243. Windowsに勝手に残るファイル名、URL、キーワードなどの履歴を消す IE   2004.12 目 次

これはWindowsXPでF1キー(Help)を押した時に発せられたパケットをファイアウォールが捕らえた所。こっそり送られるので、普通は気がつかないが、居候のPCは出て行くパケットは全て監視しているのでこうして引っかかる。

Microsoftという会社は小さな親切大きなお世話に徹していると見えて、プライバシー保護も何もなく、Windowsからわれわれのプライバシー情報を、PCに詳しくない人々にとっては、事実上勝手にインターネットを通して送っていると言っても過言ではない。これはM$に限ったことではなくAdobeAcrobatReader、VMwareなどたいていのアメリカのソフトはそれをしている。多分、使用許諾のどこかで書いているのだろうが、あんなものを、しかも英語で詳しく読む人は、職業人か変わり者以外にはいない。ひどいものだ。


これはアドビアクロバットリーダから発せられたパケットをファイアウォールが捕らえた所。こっそり送られるている。

192.150.18.34のポート80(通常はWebサーバが居る)と通信しているので、ブラウザでアクセスすると、forbidden=アクセス禁止になっている。アクロバットリーダから送られるパスワード付きのパケットしか受け付けないのだ。



さて、プライバシーにまるで考慮していない大きなお世話はWindowsにはいくつもある。スタートボタンにある「最近使ったファイル」というやつもそうだ。これは、タスクバーを右クリックして→プロパティ→詳細→クリア(Windows2000)で消さなければならない。

インターネットエクスプローラ(以下、IE)のURL入力窓の右端の下向き三角をクリックすると、過去にアクセスしたURLがずらりと出てくる。困ったものだ。

これは、IEのメニューから、

ツール→インターネットオプション→全般→履歴

 で、履歴のクリアをクリック。ついでにその左側の保存日数を0にしておこう。



これで、きれいに消える。

ところで、Googleなどで検索窓の上でクリックすると過去に検索したキーワードの一覧が出てくる。自分のPCをWindowsを残したまま、つまりHDDをformatせずに(formatしても、fdiskしても、FinalDataで復元できる事に注意)プライバシー関連のファイルだけ消して人に上げたりしたら、何を見ていたか、一目瞭然だ。これをどこで行っているか、自分で推測できる人はなかなかいないだろう。

Googleのcookiesかと思って、 IEのメニューから、

ツール→インターネットオプション→全般→インターネット一時ファイルのファイルの削除ですべてのコンテンツを消しても、同じことだが、%SystemRoot%Documents and Settings\logon名\Local Settings\Temporary Internet Files

の中身をContent.IE5の中身まで一々開いて消してもダメ。

Googleのページのソースから、スクリプトを全部消し、下記まで残してもまだシツコク出る。

<html>
<body>
<form>
<input maxLength=256 size=55 name=q value="">
</form>
</body>
</html>

試しに、上の7行をドラッグしてC&Pでメモ帳に貼り付け、ahoMS.htmlと言う名前(別に何でもいいが^^;)でhtmlファイルを作ってIEを立ち上げてごらん。出るものは出る。 FORMやINPUTの機能でもない。ということは、IEが犯人だ。

ツール→インターネットオプション→コンテンツ→個人情報

が犯人だ。



上図のオートコンプリートから、「フォーム」についているチェックをはずして漸く消せた。ついでに、こんなチェックは全部はずす。ああ、フォームのクリアも忘れないように。今記憶しているものは、チェックをはずすだけでは消えない。



共犯はここにもいて、こんなメッセージに、ああこれは便利だなどと思ってうかつに乗ると、オレオレ詐欺(振り込め詐欺)に引っかかったみたいなもので後が面倒だ。解除の方法を書いてないものはうかつに試さないほうが良い。

TweakUI(ツイーク・ユーアイ)は、Windows95時代から愛用しているが、2000やXP用もあるので、これを使えば起動時に全て綺麗にしてくれる。だから、いちいち履歴のありかを探さなくてもいい。ただ、当然ながら、Windowsの面倒しか見てくれないので、アプリの履歴は自分で探すしかない。

http://mroom.cool.ne.jp/windows/tweakui/tweakui.htmlからダウンロードでき、かつ詳しい説明がある。ちょっとインストールの仕方がおかしいから、よく読むこと。


多くのアプリケーションも履歴をもっているから、そのアプリのプロパティや設定、オプションというようなところから履歴を消しておくこと。消してもレジストリーに残っているかもしれないよ。

%SystemRoot%Documents and Settings\logon名\Local Settings\History

などにも残っている。ここは、一番上のIEのURLなどが入っている。直接にエキスプローラから消した方がいい。




244. クイック起動バーからデスクトップ表示アイコンが消えてなくなった。バー自体の位置も左から右に移った。再生法 IE   2005.1 目 次

あるPCカードのドライバを入れたら、クイック起動バーからデスクトップ表示アイコンが無くなり、おまけに今まで、左端に合ったバーがタスクトレーの左に移動してしまった。更に、結局、PCカードは認識さえされなかった。相変わらず脆いOSだ。

デスクトップ表示アイコンの復活法

最も簡単な方法は、他のログオン名のデスクトップからコピーして終わり。もっとも実際に見えているデスクトップからのコピーは無理、下記のエクスプローラのフォルダーから行う。

Windowsをインストールしたドライブ(C:とか、D:など。最悪Z:)にずらりとログオン名が並んでいる。ただし、「administrator」しか登録していない人は問題外。で、普通は自分の名前かニックネームを登録して、それでログオンして使っているだろうから、administratorにクイック起動がインストールされていれば、そこから「デスクトップの表示」アイコンをコピーしてやれば良い。 M$ならやりかねないので、他人のデスクトップが表示されたらどうしようと思って試したが大丈夫。

例えば、

c:\Documents and Settings\administrator\Application Data\Microsoft\Internet Explorer\Quick Launch 赤のところがドライブとユーザ名。





フォルダーのセキュリティでアクセス制御してあるだろうから、一つ位、どのユーザからも読み書きできるフルコントロールを許可したフォルダーを作っておけばそこを経由してログオンとログオフを繰り返してコピーすれば良い。もっとも、たいていの人はadministratorに全権を与えているだろうから、単に、administratorでログオンし、そのフォルダから目的のユーザのフォルダにコピーするだけで良いだろう。



adminisrator以外のクイック起動の設定。ここには何も入っていない。




以上の方法で解決できない場合、M$のサイトに下記の方法が掲載されている。
クイック起動バーに [デスクトップの表示] アイコンを再登録する方法: http://support.microsoft.com/default.aspx?scid=kb;ja;190355

結構面倒で、最も悪いことに、金を取って売っている物の瑕疵の解決の説明にしては凄く分かりにくい。

Microsoft Windows NT または Microsoft Windows 2000 の場合は、以下のフォルダにコピーします。
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch
Microsoft Windows XP の場合は、以下のフォルダにコピーします。
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch

