152.モアレの話    目 次


モアレとは、スキャナで画像を撮った時にでるパターンであることは、スキャナーを使っている人なら大抵は知っている。ただ、これを取り除く処理は他の画像処理と違ってちょっと不思議である。たとえば、画像の大きさを変えたり、回転したり、明かるさを変えたりなどは、画像を取り込んだ後、いつでもできる。なのに、モアレ処理だけは、それができない。画像を取り込む時にしかできないのである。画像処理ソフトではなく、ドライバでやっている。おまけにモアレ処理はものすごく時間がかかる。だから、人間がPCに付き合っていないといけない取り込み時は、モアレ処理なしでスキャンを行い、あとで一括処理したいのにこれができない。一括処理できれば、夜中にやらせておいて寝ていられるのに。

normal.jpgmoireless.jpg
通常キャプチャ
絵は汚いが、字を見ると、  
クッキリとしている。  
字の背景はタータンチェックに   
見えるが、本当は単なる       
ベッタリの黄色
 モアレ除去処理あり
 絵はボケて奇麗になったが、
 字が滲んでいる。
 字の背景に注意。



これは別に原理的にできない訳ではないので、そういうソフトがあるかもしれないが、居候の安いスキャナに添付のレタッチ・ソフト(Re-touch;リタッチの方が分かり易いと思うが、なぜかこの業界では”レ”で通っている)、国産N、C社、台湾の2社のものだが、なかった。モアレ処理は、ようするにぼけさせる処理だ。で、たとえば、取り込む画像の解像度を200DPI(DotPerInch)とすると、これより一回り大きな解像度で取り込みながらボカシの処理をして200DPIにして出力する。それで、エラク時間がかかるし、この解像度の調整もいるので、後での処理が、普通はできないのである。モアレ処理すると、解像度が小さくなってしまうからね。それでも良いから後処理でできるようにして欲しいものだ。




WndowsでのSMTPサーバ(メールサーバ)の建てかた    目 次

メールサーバを建てると、たちまち、悪人どもに、自分が悪事を働くための身元隠しの道具にされる。彼らは主なISPのIPアドレスを知っているから(そんなもの誰でも分かる)その25番ポートにスキャンをかけてサーバを調べるのだ。だから、サーバを建てると、すぐに汚物に群がる蝿か蛆のように群がってくる。無防備なメールサーバは、メールの中継、つまり犯罪の踏み台に使われるのだ。だから、セキュリティにはくれぐれも気を付けて、悪事に荷担することにならないよう。幇助罪というのがある事を忘れないよう。法律は、知らなかったでは済まされない。知らなくても悪事への幇助罪で、有罪になる可能性が高いということをくれぐれも忘れないよう。その覚悟で、この項は読んで頂きたい。

ダウンロードとインストール
ArGoSoft Mail Serverで、ArGoSoft Mail Server (Freeware): agsmail.exe をもらってくる。フリーソフトである。自己解凍&インストーラになっているので、何も考えずに次、次と進めば良い。それで、インストールできる。

設定
これが悪事に使われるかどうかの分かれ目になるので、図入りで説明する。

まず、サーバを立ち上げると、タスクトレーにサービスのようにして入る。タスクトレーって、何だ?と思った人はここで止めようね^^)。で、そのアイコンをクリックしてやると、ウィンドウが現れる。下記のようなアイコンを持つツールバーと、logを表示する画面である。

mailsvr.jpg

真ん中辺りにある歯車がサーバの設定、その右に人間が二人立っているアイコンがあるが、これがユーザ登録/設定。他は、触る必要はない。カーソルをアイコンの上に持っていけば、説明が現れるから分かる。分からない人は、危険だからここで止めようね^^)。

サーバの設定
歯車のアイコンをクリック。下図が出る

Generalタブ
general.jpg

DNS Serverには貴方のISPのDNSサーバのIPアドレスをいれる。右側の大きなチェックアイコンで、自動設定してくれるが、できるとは限らない。
以下は、全部チェックを入れておく。
Load Server at Windows Startup: Windowsを起動した時、自動で立ち上がる。プログラムがDRAMに入っただけで、稼動はしない。
Automatically Start the Server: 立ち上がったソフトが自動で、サーバとして稼動する。

Allow Relay: 今まで、クドクドと危ないよ。犯罪に荷担しないように、と述べてきたのはこの機能があるから。(他人の)
メールの転送 を許可する機能だ。このチェックを外すと、家庭内LAN上にあるPCからこのメールサーバにメールを送ってもらおうとしても、それは、転送になるから送ってもらえない。で、このチェックは必要になる。しかし、そのために危ないということにもなる。それで、このメールサーバを使うには、ID(アカウント名、ユーザ名(User Name)など、ソフトによって、呼び名はいろいろ変わる)とパスワードを必要にする設定があり、それが後述するSMTP Authenticationである。このIDとパスワードって、ISPのメールサーバの時にも使っているあれだなと思うかもしれないが、あれはPOP Authenticationのもの。POPサーバというのは郵便局の私書箱のようなものだから、鍵がなければ危ないでしょ。でも、従来、メールを送受するSMTPには、鍵はなかった。これは事情があるが、省略。ここに

Hide Password in Logs: ログにパスワードを書き込まない。ログの中にパスワードまで記入されたら、誰かに覗きみられた時危なくて仕方ない。家族にじゃないよ。サーバに侵入されてネットワークからクラッカーと呼ぶ犯罪者に覗き見られたら、危ない。

Local Host
このPCの名前(FQDNで)。空欄にすると、Windowsのコンピュータ名が自動的に入れられる。

Local Domainタブ
localdomain.jpg

貴方のドメインネーム(貴方のISPのじゃないよ。貴方が、JPNICか、DynamicDNSサービスで買った/もらった貴方一人のドメインネ。yahoo.co.jpなんてやってもだめだからね)をここに登録する。メールアドレスが、boku@mypc.mynet.com なら、mypc.mynet.com だ。図の、下の方に見えているが、ここに書き込んで、Addボタンを押せば、上の大きな白い窓に表示される。紺色のところがそうだ。複数可能

Ports
これは、触る必要はない。SMTPは25、POPは110、Fingerは79という標準になっている。Fingerとは、そのアカウントの持ち主の情報。昔は、住所だとか、電話番号だとかを入れて便利に使っていたが、今のように悪人に使われるようになっては、そんなものは危なくていれられない。Finger情報は、何もいれないこと。

Logging
Logは必ずとって、かつファイルにしておこう。よって、全部にチェックをいれておく。ファイルは、サーバをインストールしたフォルダーに_Logフォルダがあり、そこにできる。これを毎日みていると、結構、あちこちから侵入しようとしていることが分かる。

SMTP Authentication
さて、やっと出てきた、これは必ず設定しておく
smtpauth.jpg


1.Enable SMTP Authentication(SMTP認証)にチェック
2.SMTP User Nameには、適当なIDとなる名前
3.SMTP Passwordには、パスワードをいれる

これを設定しておくと、Allow Relay 設定しても、このID(ここでは、UserName)とパスワードが一致しないメーラからの転送(Relay)依頼は拒絶する。ということは、LAN上のあなたのメーラでも、このIDとパスワードを設定しておかないと、これにハネられるわけである。(Outlookは自分で、探してもらうとして、EdMaxでは、設定→アカウント設定→基本の右下に「SMTPサーバは認証が必要」という項目で存在している。EdMaxはCRAM−MD5(パスワードの暗号化)をサポートしているが、Argoサーバはサポートしていないので、ここにはチェックは入れない。

Argoサーバには、Use POP3 User Names and Passwords という項目がある。ここにもチェックをいれておけば、POPのIDとパスワードがSMTP Authenticationにも使える(POP before SMTPではない)。ということは上のように、全ユーザ同じIDとパスワードという嫌みがなくなるということである。で、入れておこう。そうすると、SMTPのIDとパスワードの項目はグレーアウトして書き込めなくなる。POPのID/パスワードは、ユーザ登録(この数行下にある)の時に、各ユーザ設定のところで行う。ここでは行わない。

これで一応安全である。しかし、IDやパスワードを安易なものにしていると、辞書を使った総当たりや、aからzまでの全組み合わせを試す本格的総当たりでやられるかもしれない。

