの付属ソフトは遅いのだ。

このソフトが読み込んでいて、現に表示されているのに、なぜ、保存されていないの?どこかにあるんじゃないと気が付いた貴方は鋭い。そう、エクスプローラは知らなくてもこのソフトは写真のHDD上のありかを知っている。そりゃそうだ。自分で書き込んだのだもの。だから保存すればエクスプローラにも見えるようになる。保存とは、自分(ソフトね)が抱え込んでいるデータをエクスプローラに見える形にする、つまりファイルにするという操作なのだ。

その前はどこにあるの?なんていうか、貴方の才能のようなものだね。ある事は貴方は知っているが、世間は認めないんだなあ。それを認めさせるには、何か手続きが必要で、例えば、田中さんのようにノーベル賞を取るとか、文化勲章を貰うとかね。でないと、自分が才能があるって、自分のことだから分かるけれど、他人には分からない。

この専用ソフトは読み込んだ写真を自分の決めたHDDのどこかの領域に書いてもっているんだが、エクスプローラにそれを教えていないのだ。保存するということはエクスプローラに渡すということなのだね。で、恐い事は、PCがダウンして、もう一度そのソフトを起動しても、さっきの事はもう覚えていないんだ。ファイル化されていないで、一時的に持っている場合は、自分でも、一度死んだら忘れてしまう。そういうことなのだね。

それから、この専用ソフトで取り込んだ画像は全部保存が済むまで、カメラはUSBに付けたままにしておこう。このUSBが上のスピードと合わせて不可解なのだが、Meや2kでは、タスクトレーのPCカードアイコンに現われるはずなのに、現われない。で、そこから終了させられないのだ。う〜ん、ますますシリアルの流用っぽい。そのままケーブルを引っこ抜いてみたら、案の上、時々だが、フリーズした。で、フリーズしたWindowsを生き返らせる術はないので、写真は海の藻屑。。。

それから、PCをサスペンド/レジュームで使っていては、カメラを認識しないことがある。これはカメラの問題ではなく、ACPIの問題だろう。PC/Windowsの問題だ。

チップ4

写真を全部保存したら、PCをシャットダウンして電源を切り、それからカメラがつながったままのUSBケーブルを外すのがこのカメラを使う作法なのだ。

更に、100枚の写真を死ぬ思いで保存して、専用ソフトを終了する。この時、100枚の写真が残っていると(保存した後、その写真のウィンドウを「X]をクリックして閉じていないと)、なんとこれを1枚づつ閉じ始める。そんなアホな事しないで、御願いだからソフトをいきなり終了して頂戴と哀願したくなる。で、1枚閉じるのにゆっくりと1秒くらいかけてやっているから、ソフトの終了に2分くらいかかる。溜息が出る位にアホなソフトなのだ。手持ちのスキャナソフトでお気に入りの物があったら、それを使うべきだね。

さて、最後6.画質だが、生の写真を例示しておこう。左が標準、右が高画質。

mixel02.jpg

標準画質では明らかに使い物にならない。字や、左の方のカラー文様を見れば明らかだ。

高画質でも苦しい。ボケボケだ。屋根のスレートみてごらん、潰れてしまっているでしょ。特に、左の方。smudgeかけたみたいだ。クレヨンで絵を書いて、指でグニュグニュと擦ってぼかすあれ。天然自然にsmudgeがかかっている。

30万画素って、普通はもっといい。これは画素や、jpgへの変換の問題じゃなく、純粋にカメラとしての機能が超酷いからだ。間違いなく、レンズ付きフィルムなんだね。それも日本製じゃなく、中国製か(いや、まあ、そうなのだが)東南アジア製の怪しげなレンズもどき付きCCDだ。よれよれプラスティックの一枚レンズなのだろう。プラスティックが固まった時にむらが出来たんじゃないの?という酷さだ。針穴写真機と良い勝負だ。レンズを5枚使えとは言わないが、2枚は使って欲しいが、いや1枚でもいいが、もっとカメラらしいレンズ使ってよねと言いたくなる。レンズはf11、シャッタスピード1/2〜1/100いうところか?ストロボ無しで比較的明るい室内(カメラ的には真っ暗。人間の目はすごいのだ)で撮ると、暗くならずに、ぶれるからシャッタスピードは可変のようだ。

チップ5

写真を見ながら、1780円にしては、まあまあの画質だなあ、と自分に無理やり言い聞かせる。 精神衛生上、必要な自己催眠だね。

このレンズでは晴れの日でないと、ぶれて使えない。機構とレンズはレンズ付きフィルムの流用ではないだろうかと最初、思ったのだが、写るんですのレンズはこんなに酷い代物じゃないので違う。それにCCDとSDRAMとMPUを積んで、ソフトや、USBケーブル(100円だが)を付けて、1780円なら、仕方ないが。。。これ、定価じゃないからなあ。

それと、ストロボつきだが、これは結構恐い。ストロボは電池を食う。電池がなくなったらそれまで撮った写真は宇宙の藻屑。。。

買わないほうが精神衛生上に良いよ。

何がいけないといって、フラッシュメモリーを使わない手抜き設計がいけないのだ。これ、使わなければ設計が恐ろしく簡単になる。どうせDRAMはMPUが使っているのだから、その領域に写真もおけばいい。ハード的にも、ソフト的にも極めて楽だ。フラッシュを入れた途端、SDRAMとは違うのだからコントローラが必要になるし、そうなればドライバーもいる。そういう面倒を嫌って手を抜くものだから叩き売りの対象になるという寸法だ。




218.PCが水爆級破滅的に超危険。すぐパッチ;バッファ・オーバ・ラン  buffer overrun   2003.8 目 次

216項で、同じ題名の項目を書いたばかりだと言うのに、またこれだ。もう書くのも疲れたし、216項の時と違って、一般紙、TVなどが騒いでいたので書かなかったのだが、でも、なぜ、何もせず、インターネットにつないでいるだけで危ないかを知りたい方もいらっしゃるだろう。少し、推測も混ぜて書いてみよう。

このwormは、
 ・ブロードバンドルータ(BBR)を入れている
 ・BBRのバーチャルサーバ機能を使っていない
の2つの条件が成り立っていれば、どんなOSを使っていようとも安全である。