--上記サイトより引用


2000とXPではパスが違うかと思ってしまうが、居候にはどう見ても差異がわからなかった。大体、家庭向け説明に%UserProfile%のようなメタ表現を使うべきではない。そのつもりなら、%SystemRoot%\%UserProfile%\と書くべきだし。ま、マイクロソフトなんてこんな程度の会社だから仕方ないと諦めよう。

このサイトの説明を簡単に書けば、(Windows2000、XPの場合のみ)

メモ帳で下記を書き(まさか全角で書く人はいないよね。念の為)

[Shell]
Command=2
IconFile=explorer.exe,3
[Taskbar]
Command=ToggleDesktop

2. "デスクトップの表示.scf" という名前で Winnt\System32 フォルダに保存して、メモ帳を閉じる。

ファイル名は、通常、"デスクトップの表示.scf.txt" になるから、そのファイルを一度クリックして選択状態にし、F2を押して「.txt」を消す。(後ろに.txtが付かない保存法を知っている人はそれに従う)

3. マイ コンピュータを使用して、[デスクトップの表示.scf] ファイルを右クリックし、[ショートカットの作成] をクリック。 同じ場所にショートカットができる。

4. このショートカットを

c:\Documents and Settings\administrator\Application Data\Microsoft\Internet Explorer\Quick Launch

に移動し(コピーしたければそれでも良い。また、赤の部分は自分の環境に合わせて変更)、ショートカットの名前を2.のF2を使う方法で [デスクトップの表示] に変更。

以上。


もっと簡単な方法(どうして、M$はこのくらいのサービスをしないんだろう)

これで、分からない人は、下記アイコンからzip圧縮ファイルをダウンロードして、解凍

c:\Documents and Settings\administrator\Application Data\Microsoft\Internet Explorer\Quick Launch

にコピーするだけで良い。中身は上記のテキストだから、怪しげで心配な人は解凍したら、中身を見れば安心だ。





もうお分かりかと思うが、デスクトップでクイック起動バーにショートカットアイコンをD&Dすると、実際には、

c:\Documents and Settings\administrator\Application Data\Microsoft\Internet Explorer\Quick Launch

に入るわけだ。

タスクバーの位置の復活法



クイック起動バーの左端と左端にあるアイコンの間にカーソルの先端を挿し込む。ちょっと左にずれると←→の形になりクイック起動バーを広げるモードになり、移動しない。一見、移動したように見えても、それは領域が広がっているだけで、他の領域と交代するわけではない。



カーソルがこの十字形になったら「移動」モードである。移動したい方向にゆっくり移動する。


左に移動していくと、タスクの表示領域がどんどん狭くなり、なんだか抵抗して動かしにくいように感じるが、思い切って左端までグイと動かす。そうすると、タスク表示領域は、右にワープしてタスクトレーの横に移っている。

後は、領域の境界を示す端の縦棒(エンボス表示)を掴んでカーソルを←→状態にしてゆっくり引けばよい。



245. 137GB以上のハードディスクドライブ(ビッグドライブ)をWindows2000に付けられるか big drive ビッグドライブ HDD  2005.1 目 次

できる場合もあれば、できない場合もある、としかいえない。できる場合は、下記を参照。

ビッグドライブ以前のHDDは28ビットのアドレスしか持っていなかった。28ビットというのは桁数だ。電話は、03-1234-5678と10桁だから、論理的に、最大10億個しか電話番号を作れない、0〜9999999999の10億個だ。それと同じ事。

28ビットは、慣れた人なら暗算でできるが、詳しく書くと、228=28x220=28x210x210

=256x1024x1024=268435456

つまり、これだけの個数のアドレスを付けられる。

HDDのアドレスはセクター単位で付いている。PC-ATでは、1セクターは512バイトだから、
268435456x512=137438953472 となる。つまり、アドレッシングの為に28ビットしか持っていないと、約137Gバイトが容量の限界になる。それで、Maxtorが、big driveと言う規格を作った。まあ、誰でもできる。28ビットでは小さいから48ビットにしたのだ。これは、もう分かると思うが、
256x1024x1024x1024x1024x512バイトの容量までアドレッシングできる。
1024がK(キロ)、1024x1024がM(メガ)、1024x1024x1024がG(ギガ)、
1024x1024x1024x1024はT(テラ)だ。

よって、ビッグドライブの限界は、256x512テラバイト。つまり128ペタバイトだ。20年前340MB程度の3.5インチHDDの時代、137GBのHDDなど考えもしなかった。それを思えば、128PBのHDDなんてすぐできてしまって、また規格変更になるだろう。いっそのこと100ビットにしておけばよかったのに。

さて、Windows2000はビッグドライブ以前のもの故、これに対応していない。137GBを超えるHDDにWindows2000をインストールしようとするとどんな事が起きるか、それはM$でさえ知らない。神様しかわからない。うまくいくか、いかぬか、八卦のようなものだ。250GBまでは、なんとかインストールできていた。後は、SP4を掛けて、レジストリを書き換えれば使えるようになった(Maxtor、Fujitsu)。しかし、300GB(Maxtor)では全然うまくいかない。インストーラがでたらめにしかドライブを認識できない。容量を間違えるなどという甘いものではない。まったく出鱈目の表示がされ、どうにもならない。

WindowsXPをインストールする時に、10GBの基本領域を二つ作り、D:にXPを入れた後、Windows2000をCDから、C:にインストールしようとしたが、XPで作った2つの(そしてXPが入っている)パーテションを「フォーマットできていない」という。C:とD:なのだが、両方ともXPでフォーマットしてある。WindowsXPはNTFS5.1、Windows2000はNTFS5だから、Windows2000のインストーラはXPの行ったフォーマットを認識できないのだろうと思って(これは多分、嘘。居候は、XPと2000をデュアルで使っている。少なくとも、XPで使った後、2000で使えている)、2000のインストーラは「フォーマットするか」と聞いてくるので、「する」とした。延々とフォーマットを行った後、再起動、その後のインストーラのパーテッション認識は出鱈目で、記憶もできないが、感じとして、

不明の領域  865MB
不明の領域  789MB
  c     280000MB
破損領域   10MB
・・・

などのような出鱈目振りだ。フォーマットはともかく、パーテションは10GBx2個、残りは未使用領域のままだ。

こんなわけで、300GBへのWindows2000のインストールは断念した。

さて、本題。

ビッグドライブへのWindows2000のインストール方法。

0.そもそもPCのBIOSが対応していなければ、問題外。つまり、ここ2、3年くらいの新品同様PCでないとだめ。

1.なんらかの方法で、137GB未満のパーテッションを作る。10GB程度で作って、そこをWindowsとソフト領域にして、残りをデータ領域にするというのが良いと思う。(例;10GB+100GB+100GB+40GB)

2.上で作ったパーテションにWin2000をインストールする(できなければ諦める)

3.SP4を掛ける
以下から、SP4をダウンロード。ネットワークインストールなどと書いてあるから、ネットワークでSP4が掛かるのだと当然考えるが、これが通常のSP4ファイルをダウンロードする方法だ。下記サイトの中ほどにある。間違っても「高速インストール」など不安定なインターネットではしないこと。