Confirm Passwordは、パスワードをもう一回確認のためいれるところ。
Do NOT Authenticate Following IPaddresses:下に登録したアドレスはSMTP認証しないで無条件に受け入れるということ。LANのプライベートアドレスなどは、ここに登録しても安全だろう。

192.168.0.1
192.168.0.2
192.168.0.3
というように1個=1行でいれる。192.168.0.*や、192.168.0.1−192.168.0.5などの記法は使えない。

これでサーバ設定は終わり。

ユーザの登録
歯車の横のお二人さんのアイコンをクリック。下図が出る。

user.jpg

赤い矢印をクリックすると、新規ユーザの登録画面。緑の矢印で、既存ユーザの修正。


userreg.jpg


User Name: watashi@mypc.mynet.comのwatashiである。これはPOPのIDにもなる。
Real Nameは本当の名前、だから入れない方が良いだろう。これはなかなか難しい。入れないと、相手が胡散臭いメールが来たなと思ってみないかもしれない。入れると、悪人に悪用されるかもしれない。yamadaとかsuzuki、hanakoなど名字か、名前くらい入れておこうか。
Password:これはPOPのパスワード。
Forward Address:ここにメールアドレスを書くと、そこに転送してくれる。出張中に便利。KeepCopiesにチェックをいれると、このアカウントにも残して転送。いれないと、ここには残らない。入れておいて方が無難。

Return Address:Helpに記述がないが、送り先アドレス間違いなどで転送できなかったメールを、ここに返してくれるのだろう。書かなければ、このアカウントに戻ってくるので、特に書く必要はない。


比較的安全なメールサーバの建てかた

ブロードバンドルータ(BBR)を入れてあることが前提である

インターネット−−ADSLモデムなど−−BBR−−−−LAN−−−−−−−−−
                            PC1  PC2  ・・・ PC3

1.この状態で、SMTPサーバの受信用と、送信用を2台のPCに分ける。といっても、同じソフトを2台のPCにインストールするだけ。設定が異なるのだ。

2.受信用SMTPサーバ(メーラでの設定はPOPサーバになる)(下図では、POPサーバ兼用。192.168.0.2)は、Allow Relay(転送許可) をOFFにしておく
  このサーバのIPアドレスは、BBRが付けるプライベートアドレス。これは必ず常時接続。でないと、いつ来るか分からないメールを受信できない。送信、受信といっても別にソフトが変わるわけではない。Allow Relayの設定と、メーラの設定が変わるだけである。受信SMTPは、POPサーバも兼ねる。何しろ、送信用SMTPサーバは、インターネットから見えないようなプライベートIPアドレスに設定し、かつBBRの設定でバーチャルサーバに登録しないからから、メールを受信できない
  これをPC1とする
  BBRのバーチャルサーバは、このPCに設定する

バーチャルサーバ:インターネットからの接続要求を一手に引き受けるLAN側のPC。呼び方はBBRによって異なる。BBRは、バーチャルサーバに設定したIPアドレスを持つPCにインターネットからのSMTP、HTTPなどの接続要求をまわす。別な表現をすれば、インターネットから見えるPCはこれだけであり、クラッカーどもから見えるPCはこれだけである。このPCは彼らに見つかっても、転送許可が出されていないので、転送の踏み台には使えない。

3.送信用SMTPサーバ(メーラでの設定はSMTPサーバ)の設定は、2つ方法がある

  3−1 受信用SMTPサーバと同様、常時接続のPCにインストールする。これをPC2としよう。
  このPCのIPアドレスも、プライベートアドレスにする。というか、BBRのDHCPが勝手に設定する;例、192.168.0.11のように。

下図はたとえばPC3のメーラにあるEdMaxの設定である:設定→アカウント設定。
SMTPサーバ名には、PC2のIPアドレス192.168.0.11が入れてある。POPサーバは、普通、SMTP受信サーバが兼ねるので、下記の場合、PC1=192.168.0.2で、これはBBRでバーチャルサーバに設定してある。

smtpip.jpg

  勿論、PC2は、バーチャルサーバにしてはいけない。インターネットから見えないIPアドレスにする事が重要なのである。

このメールサーバのAllow RelayはONにする。
インターネット上の犯罪者が、このSMTPサーバを使って、自分のスパムメールを出そうとしても、そもそもプライベートIPアドレスで、かつバーチャルサーバに設定されていないから、インターネットからは見えない。家庭内のLAN上のPCからは見えるので、彼らのメールは転送できる。こうすれば、SMTP Authenticationの設定も不要である。そうは言え、まあ、なんでも安全なことはやっておこう。SMTP Authenticationをかけ、LAN上にあるプライベートIPアドレスだけをDo NOT Authenticate Following IPaddressesに登録しておけば万全である。

 3−2 集中送信(常時接続)SMTPサーバは作らない方法。
各自のPCにSMTPサーバをインストールする。で、EdMaxやユードラのようなメーラの送信SMTPのIPアドレスは、127.0.0.1 にする。つまり自分自身だ。いうまでもなく、バーチャルサーバにしてはいけない。つまり、一台のPCの中で、メーラとSMTPサーバが仕事をすることになるわけだ。

こうすれば、LAN上のPCはプライベートIPアドレスだし、バーチャルサーバでもないし、常時接続でもない(常時接続にしたら、3−1と同じ)ので、かなり安全だ。ただし、SMTPサーバというものは単なるメーラと違って、たとえば、相手のSMTPサーバがダウンしていて繋がらない時には、数時間おきに何度か自動で送信を試みたり、DNSサーバがタイムアウトして、同じく送信できない時は、これも数分おきに何度か再送を試みるなどをしているから、自分のPCに送信SMTPサーバをおいた時には、サーバで、pending(送信待ち)に入っていない事を確かめてから電源をきらないと、メールが送れていないかもしれないことになる。   

余談 1980年代は、今みたいにSMTPで一瞬で相手にメールが着くことはなかった。UUCP:Unix to Unix CoPyという機能で、ネットワークの隣のノード、つまりコンピュータまで電話をかけ(ダイアルアップみたいなもの)送っていた。つまりTCP/IPなど使っていない。これを目的の相手まで繰り返すのである。今で言えば、ルータに当たるノードがバケツリレーで送っていたのだが、いちいち電話をかけるわけだからメールが1通ある位では、ネットワーク上のお隣さんに電話などかけない。溜まってから一挙にまとめて送るのである。でないと、電話代が掛かって仕方ない。で、一日に何回かしかこれはされない。アメリカまでメールを出すと2日位かかっていた。航空便が3日だから、似たようなものだ。これでも、ICOT(新世代コンピュータ開発機構;国の一大プロジェクトだった)や、KDDのボランティアで成り立っていたのであって、どこかから電話代が出ていたのではない。KDDは、うまく研究用かなにかということで処理してくれていたようである。

こんな方法だから、どこから来たメールでも途中のノードは、必ず中継してあげていたのである。その美風がSMTPの時代にまだ残っていて、悪用されているのである。

余談2
メールを書いて出すいわゆるメーラ(ユードラ、電信八号、EdMax,OutLookなど)は、SMTPを話す。と言うことは相手のメーラも当然SMTPを話すので、直接、メールを送受信すればいいのではないかとも考えられる。しかし、実際には、これらのメーラは、他のSMTPサーバ(メールサーバ)、普通は、ISPのSMTPサーバに送信を依頼する。つまりISPのSMTPサーバは転送が許可になっている(Allow Relay)。これだと、そのIPアドレスやドメイン名が分かれば誰でもそこにメールを送って、最終目的の相手にメールを転送してもらえることになってしまう。その方法は簡単で、自分のメーラのSMTPサーバ欄にそのIPアドレスまたはドメイン名を書いておくだけで良い。下図だ。

smtpip.jpg


実は、ここには自分のISPのSMTPサーバのアドレスを書く必要はない。世界中のどこの、ケニアでも、アゼルバイジャンでも、フランスでも、そこにSMTPサーバがあれば、そのアドレスを書いておくだけで良い。あなたのメーラは、そのサーバに向けて、メールを送る。SMTPサーバは、そのメールを受け取ると、その送り先アドレスに転送してくれるのだ。なんなら、メーラさえいらない。
Telnetで接続して、あなたがSMTPをしゃべればいいのだ。これは身元隠しの手段になるので、犯罪の温床になる。ISPは、この事態を嫌い、会員以外のメール転送はしない。それで、メーラで、ISPに接続すると、まず、POPサーバに接続し、ISPでの会員IDとそのパスワードを送って本人認証をすることになっている。