理由は、下記を読んでくださいな。
    159:初心者用簡単ADSLセキュリティ確保法

それから、BBRのフィルタリング機能で、ポート135を閉じることができる人は、必要ではないが、閉じた方がまあ、良い。なんでもやれる事はやっておこうという意味である。ただ、1万円前後の安いBBRには内側から外側に向かうパケットのフィルタリング機能はあるが、外からやってくるパケットのフィルタリング機能はない。居候の2台のBBRにはなかった。でも、BBRがあれば、そもそも、あなたのPCは外から見えないのだから、Windows2000やXPがいくらListenしていても、BBRの基本機能が外からのパケットを捨ててしまっているので、安全である。


まず、危ないPCはWindowsNT系のOSだけだ。WindowsNT4.0、Windows2000、WindowsXP、Windows2003だけだ。Windows3.1、Windows95、Windows98、WindowsMeは安全だ。この居候のPCは、Windows98だから涼しい顔である。おまけにインターネットにつながっているYahooBBが、YahooBBの根元でTCPのポート(門だね)を閉じてしまったので、もう安心だ−−というか、既にYBBのネットワーク内に入り込んでいて、それを知らずに動かしている会員がいると、どこでポートを閉じているかによって安心はできないが、まあ、一応は安心だ。−−。

RPCとワーム、この二つが今回の事件のキーワードになっている。RPCとは、RemoteProcedureCallのこと。読んで字のごとく、「遠隔手続き呼び出し」つまり、PCに直接繋がっているマウスとキーボードでPCを使うのではなく、LANやWANのようなネットワークからPCを使うための手段だ。Webだって、あなたが自宅のPCから、どこか遠隔にあるWebサーバと呼ばれるPCをインターネットと呼ばれるWAN越しに使っているでしょ。そういうものの一種だ。「手続き」って、プログラムのことだ。

で、WindowsNT系のOSは、ネットワークOSとして作られているから、RPCのサーバ側機能を産まれつき持っている。Windows9x系のOSは、クライアント側の機能しかもっていないから、安全なのだ(それだけではなく、WindowsNTのプログラマと、Windows9xのプログラマは違うので、たとえ同じ機能を持っていたとしても、同じ危険があるとは限らない)。

WindowsNT系OSはあなたがしらない間にネットワークから、クライアントがつないでくるのをじっと待っている。Listen=聴く、という行為をしているわけだ。Listenは、電話からの連想だね。誰かが呼びかけていないかじっとネットワークを監視しているのだ。監視っていうと、悪い奴が入ってこないように見張っているというニュアンスがあるが、Listenはそうではない。蛮人じゃない、万人にたいして、(蛮人の方が適切だな)門戸を開放しているのだ。ちょうど電話番のようなものだ。で、呼びかけがあったらハイハイと誰にでも応じてしまう。この時、例のバッファ オーバーランのバグがあるものだから、相手にジャーと大量のデータを流しこまれると、死んでしまう。まあ、門番が死んで、門が開いたままになっていると思えばいい。なんでもし放題だ。

MSのプログラマーはどうもバッファオーバランという、まともなプログラマなら知らない者のいない現象を、まとまな大学ならキチンと教えているプログラム作法を、しらないとみえる。ということは、きっと、あちこちに、このバッファオーバランを起こすバグがあって、これからも同じことが山ほど起きる可能性がある。

ワームというのはworm、ミミズのような虫だ。bugのようなシラミやノミ系の虫とちがって、ノタクリマワルことを連想させる虫、というか、生物の連想からきている。つまり、一コンピュータのなかで悪いことをする虫ではなく、ネットワークというひとつの世界のなかでのたくり回っているミミズやウジの類いを連想すれば良い。

食物を甕の中に入れて1月もほっておくと、腐ってうじがのたくりまわっているでしょ(オェ)。あれからの連想なのだ。インターネットのようなネットワークが甕、MS Blasterのようなプログラムがワームなのだ。つまり、MS Blasterは、ネットワークを介して、どんどん感染し、ネットワークの中をのたくって行くのだね。もっとも、ネットワーク中をのたくりまわって、混雑させるだけではなく、PCその物を再起動の連続にするというウィルスの機能ももっている。最近のネットワーク社会では、ウィルスとワームの区分はもう必要ないのだが、昔からの因縁で、こういう言葉も使われるのだ。昔は、ウィルスは主にフロッピーで感染していたからね。インターネットなんてなかったから。

一般家庭でRPCでのListen機能なんていらないのにデフォールトでonにしたまま、XPや2000を売っているマヌケなMicrosoftの落ち度以外の何物でもない。それ以前にバッファオーバランが問題なのだがね。

*;ZD Net;国内でも蔓延し始めたMBlastを読んでBBRにアクセスコントロールのある場合、下記ポートを閉じよう。

自宅からインターネットを利用する際には、ブロードバンドルータやパーソナルファイアウォールの設定を確認し、TCP/UDP 135番のほか139、445、539、4444、UDP 69の各ポートをブロックするといった対策を推奨している。

      ----ZD Netから引用

ただ、139は、下記のような役割だから、LANで閉じると、ファイル共有が出来なくなる。

137-139   Microsoftネットワーク共有サービス/クライアント

Port 135 loc-srv/epmapによると、PORT135は、以下のサービスに使われている;こんなサーバは家庭では使わない、DHCP serverは必要なことがあるが、危ないWindowsのものなど使わなくても、ブロードバンドルータにその機能があるのでそれを使えばいい。DNSと、Winsなどは一般家庭では全くの無用の長物だ。

Some services that use port 135 of end-point mapping are:
DHCP server
DNS server
WINS server