Windows 2000 SP4 ネットワーク インストール

ついでながら、

Windows2000(SP4)ブータブルCD作成用バッチファイル

に、SP4(ReadMeにはSP3と書いてあるが、4も可能)を掛けたWindows2000のインストールディスクを作るツールがある。


4.レジストリを書き換える

方法は、M$の

Windows 2000 のビッグドライブ対応

に書いてあるが、ここに書かれているそのままでは、普通の人−−情報科学の専門家でない人−−には、分からないだろう。M$って、本当にマヌケばかりだ。

なお、レジストリーは、書き損じると、Windowsが起動できない可能性があるという酷い代物だから、自信の無い人はやらないように・・・と言っても、インストール直後なら、もう1時間無駄にするだけだけどね。 以下、M$のサイトに書かれている方法。

---------------------------------------------------------------------------
レジストリで 48 ビット LBA 大容量ディスクのサポートを有効にするには、以下の手順を実行します。

1. レジストリ エディタ (Regedt32.exe) を起動します。
2. 次のレジストリ キーを探して、クリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Atapi\Parameters
3. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
値の名前 : EnableBigLba
データ型 : REG_DWORD
値のデータ : 0x1
4. レジストリ エディタを終了します。
---------------------------------------------------------------------------

  −−http://support.microsoft.com/default.aspx?scid=kb;ja;305098 より引用

もう少し、詳しく書いてみよう。

1. レジストリ エディタ (Regedt32.exe) を起動します。
具体的には、

  スタート→ファイル名を指定して実行→regedt32 と入力してEnter

2. 次のレジストリ キーを探して、クリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Atapi\Parameters
HKEY_LOCAL_MACHINEタブを前面に出す。

「+」をダブルクリックして開いていく。
ここでは、既にEnableBigLbaを入れてしまってあるが、こんな物は最初はない。

3. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
値の名前 : EnableBigLba
データ型 : REG_DWORD
値のデータ : 0x1


さて、ここで、下の図のような場面になるが、どうやっても、「0x1」は入力できない。

実際の入力の仕方は
「16進数」の所をクリックして、「1」を入力する。



0xというのは、16進数を示す記号だから、これを入れる代わりに「16進数」のところをクリックしておくのである。 16は、「hexa decimal」。hexaのxを16進数を代表する記号に使っているなんて、一般人が知るわけもない。

余談だが、コニカのレンズをヘキサノンというが、これは小西六の「六」を示すhexaを語源にして命名したのだ。ちなみにキヤノン(キャノンではない)はCanonレンズとママであるが、Canonは英語の大砲ではなく、日本語の観音の事。創業者が観音様が好きだったかららしい。ニコンは日本光学でこれもママ。ニコンレンズ。オリンパスはズイコー、ミノルタ(実る田)は、ロッコール、これは六甲だったかな(保証無し)。脱線は止めて。後は辞書でも引いてみれば分かる。ついでに、8進はoctal。蛸は8本足でoctopus。bitはbinary digitからの造語だ。


4. レジストリ エディタを終了します。



SP4を入れても、このレジストリーの書き換えは事実上必須だよ。

M$のサイトには、下記のようにかかれているが、どんな時にこのキーが作られるか分からない。

・Windows 2000 Service Pack 3 (SP3) をインストールする前に 48 ビット LBA を有効にする修正プログラムをインストールしている場合、SP3 のインストール時に適切なレジストリ キーが自動的に作成され、ハード ディスクのデータの整合性が確保されます。

Windows2000では、SP3からbig driveにドライバーは対応している。それなら、SP3やSP4で、このレジストリも書き換えてくれればいいではないか。なぜ、こんな危険なことをM$はユーザにやらせるんだと言いたくなる。

上記、

Windows 2000 のビッグドライブ対応

に書いてあるが、ビッグドライブとそうでないドライブを付けた時や、レジストリを書き換えたり、SP3,4をアンインストールした時に矛盾がでると、それに対応できず、データを壊すからだそうだ。WindowsXPでは、そんなことは起きないようだから、SP3,4が手抜きしているだけだ。ま、SPのアンインストールだけは困るだろうが。

----------------------------------------------------
注 : システムの最小要件を満たさない状態で、上記のレジストリ キーを編集して 48 ビット LBA ATAPI のサポートを有効にすると、以下の現象が発生することがあります。

・デフォルトで 48 ビット LBA のサポートが有効にされていないオペレーティング システム (Microsoft Windows 98、Microsoft Windows Millennium Edition (Me)、Windows 2000 など) が 28 ビット LBA の限界 (137 GB) を超えるパーティションにインストールされている場合、データが破壊されたり失われます。

・デフォルトで 48 ビット LBA のサポートが有効にされていないオペレーティング システム (Microsoft Windows 98、Microsoft Windows Millennium Edition (Me)、Windows 2000 など) を 28 ビット LBA の限界 (137 GB) を超えるパーティションにインストールしようとしても成功せず、一時インストール フォルダが残ります。
----------------------------------------------------

http://support.microsoft.com/default.aspx?scid=kb;ja;305098から引用

なお、自作の場合、M/Bに添付のM/B用ドライバーを入れないと、Win2000やXPのタスクトレーに、時計以外、色々なアイコンがぜんぜんでないことがある。



246. オンボードで付いているワイアレスランをWindows XPで設定する方法  無線LAN wireless LAN 無線ラン 2005.1 目 次

ワイアレス・ラン機器は、操作性に関しては最悪の機器で新しいメーカの物を使うたびに気が滅入る。もうちょっと、頭を使ってヒューマンインタフェースを作ってくれないと、とても一般家庭では使えたものじゃない。

たいていの場合、ワイアレス・ランのPCカードのドライバーとユーティリティをインストールするとユーティリティとしてワイアレス・ランを使えるようにするソフトが入ることになっている。ワイアレス・ランを使うためには、このユーティリティをインストールして複雑怪奇な、馬鹿が作ったとしか思えない仕様の設定をしないと使えるようにならない。ドライバーを入れたが、何がどうなっているのかさっぱりわからないという人が相談に来た。ユーティリティを入れる事を教えてあげたら、一応、WEPだとかSSIDとかはご存知だったので、すぐ設定できた。そのような設定にユーティリティが必要なことをご存知なかったのだ。

ところで、最近のノートパソコン(居候はLet'sNote)を買うと、このワイアレス・ランがオン・ボードで付いている。PCカード型のワイアレスカードを自分で買ってくる分には、一応マニュアルを読むし、何だかわからないが付属のCD-ROMのソフトをインストールするから、どうも設定ユーティティがあるらしいとわかる。ところが、オンボードでは、この儀式がない上に、Let'sNoteのマニュアルが悲惨なくらいひどく、の設定をどうしていいのかわからない状態になる。