SMTPサーバには、上記した昔の認証をしない時代の影響が残っていて、ISPのSMTPサーバはたいていSMTP認証をしない。なぜなら、ユーザの使うメーラは今でも、全てがSMTP認証をサポートしているわけではないからだ。とはいえ、今時、SMTP認証機能のないメーラなど使うのは止めましょう。EdMaxがお薦め。さて、それで、ISPはPOPで認証するために、メールを送りたいだけの場合でも、必ずPOPが動き、メール読み出しに行くのである。この方法をPOPbeforeSMTPという。POPで認証された後、メールをじっくり時間をかけて書いていると、この認証が無効になる。この時間はISPが定めているのでまちまちだが数分のようだ。

なぜ、メーラは、直接、貴方がメールを出したい相手のメーラにメールを出さないで、わざわざISPなどのSMTPサーバにSMTPで通信してメール転送を依頼しているのか? それは、普通のユーザのPCは、常時接続、24時間運転していないからだ。おまけに固定IPアドレスをもっていない。つまり住所不定だ。固定IPアドレスを持っていないから、当然メールアドレスも作れない。DynamicDNSは例外だが。固定IPアドレスをもち、24時間運転しているサーバは特殊なものであったから、ISPのような企業しか持てなかった。今では、極めて低価格で、ADSLやケーブルなどで常時接続して、ノートPCを使って電池を無停電電源装置とみなして家庭でも24時間運転できるが、ほんの1、2年前までは、電話代は目を剥く程高く、つまり、1Mbpsで常時接続しようものなら、月、何十万円もした。ほんの数年前までは、1Mbpsなんて、どう考えても大企業の基幹ネットだった。

そういうこともあって、一般人は、時々ダイアルアップでインターネットにつないでいた。月に5時間とか、10時間とかね。これではSMTPで相手につなごうにも相手もPCを立ち上げている可能性などほとんどない。それで、ISPが24時間運転、常時接続のSMTPサーバを稼動して転送をと保管をサービスしていたのだ。ISPのSMTPに届いたメールは、そこにある私書箱に貯えられる。これをメールスプールと呼ぶ。我々は、時々ダイアルアップして、この私書箱からメールを取り出す。これにはSMTPというプロトコルではなく、POPというプロトコルを用いる。

PC1−−ISPのSMTP/POPサーバ−−−−−−ISPのSMTP/POPサーバ−−PC2

しかし、今では、どの家庭も24時間運転、常時接続が可能になり、SMTPサーバを立ち上げて、いきなりそこにメールを送ることができる。家庭SMTPサーバは、そういうことができるのである。我が家のSMTPサーバから貴方の家のSMTPサーバに直接メールが飛ぶ。ISPのメールサーバは、バックアップ用に使う程度だ。




154:IBM PalmTop PC110をSMTPサーバにする    目 次

これ、1995年位だったか、ビジネスショーか、データショーで見た時は驚いたものだ。その値段の高さねネ^^;; 四十数万円したはず。こんなもの誰が買うかネエと思ったのだが、1998、9年頃、秋葉に放出され、2万円弱の叩き売りであった。まあ、そうだろう。実に面白いコンセプトで、これで10万円だったら、相当売れたんじゃないかな。何しろ電話まで付いている。マニュアルには、公衆電話の中で、モジュラージャックで公衆電話とPC110をつないで、PC110で電話をしている図が載っているが、どう考えても、これは変だ。誰がそんなアホな事するんかい、と聞いてみたい。で、今更i486/33MHz、主記憶8MBで、ディスクレスでは何の使い道も無い。少なくとも、クライアントユースでは。

どこかの企業では、DNSサーバ!!に使っていたという話もWebではきくが、家庭用のメールサーバなら、面白いかと思ってやってみた。Linuxは、やってみたが、今の通常使われているものはWindowsと覇を争う大きさで、使えない。PlamoLinuxや、FreeBSDでは、そこそこ動くが、なかなか面倒であった経験があるので、例によって、Windows95である。

PCカードドライバの導入
ところが、PC110はWindows95はサーポートしていない。大体入るが、PCカードスロットが使えない。Win95のドライバが対応していないのだ。 そこで、「pc110 pcカード」でGoogleで探したら、あるは、あるは。中でも、 IBM PalmTop PC110でWin95を動かすがすばらしかった。PC110のPCカードソケットのドライバなんて、どうやって探すのか、とにかくサポートしていないのだからIBMのサイトになんかある訳がないのだが、流用ということであるんだね。ここ5.2に詳しい
で、ドライバーはIBMのここに、「99/06/03 IBM Smart PC Card Drive用 修正ディスケット Ver 1.03 」である。「smart」でページ内検索かければ一発で出てくる。2002.8.11。IBMはなかなか鷹揚だから、必要な人にはネットワークでなければ、再配布していい、と書いてある。もし、いつかこのサイトから無くなって、入用だったら、メールもらえれば送ってあげます。ネットワーク再配布は禁止されているから、ここには載せられない。育ちが良い企業はちがうね。成り金のレドモンドあたりのエゲツナサと比べると。

「99/06/03 IBM Smart PC Card Drive用 修正ディスケット Ver 1.03 」をクリックしてもダウンロードにならず、IEの中にsmartpc.exeとsmartpc.txtが現れる場合、そのファイルの上で右クリック→ファイルをフォルダーに保存だったかな?そんな項目を選べばDLが始まる。で、smartpc.exeは自己解凍ファイルだから、どこかのフォルダにいれて、DOS窓から、 c:¥...¥smartpc でその同じフォルダに解凍される。smartpc.txtには、 c:¥...¥smartpc a: として、FDに作るように書いてあるが、その必要はない。遅くてかなわない。で、要るのは、King4w95.VxDとKing4w95.infの二つのファイルだけ。もうお分かりだろう。後は、デバイスマネージャで、PCMCIAソケットの中にになっているデバイスを削除。すると、素直に削除されないで、何かウイザードが出てくる。

以下、「IBM PalmTop PC110でWin95を動かす」から引用。このHP、是非、永らく存在して欲しい。

「引用開始
「PCカードをWindowsの導入に使っていますか?」の質問には「いいえ」を選択し、「次へ」をクリック。「Windowsが使用不可にするリアルモードPCカードドライバを選びますか?」の質問には「はい」を選択し、「次へ」。 これでPCカードウィザードの完了し、この後出てくるメッセージ[システム設定の変更]で「コンピュータを終了しますか?」と聞かれたら、「はい」を選択。
引用終わり」

居候は、 「Windowsが使用不可にするリアルモードPCカードドライバを選びますか?」の質問には「いいえ」を選択し、「次へ」。 で、何もせずに止めてしまった。なぜかといえば、c:\config.sysに16bitPCカードドライバなど入っていなかったから。PlayAtWillを使っていたら、これがあるらしい。 Palmtop PC 110 Q&A参照。

とにかく、動かないPCMCIAソケットドライバは消して、このまま再起動しないで、コントロールパネルのハードウェアから通常にPCMCIAを導入する。ドライバは、上の2つが入ったフォルダを指定してやれば、.infファイルから自動的にドライバが導入される。

これで、再起動すればPCMCIAからが取れて、PCカードが使える。

PCカードHDDの導入

HDDは、250MB程度あれば何とかなる。 Wn95、MSDUN3.1 、IE5.5をいれる必要がある、どうもArgoのメールサーバはDelphiで作ってあるらしい。IE5.5以上のコンポーネントを使うのらしいのだ。4.xでも良いかもしれないが分からない。で、PC110は、IE5.5の要求するハードウェアスペック以下だが、別にIEを動かすわけではないから構わない(動くが、ワンクリック、5分待つ)。 ただ、250MB程度のHDDでは、ネットワークインストールしかできないので、ブロードバンドは必須である。33MHzの8MBだから、ネットワークが速くたって1時間位かかる。(後、VBruntimeが要るのか要らないのかわからない。当初、mail serverインストールエラーがIE5.5不足とはわからず、これ(5、6)を入れてしまったが、要らないかもしれない。)