219.mpg2をDivXに変換する 動画の超高圧縮  2003.8 目 次

213.TVチューナカード VideoStation VA1000 Power、Power VCRの使い方で過去のビデオテープを片っ端からmpg2にしたら、なんともHDDが足りなくなった。通常のmpg2は2GB/時間だから、ビッグドライブ非対応のマザーで使える事実上の最大容量のHDDは120GBで、60時間分にすぎない。これではいくらHDDがあっても足りない。もっと高圧縮率のコーデックにしなくてはということで、MPEG4をベースにしたDivXを試してみることにした。MPEG4は、元々、超低ビットレートのコーデックということで開発された。数百Kbpsでも使えるのだ。

mpeg2は4〜6Mbps程度が普通だ。DivXでは、この品質を1Mbps程度というmpeg1程度でできるという。mpeg1の品質はあまりに酷いが、それと同等か、低いレートで、DVD並の品質だという。つまり1時間程度の映像をDVDではなくCDに入れられるのだ。1Mbpsなら、1時間分の映像は、3600秒x1Mbit/8=450MBだ。700MBのCD-Rなら大抵のCD-ROMドライブにかかる。1.5時間分くらいは入るのだ。

mpg2→DviX変換を行う。勿論、全部ただ。DivXプレーヤもただ。

ただし、この変換、Pentium 1GHz程度で、実時間の10倍の時間がかかるそうだ。600MHzのクルーソのノートPCで試運転したら、20分弱程度のファイル(600MB)変換に5時間かかった

Webには山のようにDivXのサイトがあるが、意外に具体的かつ単純な方法を教えてくれるところは少ない。

Little Angel;第六章MPEG2をDivX化するAviutlの使い方(パソコンで動画編集(超初心者向け).htm)

が非常に参考になった。内容的には、ここを参考にして、少し、纏めてみた。

方 法


ソフトのダウンロード

まず以下を集める;

本体Aviutlをダウンロードする。

  2003.8.17現在、「2003/08/16 AviUtl version0.99 を公開」とある。

Aviutlでmpg2を読む為のプラグインMPEG-2 VIDEO VFAPI Plug-Inをダウンロードする。

  2003.8現在、「m2v_vfp-0.6.38.lzh (534,526 bytes, -LH5- 圧縮)」とある。

  1.ダウンロードして解凍したら
  2.Aviutl本体があるフォルダにm2v.vfpとm2vconf.exeをコピー

DivXのコーデックとプレイヤーDivX505Bundle.exeをダウンロードする。

類似のものに、DivXPro505GAINBundle.exeなどというのがあるが、このようにProが入る物は、ダメなのだそうだ。広告を出すadwareみたいないらん物がくっ付いているからだろう。

なお、このDivXコーデックをインストールしておけば、Windows Media Playerでも再生できるので、プレーヤは必須ではないが、付いてきてしまう。

Windows Media Playerより格好良いので良しとしよう。RealPlayerのようにWMPより重かったら捨ててしまおう。

クルーソ600MHz程度ではパワー不足らしい。mpg2の再生はできるが、DivXは圧縮率が高いだけにデコードが間に合わないのか、再生がまともにできない。詳しくは最後の実験の項を参照。


マニュアルパソコンで動画編集(超初心者向け.htm


付録として、以下もダウンロードしておくと良い。

プラグインインターレース解除2
   2003.8現在、「Ver0.06 2001/10/08 deint2_006.lzh 」とある。

MP3コーデック;128Kbps以上には、Lameが必要。Optimiser son PC
   フランス語では、downloadは、télécharger。
   英語でも、このままtelechargeでdownloadより良い言葉だと思うのだが。charge=loadだからね

MP3コーデック従来バージョン Windows Media エンコーダ

  これが必要な理由;
  パソコンで動画編集(超初心者向け.htmから引用
   MPEG1 Layer-3が選択できない場合は
   Windows Media エンコーダーをインストールしておくと選択できるようになると思います。
   たしかそうだったはず。。ちがうかも(爆)   −−引用終わり


  普通の人はインストール済みだと思うが。。。

  Windowsに、MP3のコーデックが入る他の理由はないので、これで正しいと思う。
  もっとも、LameACMを入れた方が良い。



で、これだけが必須+付録のソフトと解説だ。
Lameがないが、56Kbpsで良い人はいらない。


インストール

・Aviutlは、解凍したら、c:\program Filesにでもフォルダーごとコピーする

・MPEG-2 VIDEO VFAPI Plug-Inは解凍したら、m2v.vfpとm2vconf.exeをAviutlのフォルダーにコピー。

・deint2_006も解凍したら、全部Aviutlのフォルダーにコピー

・DivX、Windows Media エンコーダはインストーラが付いているから「はい」か「Yes」か「OK」か「Next」を押していればいい。

・Lameは、ACMというフォルダの中のLameACM.infを右クリックして、「インストール」を選べば良い。



最終的に、Aviutlのフォルダの中身はこのようになる。


設 定

ここで、m2vconf.exeを起動して設定する。それが終わったら、Aviutlを起動する。




m2vconf.exeを起動して設定する。
これは上記HPに従ったものだ。分からない項目もある。 CPU拡張は、MMXPentiumとPentiumIIならMMX、PentiumIIIならSSE、4ならSSE2が有効だからそのようにしておく。

アスペクト比は無視にするとリサイズしないので変換が多少速いそうだ。無視すると、オリジナルの画面の大きさからどのように変わってしまうのか分からない。まあ、やってみてください。

それが終わったら、Aviutlを起動する。




Aviutlを起動すると、このような味気ないウィンドウが出る。

ここで、メニューから設定をする。

メニューには、「ファイル」、「フィルタ」、「設定」などが並んでいるね。




これはCPUを100%使うためのもの。こうしておくと、マウスさえまともには動かなくなる。だから一度起動したら、簡単には終われない。とはいえ、こうしないと、何十時間もかかる。




システム設定を行う。



「最大フレーム数」を設定する。なぜ、こんなものがあるのか分からないが、あるのだから仕方ない。TVは30フレーム/秒だ。だから、1時間のTV映像なら、3600秒x30フレーム/秒=108000フレームになる


1画面は、525本の走査線から成るが、TVでは、1から順に525まで走査するのではなく、奇数番号だけ、偶数番号だけと、2回の操作で1画面=1フレームを作っている。奇数だけ、偶数だけの画面をフィールドという。だから60フィールド/秒だ。

このような走査法をインターレースという。交互走査と言えばいいのにね。interlaceなんて誰も知らん言葉でしょ。これに対して、1から順に(プログレッシブに)走査する方法をその名の通り、プログレッシブという。順次走査と言った方が分かり易いと思うのだが、相変わらず舶来志向のこの業界は、自分でも良く知らないprogressiveなどと言う言葉を有りがたがっている。画面が粗い時は、インターレースでもちらつかないが、PCではインターレースを解除して(デ・インターレース)プログレッシブにした方が綺麗な画面になる。