ああ、OSはWindowsXP。すでに、IOデータやら、コレガやら、バッファロやら、いろいろなメーカ品を使っていると、そういう設定は、メーカのユーティリティからするもの。で、ユーティリティはタスクトレーにアイコンが出ていると思い込んでしまう。ところが、Panasonicにはそんなものはない。ワイアレス・ランのスイッチとか、ネットセレクターとかのアイコンはあるのだが、どの項目をひっくりかえしても設定などできそうにない。

スタートボタン=>すべてのプログラム=>PanasonicとPanasonic Wireless Display=>Wireless Manager

なんてもっともらしい項目があるが、「なんでdisplayなんだ?」という疑問がある。疑問どおり、何の役にも立たない。

さて、ここからが本番だが、WindowsXPでは、OSでワイアレス・ランの設定ができるらしく、メーカの設定ユーテリティが要らないらしいのだ。ところが、悪名高いM$の設定ソフトだから、通信メーカ以上に使いにくい。とても直感的に使えるような代物じゃない。以下、その設定法。



1.Let'sNoteでは、 まず、タスクトレーに図ので囲ったアイコンの両方かどちらかか、があることを確認。これらがないと多分、ワイアレス・ランは使えない。

で、で囲った稲妻形をしたアイコンが内蔵のワイアレス・ラン機器のスイッチ。一度クリックするとメニューが出て、電源の入り、切りができる。稲妻に赤色の駐車禁止のマーク(○に斜線)が被さっていたら電源オフになっているから、クリックしてメニューから電源を入れよう。

の方は有線LANカードやモデムをPCカードスロットに挿しているとき、ネットワークカードが内蔵のワイアレス・ランと2つ(以上)あることになる場合があるので、どれを使うのかを選ぶもの。なんだか、大きなお世話で、そんなものつける暇があったら折角のワイアレス・ランの簡単設定ユーティリティでもおいとくれと言いたくなる。で、この2つのアイコンがどうも依存関係にあるらしく、必ず2つ現れるとは限らないらしい。工場設定では2つ出てくる。

さて、○稲妻のスイッチでワイアレス・ランの電源を入れ、念のためのアイコンであるネットセレクタをクリックしてWirewlessLANが選択状態になっていることを確認する。

右図は、ネットセレクタを出したところだが、WirelessLanが選択状態にあることがわかる。下にタスクトレーがあるが、右から二つ目の稲妻形のアイコンに丸に斜線アイコンが被さっていて、電源がoffであることを示している。



2.次に1.の図で、左端にある楕円で囲まれたアイコンをクリックする。このモニターが2つ重なっているアイコンはネットワーク設定をするもの。クリックすると右図が出るので「詳細設定」」をクリック。



すると、右図が現れる。このページの使いにくさは、「設定」と「運用」がひとつの窓のなかでグチャグチャになっているからだ。こういうのを作る人間の頭の中はきっと、これと同じにグチャグチャなんだ。切り分けということができないんだなあ。

「Windowsを使ってワイアレスネットワークの設定を構成する」という日本語もどきにチェックを入れておく。これが、おそらく、コレガやエレコムなどのネットワーク機器メーカの設定ユーティリティを使うのではなく、Windowsで設定するんだよ、ということなのだ。Lets'Noteには、メーカのユーティティがプレインストールされていないので、これしか選択の余地がない。

ここで、プロパティをクリックする。

「アソシエーション」というなんだか意味不明のタブがある。これは貴方の知識が足りなくて、なんだかわからないのではない。英語版Windowsの日本語化をしている日本のマイクロソフトの翻訳者が、なんだかわからないので、そのままカタカナにしたのだ。associationを訳せなかったのだね。ま、よくあることだ。そういう翻訳者が訳したこのページの日本語は悲惨で読者は全然理解できないだろう。

011d.gifコーヒブレイク
アソシエーション

  こういう広範な意味を持つ語の翻訳は、実の所、かなり難しい。米Microsoftのプログラマーも、ここにどんな言葉を使って良いか名案が思い浮かばなかったので、やっつけのいい加減な名前をつけたのだろう。それを読んだ日本の翻訳者は、何のことかさっぱりわからず頭を抱えて、英語のままカタカナで書いたわけだ。

associationを小さな辞書で引くと、「連合,合同,結合;組合,協会;連想;交際,親密」という訳が出ている。要するに、何かと何かの連関なのだ。今の場合、「ワイアレスネットワークカードと、アクセスポイントとの連携」なのだ。

以下に、何度も出てくるように、アクセスポイントとLANカードは同じ設定にしておかなければならない部分がある。それが、この「連携」ということのつもりで、Microsoftのプログラマーは使ったのだろうが、こんな一般的な言葉じゃ、他人には分からない。

せめて、「アクセスポイントとの連携」、スペースが許せば、 「アクセスポイントと同じにしておくべき設定」とでも書いておかなければね、分かるわけない。翻訳者の罪ではなく、英語側の記述者の罪なのだ。「Association with Access Point」と書いてあれば訳せたかもしれない。


まず、1.ネットワーク名(SSID)には、貴方のアクセスポイントを使うすべてのパソコンに同じ名前を入れておく。そしてアクセスポイントにもその名前を入れておく。英字で適当に付ければいい。字数制限は当然あるだろう。100字もの長い名前をつける変人さん以外は、常識的な10文字くらいにしておこう。wagayanetとか、mynetとか、itoukenetなど何でもお好きに。

これでお気づきだろうが、SSIDは、一つのアクセスポイントを中心にしてそのユーザとなるパソコンが作るグループなのだ。もし、家にもう一つアクセスポイントを置いたら、異なる名前にしておく必要がある。でなければ、パソコンはどちらのアクセスポイントに接続してよいかわからなくなり、確率的にどちらかに接続して、ユーザの意図せぬ問題を引き起こす可能性がある。


ご近所にアクセスポイントを使っている家庭があって、そこが偶然我が家と同じSSIDをつけていたらご近所のアクセスポイントにつながって、かつ、ご近所のパソコンがファイル共有していたら、中が見えてしまう。逆はまた真なりで、こちらのファイルも覗かれる可能性がある。

よって、暗号化は必須なのだ。

それが、ワイアレスネットワークキーという分かったような分からないような変な名前になっている項目だ。

011d.gifコーヒブレイク
ご近所のアクセスポイントにつながって

 

アクセスしてくるwireless lan cardをアクセスポイントで制限(アクセスコントロール)しておくのがベスト。MACアドレスフィルタリングとか、アクセスコントロールとかの名前になっている。

LANカードには、どこかに必ず、

MAC address:00-0E-35-・・・

などのような数字が書いてある。

MACアドレスは、physical address(物理アドレス)とも言う。

オンボードの場合、スタート=>アクセサリ=>コマンドプロンプトで、

ipconfig /all

と打てば、出てくる。図のphysical addressがそうだ。00-0E-35・・・と出ている。

問題は、MACアドレスの表記法が決まっていないことだ。M$は、図のように、2桁の数を-でつないでいる。しかし、一般的には:でつなぐ。00:0E:35・・・のように。