以上が入ったら、Argo mail serverを入れる。WndowsでのSMTPサーバ(メールサーバ)の建てかたを見て設定。

PC110の省電力設定
これが、面倒である。D:¥ps2.exe(もともとのDosが入っている内部フラッシュメモリはD:になっている)を使って設定を行う。これはDosでしか動かないので、c:¥autoexec.bat内に書いて、起動時のDosを利用する。DOS窓では不可。

PC110の省電力設定用Autoexec.bat
rem po,lc,disk,speed を defaultにする。この必要は必ずしもないが、一度、LCを3に設定すると、
rem これでないと解除できない
d:\ps2 default
REM アイドルになってから三分間でサスペンド。レジュームするには、 Fn を押す
REM この機能は、使えなかった。ブルーパニックになるので、REMした。
rem D:\PS2 PO 3
REM 液晶を、アイドル3分後、消灯。 SHIFT KEYで復活
D:\PS2 LC 3
REM DISK OFF. レジュームは、SHIFT KEY。
rem DISKと言ってもPCカードHDDではなく内部ROMらしい
D:\PS2 DISK 3
REM PC-CARDのレジュームをEnableにする。D:\PS2 PO 3しても、
REM NICは生きているつもりだったが、ダメ。NICはサスペンドすると
REM Wakeupしないものなので
D:\PS2 RI E
REM KILL SERIAL
D:\PS2 SE D
REM KILL 赤外
D:\PS2 IR D
REM KILL FAX/MODEM
D:\PS2 IMODEM D
REM UNCONDITIONAL SUSPEND. レジュームは、Fn KEY
REM D:\PS2 OFF
rem kill pad
d:\PS2 IRQINK D
REM カバーを閉めてもサスペンドしない
D:\PS2 C D

電話モジュールは前面右についている10円玉位のスイッチを左にずらして切る。電話のアイコンが書いてあるのですぐ分かる

これで、液晶、シリアル、赤外、パッド、内蔵モデム、内蔵ROM?、電話を切った(つもり)。

D:\PS2 PO 3  が有効なら、生きているのは、MPUと主記憶だけになるので、嬉しいのだが、生き返らないのでは、使えない。大体、PCカード型HDDがサスペンドしなくては、回りっぱなしになるので、とても持たない。どのみち、サスペンドからWakeUpOnLANでは起きられないから、サスペンドは使えないので、HDDを単独でサスペンド/レジュームする機能がいるのだが、これができない。意外にアホな仕様かな?

結局、HDD停止は、コントロールパネルのパワーマネージメントで行った。 ただ、LANからの信号なのか?液晶もHDDも時々起き上がっているので、気持ち悪い。要調査。

一応、これでHDDもサスペンドできた。

これで目覚めている主部分は、NIC、MPU、主記憶だけ。NICのLEDが点いているので、分かる。これだと、通常のサスペンドと同じ状態だ。この状態でメールを送ると、HDDだけが起き上がって、SMTPサーバとして機能した。

ソフトCPUクーラで、i486に有効なのはCPUidleしかないが、シェアウェアなので止めた。Freeだったころのものは、Rainなどと同じくP5以降にしか有効でない。PS2.exeで、周波数は落とせるが、レジュームした時に元に戻らないので、使いにくいがメールサーバなどCPUを食うわけでもなし。周波数を落とそう。

autoexec.batに

REM Medium(中速・16MHz)にする。(H:33MHz,L:8MHz)
d:\sp2 sp m 

を付加しよう。ついでに下記2行を最後に加えた。かつ、 c:¥MSDOS.SYSをメモ帳で読み、BootGUI=1をBootGUI=0に変更。

win
d:\ps2 _@off

で、サーバだから、あまり関係ないが、電源オフもできるそうだ。 世界最小ソリッド95マシン PC110: 3-2.95で電源offを自動化させたいその21999/1/18追加  参照。



さて、以上で、PC110の分析を参考にすると、待機消費電力は5Wをはるかに切ったのではないだろうか?電源もかなり電力を使っていることはその熱さでわかる。無視できない。





155:2.5インチHDD→3.5インチコンバータの付け方    目 次

cvt1.jpg

このコンバータ、こんなチャチなものが半年前まではエラク高かった。それが、ここ半年位前から500円を切ってきた。その変わり、マニュアル説明書の類は一切ない。ん〜んミゴト。

下のように付ける。

下の写真で、裏側に「この2ピンに注目」と書いてあるが、この2ピンは他のピンから一つ置いて付いている。これはコネクタに接続されない。jpegなので、赤い字がにじんで読みにくいが、「この端で合わせる」と書いてある下端で合わせる。

cvt2.jpg   cvt3.jpg





156:IE5.5SP2の全ファイルをダウンロードする方法    目 次

IE5.5SP2以降は、ネットワークからしか、インストールできないらしい。雑誌の付録には、もう入れられないということをどこかで読んだ。本当かどうか最近、雑誌をかっていないので分からない(が、また別の噂では、ISPがPC店へ置いている接続用のCD-ROMにあると言う。早速手元の物を調べたらIE6が入っていた。これは@Nifty/ADSL)。が、まあ、あのヤクザ企業のことだから、その位のことは朝飯前でやりそうだ。ADSLにしたって、60MBを落とすにはちょっと時間がかかる。56Kモデムには悲劇だろう。米政府も早いとこ、独占禁止法を適用して分割すべきなのだが、GMに良い事は、米国に良いことだの論理が復活して、外貨を稼いでくれる企業なら、もう何をやってもいいという態度だから、地裁の判事あたりが何を言っても、大統領の息のかかっている連邦最高裁では、無視されるだろうね。欧米の正義なんて、そもそも三権は分立なんてしていない(三権分立なんて一体どこの国でしているのだろう?)、自分の都合でどうにでもなる正義だから。

全ファイルをダウンロードしてから安心してインストールする方法さえ、わかりにくく隠して有る。56Kモデムでは、ネットワークインストールなんて事実上できないにもかかわらずだね。これ、レジュームい対応しているんだろうか?

1.http://www.microsoft.com/japan/ie/へ行く
2.右にあるダウンロード一覧からIE5.5SP2を選ぶ
3.今すぐダウンロードする ie5setup.exe - 510 Kb を選ぶ。
4.これでie5setup.exe がダウンロードされる。たったの510 KBだからすぐ落ちる。
5. ie5setup.exe をダブルクリックして実行
6.このウィンドウが出るので、下の最小構成インストール。。。を選ぶ。
ie551.JPG


7.すると、このウィンドウが出るので赤い数字の順にクリック
  詳細設定ダウンロードのみ。コンポーネントの選択のような所は一切さわる必要はない。1→2→ok。。。でよい。
全く、こんな所に隠しておいて、裁判になったら、いや、ちゃんとフルセットダウンロードの手段は用意されています、と抗弁するつもりなんだろう。ゲイツの心根の卑しさは救いようがないね。

ie552.JPG





157:ウィルスの話;その本質と対策    目 次


ウィルスの話はPC雑誌のよい特集ネタで、いろいろな書き方がしてある。そして、焦らず冷静な対処をと書いてあるのだが、どれも感染法に関してあまり本質を突いた書き方ではないので、新手が出てきた時、その分類の中に入らなかったりして、どう対処して良いかわからずあせってしまう。

ウィルスの感染法の本質は、

1.PCへの侵入;ハードディスクへの書き込み
2.実行;メモリーへの書き込み


この2点に凝縮される。いかなるウィルスでもこの2つを行なうだけである。そして、それはプログラムに過ぎない。マクロウィルスだとか、何だとかさまざまな名前が付けられたり、分類されたりしているが、それはさまざまな形態のプログラムがあるからで、実体の本質は、単にプログラムである

だから、むやみに恐れることはない(が、感染(実行)したら終わりであることには変わりはない。人間と違って何の後遺症もなく直るということはありえない。Worm型では、PCは無事でも、信用は無くなっている。あいつからのメールには注意しよう、なんて。ネットワーク管理者なら首だね)。とはいえ、若干厄介なのは、Windowsでは、むやみにいろいろなプログラム実行エンジン(インタプリタ)が動く局面があるから(ActiveX(これはインタプリタも要らない)、VBスクリプト、Javaスクリプト、Word/Excelマクロ、バッチなどによる)これらのさまざまなウィルスプログラムは、何時、何を契機に実行されるかわからないことであろう。