これで、一応の設定は終了。


変換実行

次は、mpg2のファイルをAviutlのウィンドウにD&Dする。かなり長い間、無反応になる。600MBのmpg2を600MHzのPCにほうり込むと、15秒以上固まったようになってしまう。この間、Aviutlが一所懸命、読み込み処理をしているのだ。

無地の画面に、映像が現れたら、

  ファイル→AVI出力

で、ビデオ圧縮をDivX Codec(AVIだよ)、オーディオ圧縮をMPEG Layer-3(MP3; 正確には、MPEG1 Layer-3だが、MPEGになっている)にする。ビデオ圧縮はMpeg2の1/4以下にはしたいから1Mbps程度か、それ以下。音声は、MP3だから128bps程度かな。この図は、56kbpsとなっているが、このMSのエンコーダでは、56KbpsでしかMP3エンコードができない。この音声、CDの品質だとか、ラジオの品質だとかあるので、MSのCodecをそのままAviutlが使っている。56Kbpsを越えるレートが必要な時は、ここを読むこと。

通常、56kbpsでは全く使い物にならない。会話のようなゆったりとした人間の声だけならなんとかなるが、ピアノのような破裂的な音だと、まるで使い物にならない。

DivXの設定は、Aviutlではなく、DivXで行う。スタート→プログラム→DivXにメニューが出来ている。 上図の「ビデオの圧縮」ウィンドウの「設定」ボタンからもできる。

後は、

 パソコンで動画編集(超初心者向け.htmを読んでもらいましょう^^;

注意事項

「MPEG-2 VIDEO VFAPI Plug-In」には以下の制限がある。

このように書かれている;
 ・AviUtl から使用する場合は、最低でも 256M のメモリを搭載した環境で
  使用することをお勧めします。
 ・MPEG Audio の読み込みは、現在 PS/SS からの MPEG-1 Audio Layer2 しか
  対応しておりません。

 ということだから、自分で作ったmpeg2ファイルがエンコーダでどのような音声設定になっているかで音声が読め込めない事があり、DivXでは、サイレント映画になる。
そんな時は、物凄く面倒な事になるが、

フリーソフトでDivXに変換しよう

を参考にしよう。

この方法では、多分、
  mpeg2→音と映像に分離→mpeg2映像をAVIに、音声をwavに変換→映像をTMPGEncでDivXに変換→
  音声を「午後のこ〜だ」でMP3に変換→Aviutlで音と映像を結合
という目も眩む手数がかかる。

さすがに居候は、ここまではやる気がない。DivX変換は1時間分の作業に1日仕事になるからだ。たとえ、2003.8現在、最速のP4/3.2GHzを使ってもね。


実験結果

 ・WindowsのMP3Codecでは、音声がMP3の56Kbps以下でしかエンコードできない。上にも書いたが、これでは音がなんというか、聞き取れないルルルルルという感じになってしまう部分がでる。音楽はまるで音にならない。音質が悪いというレベルじゃなく、オリジナルの音を再現できないのだ。

128Kbps以上にするためには、LameACMをインストールする必要がある。OptimiserSonPC

LameACMをインストール;
  http://missinglink.systems.ne.jp/001.htmlより引用

最近はIISコーデックよりもLameACMをお薦めしています。これはオープンソースのMP3エンコーダであるLameをACM実装(Windowsのコーデックに)したもので、ソース配布のLameからもビルド出来ます。ただし一般の方がLameをソースからビルドすることは難しいため、探せばバイナリで配布されているものも見つけられます。そういうのを見つけてファイルを解凍すると、LameACMというフォルダがあるものがあります。その中の*.inf(ファイル名が一定かどうか分からないため、拡張子がinfファイルを探して下さい)を右クリックして、インストールを選べば良いです。

ただし、AviUtlなどから使う場合はVBR(可変ビットレート)やABR(平均ビットレート)を選択しないようにして下さい。必ずCBR(固定ビットレート)を使用しましょう。これはVBRやABRを使うと音ズレの原因となるためです。ちなみにIISコーデックにはCBRしかありません。

   --引用終わり

  MP3の56Kbps問題に関するサイト

  http://missinglink.systems.ne.jp/001.html
  http://www.odysseus.co.jp/~meyer/tips/codec.html
  http://optimisersonpc.free.fr/download.html

 ・変換中、MPUはフル回転だから普段なら時々しか動かないファンが廻りっぱなしになった。ノートは冷却が弱いからPCの下に金属板を置き、その下には、−18度Cのアイスノンの枕を置いて冷却してもだ。PCの底に触ってみると穏やかな冷たさだが、それでもMPU表面は相当な発熱を連続してしているのだからファンが止まらないのだ。アイスノンの下に置いた週刊誌は結露を吸ってベタベタになる。

 ・再生;トランスメタ社のクルーソ600MHzノート

  WMPでは、音がまともにでない。映像は90%は間に合っている感じ。音は吃音のような感じになる。連続音のバックグラウンドミュージックが流れていると、「ポッポッポッポッ。。。」というような途切れ途切れな音になる。人間の会話もそうなって聞き取れない。当然だが、この現象は、MP3のレートを上げると一層酷くなる

ただ、MP3のレートは、オリジナルのレートと同じにしないと音と映像がずれると言う。ここまでは実験していない。今度、2GHzのデスクトップでやってみよう。

  DivX付属のプレーヤでは、音はまともに出るが、映像が止まり、止まりの再生になった。

  PowerVCRでは、DivX付属のプレーヤと同じような感じ。

オリジナルは、Mpeg2、4Mbpsの640x480、音声は、Mpeg1/Layer2 224Kbps、ファイルのサイズは600MB、約20分。できたDivX映像は、640x480で、ファイルサイズ115MBだった(700Kbps程度)。サイズは1/5以下になったが、使い物になる品質ではなかった。やはり1Mbps以上は必要だろう。1.2Mbpsにしてみたら、mpeg2と大して変わらないように見える。ただ、オリジナルももう古いのでそんなに良い映像ではないので、差が良く分からない。まあ、良く分からないのならいいか。。。