バッファローの無線LAN担当は相当間抜けなのか、バッファローのカードには、MAC 00-0E-35・・・と書いてある。で、バッファローのアクセスポイントにそのとおりに登録しようとすると、「間違っているから登録できない」という意味のメッセージが出る。ここがアホなのだが、どう間違っているのか、正しくはどのように入力するのかという肝心の事を教えないのだ。「書式が間違っているから登録できない。00:0E:・・・のように入れてください」と書くだけでいいのにもかかわらず、そんなことにも気が回らないらしい。 あきれたことに、バッファローのアクセスポイントは、バッファローのカードに書いてある書式を受け付けず、00:0E:35・・・と入れるようになっている。これには、開いた口がふさがらなかった。



2.ネットワーク認証・3.データの暗号化

ここでは、暗号化の方式を選ぶんだと思っておけばよい。もっとも、勝手に選択できるのではなく、アクセスポイントに設定したものと同じにする。でなければつながらない。だから、これを設定しておけば、他人に我が家のアクセスポイントにアクセスされなくできるのだ。

暗号を解くのが易しい順にWEP、WPA-PSK/TKIP、WPA-PSK/AESとなる(図の2と3で選ぶ)。もし、貴方の家のアクセスポイントとパソコン側のワイアレス・ラン・カードがすべて、WPA-PSK/AES対応しているのなら、それにしておく。ま、WEPでも結構な暗号だから普通の人に解けるわけがないので、まず大丈夫だとは思うが。

WEPは、暗号のキー(4.で入力するパスワードのようなものから生成する暗号化キー?とでもいうのかな。居候もよくしらん)を変更することがないので、長い間傍受(盗聴)していれば、パターンが解読できるとは言われている。5行の暗号化文章を見ても解読は難しいが、何万ページもあれば、解読しやすくなるのと同じだ。

WPA-PSKでは貴方がアクセスポイントに設定した時間ごとに自動で暗号化キーが更新されるので、解読が極めて困難なのだ。この更新時間間隔設定はアクセスポイントで行う。ここでは行わない。2000秒とか、3000秒とかで十分だと思う。WEPでは、3000秒程度盗聴できれば解読できるといわれている。WPAは、もっと強固な暗号を使っているから大丈夫だろう。AESは、米軍が使っている標準暗号だ。3000秒の盗聴で解読できては、使い物にならない。

2,3で暗号化方式を選んだら(繰り返すが、アクセスポイントと同じにしておかなければならないのは言うまでもない)、

4.ネットワークキーを入力する。

これは、パスワードのようなものだ。128ビットWEPは 13文字のパスワード(これをWEPではパスフレーズpass phraseという。wordのように一語ではなく、語の集まりの「句」だということだ。どっちにしろ、辞書にある語や句などを使っては解読されてしまうので、使わないこと。無意味文字列にする)。WPAでは、30字以上にしておかなくては、折角の強固な暗号の効果が薄い。これも、アクセスポイントに設定したものと同じものでなければならないのは、考えるまでもなく当然のことだ。

図の5,6は説明不要だろう。



247. インターネット・エクスプローラを起動すると勝手に変なホームページが開く
  Web版オレオレ詐欺(振り込め詐欺) クール・ウェブ・サーチ CWS IE 悪意あるサイト  2005.1 目 次



ある日デスクトップにあるアイコンからインターネット・エクスプローラを起動したら、右のようなサイトが勝手に開いた。 この内容を見て、何が問題なのだなどと暢気なことを言っていてはいけない。詐欺の被害者は、口を揃えたように言う。

「だって、本当のように見えたもの」

そりゃそうだ。悪辣な詐欺師ほど、本物に見せようと努力しているのだから。「僕は詐欺師ですが」って言いながら詐欺する間抜け詐欺師は時々しかいない。

当然、悪意に満ちたサイトである。居候のIEは、起動してもどこにもつながらない。白紙が表示されるよう、IEのオプションで設定してある。IEの初期設定では、見るだけで一日中不愉快になるM$のサイトにつながるからだ。なのに、こんなサイトが現れるということは、ウィルスにやられたということだ。あまり記憶が無いが、ちょっと油断したのかな。

011d.gifコーヒブレイク
ウィルスって何? トロイの木馬、ワーム、CWS、スパイウェア
CWSをウィルスと書くと、そうではないという人もいるだろう。コンピュータ・ウィルスをどう定義するかだが、

1.害悪をなす
2.感染する

というところか。

生物に感染するウィルスの場合もっと面倒な定義が要るが、コンピュータの場合、所詮、人間の作ったプログラムにすぎない。

で、CWSの場合、1.、2.の両方を満足する。3.増殖する。4.伝染する。というのを付けたがる人もいるだろうね。生物のウィルスなら、たいていはこれらを満足する。絶対に伝染しないって、ウィルスの生態から言ってなかなか断言できないだろう。

CWSは、どこかのホームページに行けば感染するが、その感染したコンピュータと他のコンピュータがネットワークでつながっても伝染しないので、ウィルスではないと言う論理もあるが、専門家ならともかく、一般人にはいらぬことで、みんなウィルスでいいではないか。1.の病状(目的)の違いによって、色々と呼ばれるだけだ。。
 


こんな記事だから、先に結論を書こう。
・このウィルスはクール・ウェブ・サーチ(CWS)とか言う名前が付けられている。

http://hotwired.goo.ne.jp/news/news/culture/story/20040513204.html
http://hotwired.goo.ne.jp/news/news/technology/story/20030131301.html

・OSとは、本来こういうことにならないように存在するものなのだが、M$-Windowsは、バグだらけで、むしろこういうものの存在を助長しているという、とんでもないOSもどきだ。

・アンチウィルスソフトの最新パターンにもひっかからない。ノートンアンチウィルスは、何にも居ませんとのたまわる。
・居候は以下長々と述べるように対処したが、もっと良い方法がWebにあるかも知れない、と免責。
・全てのウィルスにとってもっとも良い対処方法は、パーテションを3、4個作り、異なるパーテションに1個ずつWindowsを複数インストールしておくことだ。両方共に同じ環境に保っていれば、片方がやられたらWindowsフォルダーごと削除してしまい、もう一つの方で続けられる。暇な時に消した方のパーテションに再インストールしてゆるゆると環境を整えればよい。

それから、片方がやられたと思ったら、もう片方で起動してアンチウィルスソフトを走らせるなり、いろいろ対処できる。稼動しているOSで、そのOSの基本ファイルは削除できないが、もう一つのOSからなら、単なるデータとして見えるわけだから、何でも消せる。

ウィルスというものは通常はとりついたOSの起動とともに起動される。別のOSから起動した時には起動されないから、かなり安全だ。ま、この方法も絶対ではない。全ドライブのsystem32や、systemフォルダーを探し出し、そこにウィルスを潜ませることだって可能だからだ。