さて、上記、1、2を見れば分かるように、ウィルスが貴方のPCに悪さをしたと言う事は、貴方がどこかの時点で、必ず、ウィルスの共犯になってPCを苦しめているのである。PCに電源を入れておくだけで勝手にウィルスが侵入して実行されるわけがない

注;
たとえば、マクロウィルスというのは、単にWordやExcelで使うことができるマクロという形式のプログラム言語で書いてあるというだけのことである。プログラム言語にはコンパイラ型とインタプリタ型 があるが、WordマクロとかVBスクリプト、Javaスクリプトは後者であり、テキストファイルでありながら実行できる。典型的なものに.batというバッチファイルがある。あなたのWindowsPCのC:¥を見るとAutoexec.batというファイルがある。これらのファイルは勿論、それを読んで実行するための別のインタープリタと呼ばれるプログラムが要り、拡張子がそれらと関係付けされているからダブルクリックで実行されるのであって、拡張子を.txtに変えてしまえば単なるテキストファイルだから実行はされない。とはいえ、プログラムであることにはかわりない。

一見例外に見えるのはサーバである。サーバは、人間の手を介することなく、他のPCとデータのやり取りをしている。このデータがプログラムであれば、侵入し、実行される。しかし、これもサーバというソフトを実行したのは人間であり、そのソフトにはウィルスの侵入を許し、さらに実行までも許すコードが書かれていたということである。意図的であろうが、バグであろうが。Nimda(逆から読んでみよう)はこの良い例である。


1.PCへの侵入
ウィルスは単にプログラムにすぎない。しかも実行されていなければ、単なる、bit列にすぎない。ウィルスだからといって、自分で自分をPCのハードディスクに書き込むなどということはできない。では、誰が書き込むのか?そのPCの使用者自身である。ウィルスの作者は、どうやって、PCの所有者にウィルスプログラムをハードディスクに書き込ませるか、これに悪知恵を絞る。とは言っても、そんなに名案があるわけではない。貴方が俗世間の欲望に負けなければ、何も恐くはないのである。

ちょうど、クラッカーどもがサーバに侵入する際、社会工学 の技術−−彼らは、自分達の詐欺の手口をこう呼ぶ−−を使う。つまり、用心が足りない人間をだまして、パスワードを聞き出すのに似て、I love youなんてサブジェクトのメールを送り込み実行させるのである。そう、メールはた易くハードディスクに侵入してくる。メールというものは、ウィルスを防ぐ第一関門をなくしてしまったのだ。剰つさえ、読み出すという実行まで簡単にさせてしまう。

そしてそのメールがHTMLメールであれば、その中にプログラムを書き込めてかつ、そのインタープリタとして、PCにはIEがインストールされていて、かつ、HTMLメールはutlook(xpress)でプレビューとか言って、勝手にメールを開いて読んでしまうため、この開いて読むという操作でウィルスプログラムが実行されてしまうのである。つまりWindowsは、IEとOEの連携で、ウィルスのディスクへの読み込みと、そのファイルの実行を人間の手を経ずに自動実行させ、それを防ぐための関門をすべて取っ払ったウィルス実行OSになっているのである。じゃあ、自分が悪いのではないと思うかもしれないが、メールをPOPサーバからとってきたのは貴方だし、もっとも悪いことには使っちゃダメと言われているOEを使っているのも貴方である。

注;
EdMaxでは、HTMLメールを実行しないで、テキストとしてしか表示しない設定ができる。(OEでも多分できるが方法は知らない。)

メニューから、設定→メーラ設定→表示→左側上から2段目のHTMLメールを表示のチェックをはずしておけば、HTMLファイルは貼付ファイルになり、表示は、テキストで行われる。ただ、これでも開いて、解読してテキストにしているので、安全かどうかはEdMaxの実装によるから分からない。実験してもいいが、面倒だし。誰かやってね^^;

プレビュー停止は、表示→最大化→リスト画面

HTMLメールではHTMLファイルは貼付ファイルになる。メーラがこれを表示する設定になっていると、IEのHTML解釈部(インタープリタね)が起動して、IEのように実行、表示するのである。


メールがなかった時代には、あなたが友人からもらった怪しげな、そして楽しげなコンテンツが入っているフロッピやCD-ROMをディスクにコピーしたその時を狙って、コンテンツに紛れ込ませてハードディスクに侵入させるしかなかった。そしてそれを実行させることはまた難しかった。ところが、最近は、ネットワークが普及したので、そこからの侵入が顕著であり、実行も難なくさせることができる。それにしたって、貴方自身が共犯であることに変わりはない。とにかく、ハードディスクに何かを書く行為、それを実行させる行為は、貴方が起動したOEとかIEのようなプログラムが行なうのだから;

侵入経路は、

 1.記憶媒体;FD、CD−ROM、フラッシュメモリなど
 2.ネットワーク;Web、メール、FTPなど

予防法は、

1.に関しては、得体のしれないファイルはコピーしないの一語に尽きる。
2.では、得体のしれないメールは開かない。得体のしれないWebサイトにはいかない。得体のしれないファイルはコピーしないの一語に尽きる。これらでは、ハードディスクへのコピーは、自動でされてしまうので、如何にして、実行を防ぐかにかかる。メールはISPのサーバにアクセスして読み出した時点であなたのPCにコピーされて、その中にウィルスプログラムが入っていれば、実行されるのを虎視耽々とねらっているのだ。それがHTMLメールなら、既に貴方は死んでいるのだ。

だから、プレビューは切っておくこと、HTMLメールは表示しないこと、宛名、サブジェクトに心あたりのないメールは開かず、即、削除すること。身も知らぬ人間に、I love youなんて、言われる覚えはないでしょ!!ワン切りだって、見知らぬ番号にリダイアルするスケベ根性丸出しのアホが大勢いるから商売繁盛してしまい、この前のNTT西日本みたいな事件になって、無関係な第三者まで迷惑するのだ。とはいえ、企業の営業さんは、開かないわけには行かないかもしれないが。家庭では、上記は守ろう。それでも、ウィルスが、MS−Outlook辺りから勝手に発信した友人名からのメールを読まずに消すことは難しい。居候も、友人からきたRe:Your Password! にはしてやられた。開いただけで、感染したわけではない。

Web上のアダルトサイトを始めとする怪しげなサイトには行かないこと。行きたいのなら、宇宙服のような防護服に身を固めて行く 。Outbreakに出てくるようなエボラ出血熱ウィルスが蔓延している地域に裸で入る馬鹿はいないでしょ。Webを見るということは、つまりモニターにHPが映っているということは、そのHPは、既にハードディスクにコピーされているということなのだ、ひょっとしたら、ウィルスも一緒にね。貴方はすでに死んでいるかもしれない


2.実行
ウイルスと言ってもプログラムなので、実行されなくては、只のコード−−ファイル以外にも、mbrに感染する原始的なものもある−−に過ぎない。実行されてナンボのものであり、実行されなければ恐くもなんともない。さっさとワクチンソフト(アンチウィルスソフト)で駆除しよう。侵入から実行までを一気にこなすことは難しく(上記のIE、OE連携でそれができるようになって悪人達はウハウハ言って喜んでいる)、悪人どもは如何にしてあなたをダマクラカシテ、ウィルスを実行させるかにこれまた知恵を絞るわけである。

こんなものは、それほど方法があるわけではないので、結局は、まんまとだまされたアホなあなたが実行していることになる。昔風の、FD、CDによってコピーされた場合、コピーすることが目的の人はいないだろう。ファイルがプログラムなら、実行する!!だろうし、コンテンツなら見ようとして、何かプログラムを動かす。コンテンツが単なるテキストなら恐くはないが、最近のように、プログラム−−Javaスクリプト、Perl、VBスクリプト、そして極めつけは、ActiveX−−を含むHTMLコンテンツなどは何でもありだ。HTMLコンテンツをクリックすると、IEのようなブラウザが起動する。そしてその中には上記のプログラムを実行するエンジンまで入っているのだ。Outlook(Express)から来るHTMLメールなんかを何も考えずに、これまたOEで開いている人達は恐れを知らぬ無垢の天使ような人達だ。