参考資料

ここが一番参考になった;
Little Angel;第六章MPEG2をDivX化するAviutlの使い方

DivXって何?と思った人はこちら;
山本雅史のソフトウェアコラムオープンソースビデオコーデック DivX

Aviutl入門;
http://www.odysseus.co.jp/~meyer/tips/aviutl.html

http://www.kjps.net/user/r2-m2/clare/dtv/aviutl.html






220.Windows2000で知らない内に自動起動しているソフトの止め方  2003.8 目 次

ソフトをインストールすると、知らないうちにタスクトレーにアイコンが増えて、くずソフトがバックグラウンドで起動して、CPUとDRAMを食っている。これを止めるにはいろいろな方法がある。

とりあえず、

Windows2000の場合;

スタートアップでは、
 Documents and Settings→administrator/AllUsersなど(あるいは適当なアカウント)→
 スタートメニュー→プログラム→スタートアップ

レジストリでは、
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

にある該当キーを削除。

但し、レジストリを間違って操作すると、二度と起動しなくなる。

サービスでは、

 コントロールパネル→サービス→自動で開始している物の中で当該のものを探す。

 但し、変なものを止めると、再開できなくなる。serverというRPC関係のようなアノテーションのあるものを無効にしたら、これを有効にするプロパティを出しているサービスだったようで、プロパティが出てこない。で、有効にできないので再インストールさせられた。裏技があるのかもしれないが、こういう自殺するようなことができる設定は困ったものだ。




221.ウィルスから身を守るささやかな、しかし基本的な施策  2003.8 目 次

やっと、MSBlasterが納まりかけてきたら、また新種のウィルスだ。でも、今度のウィルスは、気楽だ。知らない人から来た添付ファイルを開かないという極めて当たり前の事を守るだけでいいのだから

なんで、そういう無用心な事をするのだろうねエ、本当に。居候にも、スパムメールは山のように来るが、怪しげな知らない人間からのメールは皆、削除。美味しそうな話しは、皆、削除。勿論、開かずに。

ウィルスってのはプログラムなんだから、実行される必要がある。しかし、ウィルスの作者が自分であなたのPC上でそのプログラムを実行はできない。実行するのは、PCを実際に使っているあなたか、Windowsが自身でするしかない。

自分で実行する場合;

1.自業自得タイプのウィルス感染
ウィルスってのはプログラムなんだから、実行される必要がある。実行するには、例えば添付ファイルをダブルクリックしなければならない。あるいは、出所の分からないプログラムを友達からもらってダブルクリックするなどだ。こんなのに感染するのは利用者が悪いのだから自業自得だね。

OS(Windows)が勝手に実行する場合;

OSは、こういうことをされないためにあるのだが、バグだらけのWindowsでは、OSのバグで勝手に実行してしまうのだね。基本的には利用者はどうしようもない。ただ、やれることだけはやっておこう。

2. MSが悪いのだけれど、自分で守れるウィルスのタイプ
MSブラスタは、利用者には罪はない。MSが好い加減なプログラムを売っているからだ。これはブロードバンドルータで防ぐことができた。居候宅は、涼しい顔で済んだ。

  218. PCが水爆級、破滅的に超危険。すぐパッチ;バッファ・オーバ・ラン  buffer overrun  2003.8 
参照。

IEのActiveX、Java、Scriptを無効にしておくことも非常に重要な対策になる。

http://www.zdnet.co.jp/enterprise/0310/03/epn04.htmlにあるIEのセキュリティホールも、ユーザの知らぬ間に勝手に侵入される例だ。HostsというDNSの一部のファイルを書きかえられるので、Googleに行こうとしても、どこか他の怪しげなサイトに誘導されてしまう。Hostsは、URLをIPアドレスに変換するファイルなのだ。

  www.google.co.jp     123.45.67.xxx(IPアドレス)

というように書いてある。PCは、普通、Hostsなどは使わず、ISPのDNSサーバにアクセスしてこの表を見るが、PC内にHostsファイルがあるとそちらが優先されてしまって、もう見にいかない。だから、これを勝手に書きかえられたら、どこに飛ばされるか分からない。QHostsという名は、Hostsを触るところから付けられた。

3. MSが悪く、自分ではどうしようもないウィルスのタイプ
Webを見るだけで感染するタイプは、これもMSが好い加減なプログラムを売っているからだ。これは非常に恐い。利用者には何も防ぎようがない。MSのいい加減なパッチを入れるしかないのだから。

216. PCが水爆級、破滅的に超危険。すぐパッチ;バッファ・オーバ・ラン  buffer overrun  2003.7 


比較的ウィルスに罹りにくいPCの使い方。

・知らない人から来たメールの添付ファイルは開かない。
・知らない人から来たHTMLメールは開かない。
  よって、Windowsに付いてきたOutlook(Express)は使わない。
・ブロードバンドルータを入れる(モデム、ATの人は、一般にこの方法は使えない)
・怪しげなWebサイトにはいかない。
 行く場合は、IEのセキュリティを「高」にしてActiveXが実行されないようにしてからにする。
 怪しげサイトの怪しげダウンロードは画像でさえ.exe拡張子になっていてプログラムなのだ。
 だからダブルクリックすれば実行される。やくざのやることが碌なもので有るわけがない。
・IEを使わない。Netscape、Operaにする。IEを使うならActiveX、Java、Scriptを無効にする。
・出所不明のソフトをインストール/実行しない。


HTMLメールの恐さ
こういうスパムメール(といっても、これはこのHPの大家であるinfoseekからで、一応受信を認めているものだが)を削除しようと選択しただけで勝手にインターネットにアクセスしようとしたので、ファイアウォールが左のような警告を出した。このメール、HTMLメールなのだ。Edmaxはメールを選択するとプレビューしてしまう。どうもこれを止める機能がないらしく、どこを見ても陽にはそういうことができる設定がない。居候推奨メーラだが、こればっかりは頂けない。

このHTMLメールと、上記3の見るだけでウィルスに感染するWebサイトを組み合わせられれば、恐いことになる。ダブルクリックで実行しなくても感染するのだ。何やら知らないところからメールが来たからとメールをクリックしただけで、感染してしまう。