それに対するささやかな方策は、いつも使っているWindowsから、書き込み許可がされていないパーテションを作り、そこにもう一つのWindowsを緊急用にインストールしておくことだ勿論、そのWindowsからはすべてのパーテションのフルコントロールを許可しておかなければ意味がない。こうしておけば、いつも使っているWindowsに取り付いたウィルスが、他にWindowsがインストールされていないか調べて、居たらそこに取り付こうとしても書き込み許可がないから、できない。

最初にインストールしたWindowsで書き込み拒否をしたドライブを作ると、場合によっては、2個目のWindowsをインストールする時に途中で書き込みエラーを起こしてインストールできなくなる。アクセスコントロールは、全部インストールして後、行うこと。「xxx.dllがコピーできません」とインストーラに言われたら、これだ。

しかし、忘れなければ後に述べる理由で、このアクセスコントロールも簡単に破ることができるので万全ではない。アクセスコントロール(読み書きの許可/拒否)は、言ってみれば郵便の「親展」みたいなもので、本人しか読んじゃだめと書いてあるだけだ。読みたければ、無理やり封書を破けば読めてしまう。言ってみれば紳士協定のようなもので、犯罪者には効力がない。で、Windows2000とXPでは、フォルダーとファイルを暗号化できるようになった。NTではできなかった。95,98,98SE,MeなどのOSもどきは言うまでもなくできない。

で、緊急Windowsをインストールしておくパーテションだけには上のアクセスコントロールと暗号化を行っておく

いつも使うパーテションに暗号化を行うと、ファイルが増えてくると、いつドライブが見えるのだろうというくらいエクスプローラが遅くなるから、しないように。もっとも、いまだに2GBのHDDを使っている人はその限りではない。10GB以上ではそんなことはしないほうが良い。Pentium4 3.8GB Prescott、DDR SDRAM 2GB、10,000回転で1個500GBの高密度HDDをRAID5で組んでいる人は、まあ、勝手にしたらいい。

・そんなわけで、CWSにやられた人は、今のWindowsを動かさないで、緊急用Windowsで対処するか、インストールしてなければ、新たに、別のパーテションにインストールしよう。別のパーテションなんてない?そういう脳天気な人は、毎度、フォーマットからインストールのし直しをする苦労を味わうのもいいのじゃないかな。今までためたデータは勿論パーになる。

・インストールする時には、インストーラが余程の間抜けでない限り、ウィルスの起動はできないので安心して良い。

・この後、もっとも簡単な対処方は、以下1-3。

 1.新しいWindowsにウイルスバスタをいれて、念の為、全ファイルをスキャンしておく。
 2.ウィルスにやられたWindowsは破棄する。
  つまり、Windows2000ならWinntフォルダー、WindowsXPならWindowsフォルダをクリックして選択し、Shiftキーを押したまま、Delキーを押す。これで、ゴミ箱に入らず、いきなり消せる。本当は、boot.iniも少し細工をしておいた方がスマートだが、後で

 3.レジストリーを使わない、フリーソフトなどの真っ当なプログラムはそのまま使えるので置いておく。
  しょうもないメーカソフトはM$の奴隷になってレジストリを使っているので、インストールのし直しになる。
  データはほとんどそのまま残っているね。
  My Documentsとか、デスクトップ、IEのお気に入りなどは残っているから、新しいWindowsから使えるように、必要ならコピーする。

間違ってもCWShuredder(CWSシュレッダー)なんて駆除ソフトは使ってはいけない。

adwareなどの通常のスパイ駆除ソフトは使っても悪さはしない。が、CWShuredderを使うと良いと勧めているサイトもあるが、これを使うとひどい目にあい、結局はWindowsの再インストールというハメになりかねない。

adwareがCWSを駆除できないのは、用心深く駆除しているからだ。CWShuredderは非常に乱暴なので、多くのサービスと呼ばれるバックグラウンドで動いているソフトを使う起動用のdllを削除してしまう。その結果、Windows起動時にそれらのソフトから起動できないというメッセージが画面にあふれる。

これはアンチウィルスが入っていない方の新しいWindowsからCWSを起動したからアンチウィルスが削除されたのだが、かと言ってアンチウィルスが働いている時にCWSを起動すれば、きっとウィルスだと思われるだろう。どちらが勝つんだろうね。

消されたものがどのソフトかを調べるのがまた、大変だ。この図の一番上のメッセージはwirelessLANのユーティリティが出すものだが、これだけで、それはわからない。

勿論、これらのソフトはアンインストールして再インストールする必要があるのだが、CWShureddderはアンインストーラまで削除してしまうので、アンインストールもできなくなる。で、それらしきソフトのフォルダーを削除しようとすると、起動時にメッセージを出したソフトは起動しているのだから、Windowsの保護によって削除できない。ま、PCを使うたびに、それらのウィンドウを5,6個、閉じながら使うのも乙な物だ、M$−Windowsなんてそんなものだと悟っている人は、それでも良いが、居候は御免こうむりたい。

そんなわけで、あろうことか、アンチウイルスそのものが、実はスパイウェアであるので(これは有名だ)、これが起動しなくなる。あとは、Buffaloワイアレス・ランのドライバ、設定ソフト、PowerDVDから、うるさいメッセージが起動時ごとにでるのだ。

AdobeAcrobatもスパイウエアみたいなものだが、これは大丈夫だった。

で、もう一度いうと、これらはアンインストールも、フォルダの削除もできないから、問題のWindowsからは、エラーメッセージを出ないようにできない。

こういうハメになる。

質問:どんな対策をしても、起動時にNorton Anti Virusのウィルス警告の表示が出てしまいます。
ウィルスソフトはNorton Antivirus 2004です。
Backdoor.Agent.B感染の警告が出たため、AdawareやCWShuredderをかけて駆除しました。
それにもかかわらず警告は消えません。

以上は、超初心者向きの方策だが、どうにもならなくなった時には、便利なものだ。


さて、居候がやられたCWSは、右の図。

http://oz.msie.tv/

という猿どものサイトだ。

IEを起動すると、この画面になる。

アドレスの欄を見ると、about:blank となっていて、これは居候のIE設定だ。一番上のタイトルバーを見ると、Search for..-Microsoft Internet Explorer などと一見、無害な名前になっている。(見難いから、冒頭の図を再度見て欲しい)

ついでに、色々なポップアップウィンドウが出てくる。

拡大しよう。間違ってもこんなものに「OK」ボタンを押してはいけない。ウィンドウを閉じる右上のxをクリックするか、Alt-F4で終了しておく。





about:blank のままで、なぜ、白紙ではなく、こんなサイトが表示されるのか?