話が、先走ってしまったが、とにかく、なんであれ、得体のしれないファイルは、”実行”ということはしてはいけない。つまりダブルクリックしてはいけない。メールの添付ファイルを何も考えずに実行するのは狂気の沙汰である。 .exe形式の圧縮ファイルは、たとえ知人からのものでも受け入れない人はプロには多い。zipとかlhaなど実行形式でない物で再送を要求するのだ。これなら解凍したあとのソフトがプログラムでなければ恐くはない。解凍自体は自分のもっている安全なソフトが起動するだけだからね。解凍された結果がまた.exeなら、出自を相手によく確認して安全が保証されたら実行してもいい。なら、.exe形式の圧縮ファイルだって安全を確認して実行してもいいのではないかと思えるが、これは心構え/習慣の問題なのだろう。

添付ファイルが、xx.zipに見えているからといって、実行すれば自分の安全な解凍プログラムが起動するとは限らない。Windowsは、デフォールトでは拡張子を隠しているから、xx.zip.exeというファイルは、デフォールト設定のPCでは、xx.zipに見える。これをダブルクリックすると、解凍プログラムは起動せず、このプログラム自体が実行される。オオ、コワ。さらに、そのプログラムは、一見何もしないかもしれないが、次回電源オン時に自動実行されるよう、レジストリを書き換えてから、終了してしまったのかもしれない。

注;
添付ファイルが、実行形式でなければ、これをダブルクリックするとあなたがPCにインストールし、関連付けてあるソフトで実行される。このソフトの素性は、あなたがインストールしてこれまで使っていたソフトだから、安全なことは分かっている(はずである)。しかし、メールに添付されている実行ファイル、.exe、.vbs、.batなどなどは、他人が送ってきたプログラムだからウィルスかも知れない。メーラで見えているということは、すでにディスクまで侵入されてしまったのだ!!これを、安全性を確認もせず、ダブルクリックして、実行してしまう人は、どんな脳天気な脳味噌の構造をしているのか想像もつかない。

さらに、実行形式にみえなくても、上に書いたように、.exeなどが隠されて、.jpg、.bmp、.doc、.txtなど一見コンテンツに見えるものもある。実は、その後ろに.exeが隠されているかもしれない。エクスプローラのツール→フォルダオプションで、登録されている拡張子は表示しない、からチェックを外してておこう。

HTMLファイルは、テキストファイルだが、実行形式が含まれ、さらにWindowsはインタープリタ(IEの部品)をもっているので、プログラムである。.batだって、テキストファイルだが、シェルによって実行されるでしょ。同じことだ。

レジストリ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run〜RunServicesOnceまでを見ておく。ここにあるものは起動時自動実行される。WindowsのProfileなどあちこちにあるスタートアップにも同じ機能があるし、
C:¥Windowsにあるwin.iniの

[windows]
load=
run=

も同じ機能がある。


Webなら、見知らぬ怪しげなHPでOKとかはいとか、いいえとか、とにかくいかなるボタンも押してはいけない。それが、AcrtiveXという形態のプログラムを実行させる手口なのだから。まさか、これからウィルスを実行しますがいいですか?Yes?などというメッセージはでないよ。このホームページに入室しますか?とか、このホームページは気に入りましたか?なんて何でもないメッセージで誘い込む。ActiveXを無効にする設定 にしてからしかそのようなHPには入ってはいけない。

Nimdaなどサーバを狙うウィルスも基本的には同じ原理だ。なにしろサーバというのは、メーラやブラウザと同じで、他のプログラムと会話をする。つまりデータのやりとりをするのだ。で、データはよくチェックするのがまともなプログラミングなのだが、IISのようなドジなプログラムは、あろうことか、良くチェックもせず、自分の主記憶にコピーしてしまうのだ。

普通、他人に何かを持ってくれと言われたら、もてるかどうか見るよね。何も考えずに、300kgのバーベルを受け取る人間はいないと思うのだが、IISは、はいと言ってもってしまって、挙げ句自分の足の上に落としてしまい、余りの痛さに気絶したところを、相手に何でもされホーダイになったわけだ。Nimdaに蹂躪されたのは、このバッファーオーバフローというアホという以外に言葉がみつからないバグなんだね

で、うっかり実行してしまったら、電源なんか切ってももう遅い。なにしろ相手は、2.5GHzで実行されている。何よりも先にLANかモデムを引っこ抜こう。他人に迷惑をかけないこと。さて、自分のPCの安否は、HDDを書き換えられたり、フォーマットされるかどうかにかかっている。HDDアクセスを何かジャンジャンやっていたら、自分の不注意を責めながらデータやプログラムは諦めよう。まあ、とにかくウィルスバスターのようなワクチンソフトを実行するしかない。壊れた物は治らないけどね。 ワクチンソフトがなければ、電源を切って、明日秋葉原で買ってこよう。でも電源を入れたら上記したようにスタートアップ時にウィルスが実行されてHDDフォーマットされるかもしれない。まあ、エボラ出血熱に感染したと思って諦めよう。

データを諦める覚悟があれば、ワクチンは要らない。起動FDから起動して、DOSで、fdiskか、formatのどちらか一つをすればいい。それから、MBR型ウィルス駆除のため、fdisk /mbrもやっておく。これは必要ではないが、sys  c: もやって、PBRもきれいにしておいてもいい。これで、HDDは完璧だ。ウィルスといえども単なるプログラムなのだから、WindowsのAPIやインタプリタを利用しているウィルスは、Windowsが起動していなければ動けない。単なるディスク上のゴミなのだ。ただHDDのMBRに巣食うMBR型ウィルスは、起動時のMBR段階という極めて早い時期に動くからHDDからの起動はしない方が良い。ウィルスの入っていない起動FDからPCを起動している分には、何も恐くない。Windowsを再起動した時に、貴方がダブルクリックで起動した覚えがないのにウィルスが起動するとしたら、MBR型か、レジストリか、スタートアップか、Win.iniのどこかに自動起動の設定がしてあるという普通の常駐プログラムと同じであって、魔法ではない。

BIOSを書き換えるウィルスはなんともならないかもしれない。FD起動する前にBIOSが起動しているからね。それがFD起動をさせなければ、もうだめだ。BIOSupdateもできないだろうから。この場合は、ソフト的ではなく、つまりOS入れ直しはできなく、PCそのものの廃棄になる可能性が高い。BIOSアップデート の失敗と同じだ。

大体、新種のウィルスならワクチンソフトも対応できていないので、どうせだめだ。ワクチンソフトのメーカHPにそのウィルス用のパターンファイルがあれば、ダウンロードして実行。そもそも通信部分に悪さして、ダウンロードを邪魔するウィルスもいるので、これにかかると厄介だ。上に書いた、FDで起動してformatする方法が簡単だ。

ウィルスパターンって、推測だけど、そのウィルスの機械語のビット列だね。マクロのようなインタプリタ型は、文字のビット列だ。その全体か、特徴的な命令の並びのbit列でしょう。それが、PC内のファイルに含まれていないかどうかをファイルを全てバイナリで読んで全検索するわけだ。駆除できるということは、ウィルスの機械語ビット列全体をファイルとパターンマッチングして、その部分があれば、削除するというのだろうね。だから、新種のウィルスには旧来のワクチンソフトは何の効果もない。中耳炎に水虫の薬を飲んでいるようなものだ。まさに医学のウィルスとそのワクチンの関係と同じだ。ワクチンは、ウィルスが手に入らないと作れない。

ああ、それから、ワクチンは上のような原理だろうからHDDをフォーマットされたり、OSファイルを消されたりしていなければ、ワクチンソフトはウィルスが活動していてもマルチタスクで実行できるから、まあ、有効だ。たとえば、OEのアドレス帳からアドレスを読み出してメールを出しまくるウィルスには有効で(メールを出すのを止めさせるには間に合わないかもしれないが)、ファイルは削除してくれる。でも主記憶で実行しているウィルスは?主記憶から消すには、再起動が一番簡単かな。CTRL+ALT+DELでプロセスを探し出しても消せるかな。あるいはワクチンがやれるかな?あまり深く考えたことがないから分からない。ワクチンの作り如何なのだろう。