米国で漸く、MSのこのいい加減なOSに対して、訴訟が起きた。数百万人規模の集団訴訟になる可能性が有ると言う。OSをインストールする時、何が起きても文句は言いません的な誓約書にOKしないとインストールできない。これがあるから勝訴できないのではとも言われているが、どう言い逃れ様と、MSは独占企業だから、この誓約自体が公序良俗に反するやくざの脅しと同じだよ。何しろ、汚い手で競合他社を潰して来たのだから、我々ユーザは選択の余地がないのだからね。

まあ、そうは言え、米国の民主主義も表向きだけで、現政権も、GMに良いことは米国に良いことだといった、50年代と同じく、MSに良いことは米国に良いことだという態度だし、司法は行政の顔色を伺ってばかりいるから、余程、世論が頑張らないと、予断はできないがね。

011d.gifコーヒブレイク
GMに良いこと
かつてGMのチャールス・ウイルソン社長が国防長官就任に際しての議会証言で「GMにとって良いことは米国にとって良いことだ」と語ったが、産業の利益と国家の利益とを同一視することは今日ではもはや許されない。今後ブッシュ政権はオニール長官補佐の強力な財務省チームの形成に全力投球すべきだ。

(英フィナンシャル・タイムズ12月21日)




222.モバイルで易々とノートブックに侵入されないために  セキュリティ ホットスポット ホテル ADSL  2003.8 目 次

ホットスポットが徐々に増えている。ホテルもADSLという低価格・固定価格のインターネットアクセスが可能になったので、経営に負担を掛けずにインターネットサービスを行えるようになった。

恐いのは、この種のサービスは家庭内LANと同じ方法のことが多く、接続しているPCは、皆、LANの同じセグメントになることである。つまりブロードキャストができるのである。つまり、

マイクロソフトファイル共有ができるので、もし自分のPCがファイル共有を許していると、他人に丸見えになることである

Windows9X、つまりWindows95,98,98SE,Meなどの場合、元々セキュリティの概念がないから、ほとんど防ぐ手立てがない。一応、パスワードは要求する。でも、モバイルするPCは、ファイル共有しないことである。



もし、自分のPCのドライブやフォルダに、このような手で持って差し出しているアイコンが付いていたら、それは見も知らぬ他人にこのデータをどうぞ差し上げますと差し出していることになる。

 今すぐ、このアイコンを右クリックして、プロパティ→共有から、「共有しない」を選び、解除しよう

もっと確実にするには、そもそも共有サービスを起動しないことだ。

マイネットワーク、ネットワークコンピュータ(以下、マイネットワークで代表する)のどちらかを右クリック→プロパティに「Microsoftネットワーク共有サービス」が見えたら、これを選択して、「削除」しよう。モバイルPCは、Microsoftネットワーク共有クライアントだけでいい。家に持って帰って家庭内LANで他のコンピュータとデータの授受をするには、これだけで十分である。勿論、家に固定してあるPCはMicrosoftネットワーク共有サービスが必要なのは言うまでもない。



WindowsNT系、つまり、Windows2000とか、WindowsXPでも同様である。

共有サービスは外に持っていくPCでは動かすべきではない。


WindowsNT系ではもう少し頑健なセキュリティが図れる。

 ・ログオン時に、ユーザ名とパスワードで認証できる
  つまり、特定の人しかPCを使うことができなくできる。
 ・ドライブやフォルダー(結果としてファイル)へのアクセスコントロールを行える
  つまり特定の人しかファイルを見られないようにできる。
 ・ファイルを暗号化できる(Windows2000以降)

特定の人とは、ユーザ名やパスワードを知っている人とか、Windowsのコントロールパネルにある「管理ツール」からユーザに登録されているユーザ名の人とか(だからユーザ名やパスワードを知られると誰でもその人に成りすませる)である。

この3つを駆使すれば、かなり安全になる。外でのネットワークでは共有サービスは使わないことが原則だが、うっかり切り忘れていても、Windows9xのようにほぼ無条件で見られてしまうことは避けられる。


万が一、共有サービスが有効になっていると、マイネットワークから他人にPCの存在が見えている。ただ、そのPCのアイコンを他人がクリックしても、ログオンプロセスがあるので、ユーザ名とパスワードを要求される。ネットワークパスワードを言え、とか聞いてくるようなんだけどね。

WindowsNT,2000,XPを起動してログオンする画面が出ているところで、既に他のPCからファイル共有できる。つまり共有サービスが動いているのだ。ここで他のPCからファイルを共有しようとすると、ログオンプロセスが行われるようだ。つまり覗きPCにログオンしているユーザ名と同じ名前があなたのPCのユーザ名に登録されていなければ、パスワードを要求し、入力した時点で、「パスワードが間違っている」と言って拒絶する。危ないのは、administratorとguestだ。これはbuilt-inユーザ名(組み込みユーザ名。削除できない)で工場出荷時に設定されている。世界中のWindowsが同じユーザ名を持っている。だから、administratorやguestがあなたのPCにあると、覗き魔はその名前でログオンしてくる。そうすると、後、頼みの綱はパスワードだけだ。これが相手に分からなければ、パスワードを間違うのでログオンできない。ただ、guestのパスワードをguestや、passwordにしていたら容易に推測されるだろうね。

あなたのPCにadministratorもguestも無くて、相手がadministratorやguestでログオンしてくると、相手のOS上では、パスワードが要求される。「そんなユーザ名はありません」とは言わない。黙ってパスワードを聞いてくるのだ。でも、そもそもログオン名が違うのだから、たとえパスワードがどれかのユーザ名のものと一致していても拒絶される。当然だ。ユーザ名とパスワードは組になっているのだから。これはMSも多少セキュリティと言うことを知ってはいる作りになっているということだ。

とMSを珍しく誉めたら、Windows98からアカウントの無いPCに侵入すると、こんなメッセージになる場合もある。これじゃ、そのアカウントはないよと言っているので、セキュリティもへったくれもない。ただ、上のようにパスワードを要求してくる場合もある。Windowsは同じバージョンである。何が影響しているのかわからない。