ここに表示されているということは、どこか、HDDの中にファイルがあるということだ。

で、IEで、

ファイル=>名前を付けて保存

を表示すると、ファイルの在り処がわかる。

確かにある。

D:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\8XYB4XEJ\about_blank[1]

このファイルをメモ帳のようなテキストエディタで開くと、冒頭は、このようになっている。

<base href="res://%44%3a%5c%57%49%4e%4e%54%5c%73%79%73%74%65%6d%33%32%5c%70%62%70%70%64%68%2e%64%6c%6c/">
<HTML> <HEAD>
<TITLE>Search for..</TITLE>
<HEAD>
<STYLE type=text/css>

 ・HTML宣言の前にbaseを置いていること
・headを2重にしていること

が特徴的だ。

%44%3a%5c%57%49%4e%4e%54%5c%73%79%73%74%65%6d%33%32%5c%70%62%70%70%64%68%2e%64%6c%6c

は英字を16進表記したもので、英字に変換すると次のようになる。



%44%3a%5c%57%49%4e%4e%54%5c%73%79%73%74%65%6d%33%32%5c%70%62%70%70%64%68%2e%64%6c%6c D : \ W I N  N T \ s y s t e m 3 2 \ p b q q d h . d l l

ついでながら、英文字とASCIIコード(16進表現)は下記のようになっている。

0  1 2 3 4 5  6 7 8 9
30 31 32 33 34 35 36 37 38 39

A B C D E F G H  I J K L M N  O P Q R S T U V W X Y Z
41 42 43 44 45 46 47 48 49 4A 4B 4C 4D 4E 4F 50 51 52 53 54 55 56 57 58 59 5A

a b  c d e f  g h i  j k  l  m n o p q  r s t  u v w x y  z
61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 71 72 73 74 75 76 77 78 79 7A

:=3a、¥=5c、.=2e

アスキーコード表

ということで、system32フォルダの中を捜すと、あった。

pbqqdh.dll。これが表示の犯人だ。

で、これを削除しようとしても、起動されているから、削除できないとWindowsが言う。safe modeで起動すれば消せるかもしれない。safemodeでWindowsを起動するには再起動してBIOS表示の後、セレクターのところで暫く停止する。そこでF8を押せばよい。safe modeではやっていないので、どうなるか知らないが、消せたら、それで犯人は消えたということだ。消せない時は、仕方ないから、冒頭に書いたようにWindowsをもう1個別途のパーテションにインストールしよう。

パーテションが1個しかない時は、おなじパーテションにもインストールできる。Win2000なら、最初のフォルダはWinntだから、新しいWindowsは、「windows」フォルダを、インストール途中で作る場面に来るので、そこで作って、インストールしよう。WindowsXPの場合、逆にする。

ちなみにCWShuredderを使うと、すさまじいことになった。

一番上のが、BuffaloのwirelessLANの隠れソフト。なんで分かった?隠れソフトを使っていると思しきものを推測して、削除するとできないので分かる。削除できてしまったら、どうするの?再インストールだよね。仕方ない。

下2個は見て分かるとおり。この後も続々と、こうした起動時エラーが出る。 おまけに、既述のようにアンインストーラも起動できない。

さて、猿どものサイトのIPアドレスでも調べようかとpingをすると、毎回変わる。IPアドレスを偽装しているんだ。

更に、このページの各サイトには通常のAによるアンカーでマークアップされていない。右図の一番下を見ると、カーソルが上にあるアンカーが表示されているがjavascriptになっていることがわかる。つまり、悪さをしようという意図が明白にあるわけだ。


まとめ:
Windows2000、XPなら3、4個のパーテションを作り、2個に(C:\、D:\が良い)Windowsを入れる。後は、データエリアにでもしておく。OSとデータを同じパーテションに入れるなんて汚いことはやめよう。

C:\には、自分の名前のユーザを作ってadministratorsグループにする。全ドライブが見える権限を与える。

ドライブを右クリック=>プロパティ=>セキュリティ=>ユーザを選択してフルコントロールをクリック。

administratorは、読み込み許可だけにしておく。(これが本当に必要かどうかは分からないが、ま、やっておこう。これをしておくと、Windowsがインストールできないから結構、効くんじゃないかな)

D:\のWindowsにadministratorでログオンし、上記のようにして、D:\以外のドライブには書き込み許可を与えないようにする。

で、D:¥にメーラとIEを入れてインターネットには、D:\からだけアクセスする。D:\のWindowsがメールの添付ファイルやWebでウィルスに感染したら、C:\から起動して、D:\のWinntあるいはWindows フォルダを削除してOSごと削除してしまう。言うまでもないが、他のソフトはc:\に入れる。

もっとも、これではメールも削除されてしまうので、ちょっと工夫がいる。MS-Oulookなどのようにレジストリを使っているメーラはやめて、EdMaxのようなレジストリを使わないメーラにしておくことだ。そうすれば、WindowsやWinntを削除してもプログラムや過去のメールは残る。メーラをProgram Filesに入れないで、programfileなどを別途作ってそこにインストールしておくと新しいWindowsをインストールしてもそのまま使える。Program Filesでも大丈夫のはずだが、ま、M$など信じず、念のため。

これだと、用途によって再起動が必要になるから、面倒。VMwareやVirtualPCを使ってその中にWindowsをインストールし、そこからインターネットに入るという手もある。感染したら、仮想マシンの中のWindowsをformatで消して、もう一度インストールすればよい。凄く簡単で便利だが、仮想マシンは遅いから、大きいメモリーと強力なMPUが必要になる。

しかし、最強の方法は、Windowsは使うとしても、(ーーメ)MS-OutlookとIEはやめて、他のV(^^)VメーラモジラやOperaを使うことだ。

参考:
・CWSredderの使い方サイト(使わないように):
http://enchanting.cside.com/security/cwshredder.html

・boot.iniから、古いWindowsの起動部分を削除する;

Windows2000/XPでは、boot.iniのようなシステムファイルは見えなく設定されている。エクスプローラのメニューから、

ツール=>フォルダーオプション=>表示=>スクロールして、最下段の「保護されたオペレーション システム ファイルを表示しない」

のチェックをはずすと、ブートドライブに現れる。通常はC:がブートドライブだ。

c:\boot.iniのプロパティからread-only属性を外す。
   c:\boot.iniをメモ帳で開き、

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Professional" /fastdetect

のようになっているので((1)など括弧内の数字はシステムによって異なる)、この色の行などのように削除したいOSの記述は、1行単位で削除する。間違えると、起動しないよ。

居候の場合、2つのWindows2000が入っている。それで、以下のようになっている。
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINNT
[operating systems]
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Microsoft Windows 2000 Professional" /fastdetect
multi(0)disk(0)rdisk(0)partition(4)\WINNT="Microsoft Windows 2000 Professional for emergency" /fastdetect


D:とF:ドライブ。partition(2)がD:ドライブ、partition(4)がF:ドライブ。当然、partition(1)はC:ドライブで、普通はpartition(1)になっている。

"Microsoft Windows 2000 Professional" と
"Microsoft Windows 2000 Professional for emergency"

の""で括られた中身は単なる表示用の文字だから、好き書いて良い。PCの起動時BIOS画面が終わった後、30秒ほど表示されているOSセレクターの画面にこれが表示される。30秒待たされるのは、

timeout=30

と書いてあるからだ。30は2くらいにしておこう。間違っても、1とか0とかにはしない方が良い。色々不便する。何が?不便したら分かるよ。別に、起動後、もう一度書き直せば済むことだから、試したら。不便しなかったって人は、まだ不便するには10年早いだけのこと。