ワクチンソフトを削除するウィルスは原理的には作れそうだね。自分のパターンを持っている自分以外のファイルを削除するプログラムにすれば良いが、これって、消し合いになるなあ、どうなるのだろう?早いもの勝ちか。ウィルスに分が薄いのは、ワクチンは使用者が自分の意志で起動するが、ウィルスは、使用者が不注意で起動してくれるのを待たないといけないので、これは不利だ。多分、ウィルスが先に消されてしまう。とはいえ、ワクチン型ウィルスなんて作られたら面倒だ。つまり、ワクチンのパターンを持っていて、それを消すウィルスだ。作るのはやさしい。ワクチンソフトが常駐して侵入を監視していて、先にやっつけないと、危ない。

まとめ

ウィルスが巣食うのはHDDかBIOSの入っているCMOSしかない。前者なら、format、fdisk、fdisk /MBR、あるいはワクチンでHDDから駆除できる。後者なら、ほとんど諦め。PCは廃棄である。メモリー(DRAM)に居るのは一時的である。電源offで、メモリーからは当然ながら消えてしまう。従って、ウィルスは、PCの電源on時に、なんとかして自分を自動で起動できるよう、侵入時にレジストリを細工している。

破壊的ウィルス
1.HDDの内容を壊す物;フォーマット、ファイル削除など
2.BIOSを壊すもの

このどちらかしかない。

1.ならデータ、プログラムは諦めて、ブートFDから起動して、fdiskかformatのどちらか、それからfdisk /MBRを行えば完璧である。

もし、ウィルスにデータやアプリをいくつか削除された程度で、HDDをformatされていなければ、またOSのファイルを、Windowsならc:¥Windowsの中を壊されていなければ、ワクチンソフトでHDDからウィルスの駆除を試みる。これでうまくいけば、データ/プログラムが助かる可能性はある。

2.の場合、PCそのものが廃棄になる可能性が高い。BIOSを壊されては、PCがFDからでも起動できないからである。万が一、FD起動ができるのなら、そしてBIOSアップデートができるのなら、それを行えば良いが、そんな甘いウィルスを作る馬鹿はいないだろう。

通信を混乱させるウィルス;正確にはワーム
この場合、PCを壊すわけではないが(簡単にできるが、やらないようだ。だが油断はできない。)、HDDの内容(あなたのプライバシーなど)をインターネット上のどこかにメールあるいはその他のプロトコルによる通信で漏らしたり、大量メール発信で他人に迷惑をかけたりする愉快犯的なものである。

対策は、LAN/モデムは線を引っこ抜いておき、ウィルスバスターのようなワクチンソフトでHDDから駆除する。そして再起動すれば、安全になる。勿論、1.と同じ対処でもよいが、普通、こちらの方が症状は軽いので、そこまでしなくても良いことが多い。

ウィルスは、HDDに侵入して、何らかの手段で−−たとえばIE,OEのバグを利用したり、ユーザをだまして−−−起動後は、レジストリを書き換えて、PCの再起動時には自動起動したり、スケジューラを使って、ある特定の時間に起動したりするよう設定する。これがマジックのように見えるので、初心者には不気味にみえる。

162.フリーのアンチウィルス ソフト
164. 家庭PCのセキュリティ保護法;メール添付ファイルのウィルス発見ソフトと、IPフィルタリング規則の書き方





158:子供/ご老人用、超簡単操作ブラウザ    目 次


EZbrowserダウンロード 252KB



特徴;
・URL入力窓がない。
・Back(戻る), Forward(進む), Home(起動時画面), Refresh(再読込み), Stop(読込み中止)の5つの操作しかできない。

起動時表示URL=Homeはc:\ezindex.html です。これがないと、どこへも行けません。なにしろ、URL入力できないから。で、子供のアクセス制限にもってこいです。会社でのアクセス制限にも? と思ったが、どのページも全てセキュリティホールがあって、子供用ではないURLにリンクされている。ezindex.htmlに挙げたどのキッズURLも子供にとって安全ではない。ポータルは、もう少し、考えてHPを作ってもらいたいものだ。全然本気で子供のことなんか考えてはいない。

上図のサンプルezindex.htmlは同梱してありますから、c:\にコピーしてください。

なお、セキュリティ設定は、普通のIEの

   ツール→インターネットオプション→セキュリティ

で設定してください。EZbrowserはIEのコンポーネントを使っているので、この設定は共通になります。


やっぱりURL入力窓が欲しいと言う方用

EZbrowser2ダウンロード 252KB


やっぱり本物のお気に入りが欲しい、ファイルメニューが欲しい、ツールバーも欲しいと言う方はIEかネスケを使ってネ --メ

根性ある人は、自分で作ってネ

147. Delphi日記1; 20020606;22:00;Delphiダウンロードと使い方
147. Delphi日記2; 2002.0629;ブラウザの作り方




159:初心者用簡単ADSLセキュリティ確保法     目 次


ADSLモデム(CATV、FTTHでも同様)のWAN側(ADSL側)とLAN側で、モデムのLEDがチカチカ光って、侵入されているようで怖いという話しは良く聞く。我が家のYahoo!BBのADSLモデムも、常時、1日24時間、それをやっている。なにか管理プロトコルがやっているのだろう。あるいは、ポートスキャンをかけられている可能性も非常に高い。何しろ、変なポートに隠して有るサーバへのアクセスログがファイアウォールに残っている。こんなサーバはポートスキャンしなければ絶対に見つからない。しかもアメリカの田舎からね。暇人もいるもんだ。で、怖ければ、以下のようにすれば安全である。ああ、それから、Win2000やXPなんかは初心者がインターネットにつないで触ると、なかなか恐いものがある。どんなサービスがオンになっているか分かったもんじゃないからね。何がなんでもBBRが必要だ。

1.ブロードバンドルータ (BBR)を間に入れる

 BBRなど1万円を遥かに切っている。7000円でもある。何を買うべきか沢山あってわからないなら、2001年以降のモデルなら何でもよい。念の為にいうと、欲しいのはIPマスカレード機能だけである。他の機能は付録である。2001年以降のモデルで、これがない物はない。1万円以上もするものは、複雑すぎて、初心者にはかえって、セキュリティホールを開ける危険性がある。

2.BBRのバーチャルサーバ機能は使わない
3.BBRのDMZ機能があれば、DMZのIPアドレスを192.168.0.254 にして、
  実際にはこのIPアドレスを使わないようにする。
  BBRには、DHCPで使うIPアドレスの範囲を設定できるが、家庭にPCが20台も
  あるわけがないので、192.168.0.2-192.168.0.20位にしておく。
  そうすると、192.168.0.254 などというPCは存在しないので、pingされても、
  BBRの中で消えて、応答えを返さない。これで、侵入者から、一層、見え難くなる。


これだけである。まずは、1.だけでも良い。BBRの工場設定で、2.のバーチャルサーバ機能が有効になっているわけは無いので、1.を実行するだけでも、モデムに直にPCやハブを直接付けるより圧倒的に安全である。これでPCに組み込むゾーンアラームのようなソフト・ファイアーウォールも要らない。BBRがWANとLANを切り離し、WANからの全アクセスを無条件で拒絶するという強力無比なファイアウォールになっているから。

インターネット−−−−ADSLモデム−−BBR−−−PC(又はハブ)
    WAN                         LAN


安全な理由

BBRのWAN側にはISPのサーバから(ISPにより異なるが、普通)グローバルIPアドレスが振られる。
BBRのLAN側のPC群には、BBRからプライベートIPアドレスが振られる。
プライベートIPアドレスはインターネットからは見えないので、LAN上のPC群は、インターネットからみたら存在しないと言うことになる。

従って、存在しないPC群に、インターネットからは、侵入のしようがない。

初心者はやらない方が良いと思うが、どうしてもという場合、上のように BBRを間に挟めば、LAN側のPC間で、Windowsのファイル共有をしても良い。コンピュータブラウザのためのパケットは、ブロードキャストされるが、ブロードキャストはBBRを超えられず、BBRの向こう側(WAN側)には届かないからである。だからインターネット上のPCのネットワーク コンピュータやマイ ネットワークにはLAN上のPCは表示されない。