このメッセージや、ユーザ名が違いますなどというメッセージがでれば、相手は、administratorは諦めて、guestで試すだろう。こうして色々なユーザ名を試すことができる。が、「パスワードが間違っている」と言われれば、本当はユーザ名が待ちがっているのか、パスワードが間違っているのか見当がつかない。セキュリティというものは、相手に何が間違っているのかという情報さえ与えてはいけないのだ。本当は、「パスワードが間違っています」も言わない方がいい。黙って、拒絶するのが一番良い方法なのだ。Unixは寡黙だよ。

さて、このログオンプロセスで、ユーザ名とパスワードが一致すると、つまり相手のPCの現在のログオンユーザ名とそのパスワードの組があなたのPCのユーザ群の中のどれかと一致すると、何も聞いてこない。いきなりあなたのPCのドライブやフォルダが見られる状態になる。この状態になったら、FATやFAT32のドライブは、読み放題、書き放題になる。NTFSでは、もう一段階のセキュリティが期待できる。ファイル(普通は、面倒なのでフォルダー単位で設定する)へのアクセスコントロールだ。ファイルを誰に読み書きするのを許しているかだ。例えば、アクセス許可を出しているユーザ名をahomsだけにしてあれば、たとえ、万能と思われているadministratorでも、このファイルは読み書きできない。

かくして、ファイル(フォルダー)に対するアクセスコントロールはかなり安全が期待できる。但し、これがEveryoneに許可されていたら万事窮す。おまけにWindowsはデフォールトでEveryoneにファイルへのアクセス許可が与えられている。それから、NTFS以外はアクセスコントロールは効かない。FATやFAT32を使っていたら、これも危うい。

だから、administratorなどでログオンしないで、この名前を変えてしまい、普段からそれでログオンするようにしておく方が多少なりとも安全である。administratorは世界共通だからね。Unixでは、administratorに当たるユーザ名はrootであるが、ネットワークアクセスではrootを許さないようになっている。Windowsは、この経験も生きていないので、administratorで入ることができる。このユーザ名は使うべきではない。削除はできないが、簡単に名前を変更できる。ファイルにadministratorでアクセス許可が与えてあると、全世界のWindowsユーザに許可しているようなものだ。もっとも、多分、パスワードは違うだろうから、多少安心だと思うが。。。とにかく、administratorは止めよう。今すぐ、名前の変更だ。これで、ひとまず多少は安全である。

あのVMSを作ったカトラーがどうして、WindowsNTみたいなまぬけOSを作ったか分からないという意見があるが、彼がVMSの全てを知っているわけでもないのだろう。

ついでながら、Windows2000では、ログオンプロセスがなく、電源を入れるとWindowsMeみたいにかってに立ちあがってしまう設定ができるが、これは直ちに止めよう。PCを電車に忘れたり、盗まれた時に機密情報が盗まれ放題になる。

 -コントロールパネル→ユーザーとパスワード
 -「このコンピュータを使うにはユーザー名とパスワードを入力する必要があります」に
  チェックを入れる。

で、一応、このログオンで守られているので、そこそこ安全では有る。が、ユーザ名がadministratorのままだと、これはWindowsで共通だからパスワードをpasswordにしているみたいなもので、最初の砦が破られている。というか、自分で開いてしまっているわけだ。頼りの綱はパスワードしかなくなる

おまけにguestアカウントをパスワードなしか、パスワード=guestやpasswordなどの簡単に推測できる、つまり覗き魔が必ず試すようなパスワードで有効にしてあって、ドライブやフォルダのアクセス権をeveryoneに許可していたら、ログオンもくそもない。Windows9xとほとんど変わりは無い。で、以下のアクセスコントロールの設定をしておくべきだ。



具体的な対策

全Windowsで、「Microsoftネットワーク共有サービス」を停止する。

特に、Windows9X、つまりWindows95,98,98SE,Meなどではこれ以外に強力で有効な手段はない。



このアイコンを右クリックして、プロパティ→共有から、「共有しない」を選び、解除。

マイネットワーク、ネットワークコンピュータ(以下、マイネットワークで代表する)のどちらかを右クリック→プロパティに「Microsoftネットワーク共有サービス」が見えたら、これを選択して、「削除」。

WinNT系では下記も併せて行う。これはモバイルではなくても常識的なことである。

guestを無効にする。



コントロールパネルの管理からコンピュータの管理を選び、ゲストを右クリックする。




そして、アカウントを無効にするにチェックを入れておく。(メニューの「操作」からもできる。NTではこれしか出来ない)

ついでに、ここで自分のアカウントを追加で作っておこう。グループはadministratorsにする。これで、administratorと同じ権限の強力なアカウントができる。グループ名は「s」がついているでしょ。administrator権限のアカウントは複数作ることができるのだ。

さらに、administratorを右クリックして名前の変更をしておこう。ahomsでもwindozeでもなんでもいい。と言っても、adminなんてだめだよ。この変更はシステムとして他に影響有るところは自動的に変更される。例えば、ドライブのアクセスコントロールで、administratorに許可が出されているような場合、当然ながら、ここで変更した名前に変わっている。

これであなたのPCに他人のPCと同じアカウントが存在する確率は格段に小さくなり、覗き魔がログオンできる確率は極めて小さくなる。もっとも、アカウントを、johnとか、taro、hanako、hirosueなんてありふれた名前やアイドル名にしていないことが前提だがね。


ファイルへのアクセスコントロール

エクスプローラやマイコンピュータで、ドライブ(なんならフォルダーも)を右クリックしてプロパティから、Everyoneを削除する。この図にはadministrators(グループ名だよ)があるが、これもダメ。すぐ削除。そして、自分のアカウントを追加してフルコントロールを許可しておく。あるいはadministratorを変更したアカウントを使ってもいい。

ユーザを追加する窓で、NTではアクセス許可を出すアカウントにユーザ名が出てこず、グループ名しかでてこない。同じ窓内に「ユーザの表示」とかいうボタンがあるので、それを押すと、表示される。 くれぐれもグループになど許可しないことだ。

もし、guestが許可されていて、それでログオンされてしまっても、このドライブは、これでguestには見ることができなくなる。この図では、administratorsグループに属するアカウントだけしかこのドライブは扱えなくなる。でも、これも削除だね。こんなものを残していては何の為のアクセスコントロールか分からない。administratorで侵入される危険がある。だって、ここまで来ているということは既にadministratorでパスワード破って入って来たという可能性が極めて高いからだ。それから、Everyoneって、全ての人だからね、そんなものがあると全ての人にファイルを開放していることになる。大らかな人だ。こんな恐いものを作ってはいけない。