参考;
NT系OSのブートについて





248.ファイルへのアクセスコントロールは全然安全ではない。モバイルHDDにWindows2000/XPの暗号化機能を使わない方が良い
    2005.1 目 次



ファイルへのアクセスコントロールは以下のように設定する。

ドライブやフォルダー、ファイルを右クリックしてプロパティ=>セキュリティ

これで右図になるから、ユーザを選ぶ、あるいは、「追加」ボタンで新たに作り、それを選択状態にして、下の「アクセスの許可」窓で、制限の仕方を選ぶ。フルコントロールにすれば全部にチェックが入る。読み、書き、実行、何でも自由だ。

ついでに、暗号化は、このプロパティの「全般」タグの「詳細」ボタンを押せば、項目が見つかる。

で、ここで、ユーザを登録し、アクセス許可を出しておけば、他の人に読まれないですむ。administratorを削除し、自分のユーザ名だけを登録して、フルコントロールにしておけば他の人がそのPCにログオンして読もうとしても読めない。もっともフォルダー名は見えてしまっているから、もう一つ上のフォルダーを作り、そこでアクセスコントロールを掛ければ、中のフォルダー名は見られない。administratorでさえ、見ることはできない。ユーザ名とパスワードを知っているものしか見えないのだ。

で、ここで安心してはいけない。administratorはあなたがアクセス制限したフォルダーやファイルに簡単にアクセスできるのだ。administratorは、その権限で新たにadministratorをユーザとして登録し、フルコントロールを与えることができるからだ。こんなアクセスコントロールは漏れ漏れなのだ。

だから、HDDを盗まれたら終わりだ。いくらアクセス制限してあっても、盗人は自分のPCにそのHDDを取り付け、administrator権限でログオンし(自分のPCの自分のWindowsだから当然パスワードも知っている。盗んできたHDDの内容はすべてデータとして扱われる)そのHDDのセキュリティタブから自分を登録してフルコントロールを与えれば全データを読むことができる。

こんなアクセス制限なんてものは、フォルダーやファイルのヘッダーに上の図に出ている情報が書かれているだけだから、そんなヘッダーは無視して、内容を直接見るプログラムを書いてしまえば、そのやりかたでも読んでしまえる。要するに、親が幼稚園児に見られたくないファイルを隠す程度の効用しかない。小学生なら、ちょっとできる子なら、こんなものは破れる。もっとも、administrator権限は必要だから、他のPCに取り付けない限りそのPCのadminのパスワードは必要だ。それだけが頼りだ。

それで、M$はようやくWindwos2000でファイル内容を暗号化する機能を付けた。これで、HDDを外して盗んでもなかなか内容は解読できなくなった。administrator権限で入って、アクセスコントロールは上のように付けても暗号は別の管理になっているので掛かったままだ。よって、ファイルを読もうとしても読めない。まあ、安全になった。

ところが、これが、また別の問題を引き起こす。USB2 HDDケースにHDDを入れてPC間でデータを共有したり、バックアップしたりするケースが増えている。アクセスコントロールをかけてあると、同じadministratorでも、PCが違うとそのままではアクセスできない。上に書いたように、別のPCで再度登録してやらないといけない。面倒だ。だから、アクセス制限せず、「everyone」に許可しておいた方が良い。万人に許可を出すわけだ。

これだけではない。アクセス制限では少しPCを知っているものには簡単に解かれるから、本当に安全にするためには暗号を掛けなければならない。ところがこれが難物なのだ。Windowsのマニュアルを読んでいないので、どんなキーで暗号化しているのか知らないが、経験的には、同じPCでユーザ名とパスワードが一致してログオンしなければ暗号は解かれない。まったくおなじユーザとパスワードを別のPCに作って、そこにHDDを持っていっても解けないのだ(これはアクセスコントロールでも上記のように同じことが起きる)。それだけではない。Windows2000では、暗号化されているファイルは解かれなければコピーもできないらしい。だから、Windows2000のPC1の中の暗号化されたフォルダー/ファイルをUSB2 HDDにコピーし、それをPC2に持っていくと読めないだけではなく、PC2の内蔵HDDにコピーもできない。読み取りエラーになってしまう。PC2がWindowsXPの時にはコピーはできた。だが、勿論、読めはしない(開けない)。

ということで、PC1で暗号化したものはPC1でしか復号(解読)できない。PC2をPC1と同じ「コンピュータ名」にしたらどうか、試していないので分からない。多分だめなのじゃないかな。それに、Windowsの暗号化アルゴリズムは機密に関わるからM$は公開していないのではなかろうか。

更に、この暗号を解くには物凄い時間がかかる。10GB、2万ファイルなんてなると、7200回転のUSB2 HDDでは、4,5時間かかった。ボトルネックはHDDだから、MPUなんて速くしたって意味がない。USB2は480Mbps=60MB/秒だから、ATA66程度。もっとも、これは理論値だから、実効40MB/秒くらいのものだろう。HDDの制御部分はATA133などと言うようにべらぼうに速くなっているが(これも理論値だ)、メディア−ヘッド転送速度(メディアとはディスク。ヘッドは読み取り部分。宙に浮いているヘッドがディスクから1bitづつ読み取る速度。こんなものが速いわけがない)はシリアルだから、そんなに速くない。ここで速度が決まるからUSB2で十分なのだ。

だから、迂闊に暗号化すると酷い目にあう。例えばフォルダに暗号化をかけておくと、そのフォルダに入るファイルは普通は遺伝的に暗号化されるような設定になる。で、保存する時には少しづつだから気にせず入れていて、いざフォルダーごとコピーしようとすると、大変なことになる。なにしろ、1ファイルづつ読み出して復号して、また書き戻すのだから、オーバヘッドが凄いのだ。これは意外に盲点になる。ATAだのUSBだのと言っても、mpegのような何GBもある一つのファイルを読み書きするならまだ多少速いが、細かなdocだのjpgだのtxtだのを読み書きするには猛烈なオーバヘッドがかかる。荷物を隣の部屋に移すのに、ダンボールの箱に小物を入れてまとめて運ぶ。鉛筆を一本、ノートを一冊。CDを一枚って、一回に一つづつ運んでごらん。無駄に往復の時間がかかる。これをオーバヘッドという。ダンボールにまとめれば一回で済み、すごく速い。

そんなわけで、暗号化はモバイルHDDではしない方が良い。everyoneにアクセス許可を出し、暗号化はせず、物理的な金庫に入れて運搬するのが安全だ。最も暗号化をしたいモバイルHDDで暗号化できないのでは、困るんだなあ。それに、もしPC1のハードがクラッシュしたら、そこに付けたHDDは読めなくなってしまう。M$の三流技術者群はしょうもないことばかりをする。Windowsをまったく同じ環境でインストールすれば読めるか読めないか、暇ができたらやってみよう。







このページの先頭    目 次



[PR]看護師の好条件求人なら:転職活動不安ですか?なんでも相談OK!