もし、ネットワークでログオンを破られて侵入されても、侵入してきたアカウントと、ここで許可したアカウントが異なれば、その場で拒絶され、ドライブは見ることができない。


これは、単なる参考情報。そんな危険を犯してもファイル共有を削除したくない人は、せめてこの位はしておこう。

ドライブを右クリックして「共有」していても、「アクセス許可」をクリックして、このドライブを誰に共有許可をするかを設定できる。

これは、通常のファイルへのアクセスコントロールじゃなく、共有でのアクセスコントロールだ。




ここに、自分のアカウントだけを追加しておく。家庭内LANの他のPCも、この同じアカウント名にしておいて、そのアカウントでログオンすれば、そのPCからは共有できるが、他のアカウントからはたとえ、administratorであろうとも共有できない。

ここでadministratorなんかに共有許可すれば、このアカウントは、世界中のWindowsの工場出荷設定だから、多分、大多数の人は変えていない。だから、その人達が同じホットスポットやホテルのLANにいれば、見られ放題になる可能性がある。もっともそんな人達のPCは、こちらも見放題だろうけどね。ただ、覗き見を意図したデバガメどもが、自分のPCの共有サービスは止めて、共有クライアントは有効にして、わざとadministratorでログオンして覗き見するだろう。

でも、くれぐれも言っておくけど、MSのアクセスコントロール技術など信用せず、「共有しない」とすべきなのだ。



ファイルの暗号化
以上は、ネットワークにつないだ場合のセキュリティの話しだが、もし、PCを盗まれた場合、パスワードが分からないのでログオンできないからデータは安全だ、ということにはならない。あなたのPCからHDDを抜き出し、他のPCのセカンダリーにつないで、そのPCでadministratorでログオンすれば、見えるかもしれない。これも試していないので分からないが、Windowsのアホな作りをみていると、できそうだ。ドライブにアクセスコントロールを掛けておけばひとまず安心だ。もっとも、administratorやEveryoneに許可を出していてはお話しにならない。上の方でadministratorsグループに許可が出ている図があるが、あれもダメだ。

guest(無効)、everyone(削除)、administrator(名称変更)は全部消すか、無効にするか、名前の変更をしてあなたのPCから抹殺しておこう。

NTFSは、ログオンに対して安全だというだけで、ファイルを読むソフトを誰かが作れば、ログオンなどしないで、例えばDOSからでも、Windows95からでもファイルの内容は読めてしまう。このHPのどこかに書いておいた。NTFSforWin98のような名前のソフトだ。こんなものを作るのは簡単だ。プロなら半日仕事だ。

ログオンで守られるというのは、PCが盗まれないことが前提なのだ。盗まれなくても、夜、侵入して密かに使うことができれば、上のようなソフトでデータはごっそり盗まれる可能性がある。それで、Windows2000のNTFS5からは、ファイルに暗号を掛ける機能がついた。



フォルダ(ドライブはだめ)を右クリックしてプロパティを開く。右下に「詳細」ボタンがあるから、これを押す。「属性の詳細」ウィンドウが開くから、下の方にある「内容を暗号化してデータをセキュリティで保護する」にチェックを入れておく。これで、まず、読むことはできない。もっとも、ファイルを開く時、復号化が起きるから、遅いMPUで、大きなフォルダーだと、重くて何時まで立っても開かない。大まかな目安だが、500MHzくらいのMPUで、数千のファイルがあれば、数分はかかるだろう。フォルダをクリックしてから開くのに数分かかるというのはかなりのストレスを感じる。暗号化していなければ、瞬間で開くからだ。

家庭内LANでの注意
尚、家庭内LANでWin9x系とWinNT系が混在していて、上記のようにWinNT系のセキュリテイを強化していても、Win9x系からWinNT系のフォルダーを共有できるようにしていたら、これもセキュリティも何もない。WinNT系の比較的強固なセキュリティはWin9x並に落ちてしまっているよ。

Win9x系でログオンしているアカウントがあるね。Win9x系ではログオンを意識しないのでどういう名前でログオンしているか忘れてしまっている可能性もある。WinNT系のファイルが共有できているということは、そのアカウントがWinNT系のPCに登録されているということだ。さらにパスワードもね。おまけにWin9xでは、この組を記憶してしまっていて一度入れれば、後は勝手にそれで認証してくれる。

Win9x系では、ネットワークを組み込むと必ずパスワードを要求してログオンするように設定される。だから一応のログオンプロセスがあるが、TweakUIや、多分、窓の手などでログオンを自動化できる。こんなWin9Xが自宅やオフィスにあるとしよう。すると、Win9xはログオンプロセス無しに勝手に起動する。そしてアカウント名とパスワードの組は覚えている。この組は、WinNT系のPCにアカウントとして登録されているだろうね。なにしろ、WinNT系PCのファイルを共有しているのだから。

これで、もう分かったと思うが、泥棒があなたの家やオフィスに侵入してWinNT系PCの電源を入れても、滅多なことではログオンできない。でも、たまたまWin9x系PCの電源を入れてマイネットワークをクリックしたら、なんとあんなに苦労してもログオンできなかったWinNT系PCの全ファイルが見えている。


アカウント
口座。銀行口座もアカウントだ。PCを使うにはWindows9xでは、これは一応、あるがほとんど意味はない。家族全員が同じドライブを見えてしまう。他人があなたの銀行口座を見えることができてしまったら大変だ。WindowsNT系では本来のアカウントになっている。基本は、自分のフォルダしか見えない。アクセスコントロールをそのように掛けるからだ。誰が?普通は管理者がね。

アカウントには色々な情報が書き込まれる。銀行口座なら、氏名、パスワード、住所、電話番号、貯蓄高などなどだ。WindowsNT系のアカウントで我々に重要なのは、ユーザ名とパスワードだけだ。アカウントとユーザ名はしばしば同じ意味で使われている。文脈で何を言いたいのか分かれば良いのだ。






このページの先頭    目 次