しかし、多分、インターネット上に居るMicrosoftネットワーク クライアントがBBRのグローバルIPアドレスにサービス要求パケットを出せば、BBRにまでは届くだろう。Microsoftネットワーク共有サービスはサーバ機能であるが、これを設定したPCをBBRでバーチャルサーバに設定しなければ、インターネットから来たMicrosoftネットワーク クライアントのパケットはBBRで行き先を失い、破棄される。とはいえ、何となく不安が残るだろう。で、TCP/IPでのMicrosoftネットワーク共有サービス/Microsoftネットワーク クライアントは止めて、以下のようにNetBEUIでMicrosoftネットワーク共有サービス/Microsoftネットワーク クライアントを行う。NetBEUIはブロードキャストベースのプロトコルだから、BBRを越えられない。WinMeとか、2000ではNetBEUIは隠されているから、どこかでいれる方法を探してネ^^;;

以下を設定しておく。NetBEUIプロトコルを入れてMicrosoftネットワーク共有サービス/Microsoftネットワーク クライアント を入れ、NetBEUIのプロパティのバインドタブで、Microsoftネットワーク共有サービスとMicrosoftネットワーク クライアントをバインドしておく。同時に、TCP/IPのプロパティのバインドタブで、Microsoftネットワーク共有サービス/Microsoftネットワーク クライアント のチェックを外しておく。これは、Microsoftネットワーク共有サービスをTCP/IPでは禁止してNetBEUIプロトコルで行うものである。NetBEUIは絶対にBBRを超えられないので、万が一にもインターネットからファイルが見えることはない。

それから、共有設定は、パスワードを有効にしておく。何でも、やれることはやっておくのがセキュリティの基本である。うっかりミスで、一つが実は設定できていないということがあっても、何重にもしておけば、どこかで守られる。

以下は必ずしも必要ではないが、更に、腕があれば、BBRのIPパケットフィルタで、137〜139のポートの外向けパケットを破棄する設定にしておく(内向けも設定できれば、勿論、破棄する)。これは、Microsoftネットワーク共有サービスのパケットでインターネットへ出て行くもの(上をキチンとやっていれば、そんなものはありえないが、やれることはやっておく)を捨てる機能である。


補足説明
・ルータ(ここではBBR)というものには、イーサカード(NIC)が2枚刺さっている。1枚はWAN側、もう1枚はLAN側。従って、WANとLANは直接には繋がっていない。インターネットからは、WAN側のNICしか見えていない。従って、ハード的にはLANにはアクセスできないのである(ルータの中のソフトがつないでいる)。

BBRにバーチャルサーバ機能があり、その機能を有効にしておくと、侵入することができる。
WANからは、BBRのWAN側IPアドレスしか見えない。しかし、そのアドレスに来た、特定のポート番号のパケットはバーチャルサーバに指定したプライベートIPアドレスに転送するようにできる機能がBBRにはあり(無い物もある)、それをバーチャルサーバ機能とよぶ(メーカによっては、バーチャルコンピュータとも呼ぶ)。これはBBRでユーザが設定する。バーチャルサーバに192.168.0.2を指定して、LAN上に現実にそのアドレスを持つPCが存在すると、上記のパケットは全部そのPCに転送される。つまりインターネットから見たときには、BBRは筒抜けで、そのPCが見えるということである。なお、パケットのアドレスはIPアドレスとポート番号の組だと思っておけば良い。

この場合、インターネットから侵入できる可能性がある。何しろ、見えているのだから。


DMZ;DeMilitalizedZone非武装地帯機能という変な機能がある。行き先ポートが一定しないパケットを使うインターネットゲームや、NetMeetingなどをする時に使う。

バーチャルサーバには、ある特定のポート番号へのパケットが転送される。つまり、LAN上にメールサーバをたてれば、これを25番ポートのバーチャルサーバとしてIPアドレスを指定する。すると、25番ポート行きのBBRのグローバルアドレスに来たパケットは、このバーチャルサーバに回される。 バーチャルサーバ機能で設定しなかった残りすべてのポート行きの(PCへの応答でない)パケットはすべてDMZに指定したIPアドレスに回される。で、そんなアドレスをもつPCは作らないようにすれば、侵入調査に使われるパケットは捨て去られ、安全である。


プライベートIPアドレスとグローバルIPアドレスについて
電話とインターネットはそっくりな構造をしているので、電話にたとえて説明しよう。 プライベートIPアドレスとは内線番号で、グローバルIPアドレスとは外線番号である。 BBRは、構内交換機/構内交換手である。外線と内線は直接つながっていないところが味噌である。

 外線             インターネット
 内線             LAN
 外線番号          グローバルIPアドレス
 内線番号          プライベートIPアドレス
 構内交換機/交換手    ルータ/ルータのソフト

外線からあなたの内線番号、351をプッシュしても、これは絶対につながらない。これはわかりますね?たまたま、貴方の会社が超大会社で、7桁の内線番号を使っていたとして、7654321だったとする。で、外線から掛けて来る人の住んでいる町の市内番号に偶然この番号があれば、その家にかかってしまい、貴方の会社の内線にはかかってこない。当然である。NTTの交換機は、日本中にある企業の内線番号などしらないのだから。それは構内交換機で隔離され、隠されているのだから。

で、外線から内線にかけるためには、その会社の代表番号という外線番号にかけて交換手を呼び出す必要がある。この代表番号になら、外線からでもかけることができる。同様に、BBRのWAN側についているグローバルIPアドレスは、この代表番号であり、ここまでならインターネットからでもアクセスできる。

さて、ここまでで、BBRをいれれば、なぜLAN上のPCが安全かわかったと思う。BBRはLANを内線化する構内交換機の役割をはたすからだ。LANをインターネットから見えなくする。ADSLモデムにPCやハブを直結するということは、電話ではダイアルインに当たる。外線からいきなり構内の電話にアクセスできるのである。くれぐれも、これだけは止めた方が良い。

交換手に、外線から掛かってきた電話はどこへもつないじゃいかん。と言っておけば、外線からは、内線に電話しようがない。交換手が、「済みませんがおつなぎできません」、と全部断ってしまうからだ。BBRは普通、買って来た時にはそういう設定になっている。なっていなかったら、PLで訴えよう ーーメ。これで、LAN(内線)への侵入はできない。でも、設定をまちがえると、交換手に指示を間違えたことと同じなので、何がおきるか分からない。くれぐれも注意。まあ、あまり複雑なことはしない方がいい。

内線から外線にはかけられる。交換手を呼びだし、03-1111-xxxxへつないで欲しいと頼むだけである。こちらからつなげば、相手の声もこちらに届く。ここが味噌である。外線からはつなげないが、内線からつなげば、外線からの音声も届くのである。BBRが間に有っても、Webからデータを送ってこられるのはこの原理である。だから、産業スパイが侵入して内線から電話を掛けてデータを送ることは可能である。トロイの木馬ウィルスである。

社内にサービスセンターを設けて、お客にサービスしたい、とする。つまりサーバである。この場合、交換手に外線からかかってきた電話で、サービスセンター向けの用件だけは、内線333につないで欲しいと言っておく。すると、外線からは代表番号にかけて、サービスセンタ−につないで欲しいといえば、交換手は333につないでくれる。この場合、「サービスセンター」がポート番号(インターネットでは「サービスセンター」のような言葉ではなく、25とか110とかの番号を使う)、「333」がバーチャルサーバのIPアドレスに相当する。こうすると、外からは、サービスセンターが見えることになる。で、ヤクザが333のサービスギャルにイチャモンを付けることが可能になる。初心者はサーバなどたててはいけない。

BBRでは、外線からかかってきた電話には交換手がでて、おつなぎできませんと断るようになっていると上で書いた。これでは、この外線電話番号は存在するということがわかってしまう。つまり悪漢が、pingなどを打って盗みに入る家はないかいなと探しているのにわざわざ返事するようなものだ。「ただいま留守にしております」といって泥棒に、今、留守だよとわざわざ教えている天真爛漫な留守番電話みたいなものだ(注)。外線に交換手が出て答えてしまうと、中には交換手を脅迫するヤクザも出て来る。で、交換手がいいなりにどこへでもつないでしまえば、セキュリティも何もない。NimdaにやられたIISみたいなものである。笑ってはいけない、多くの侵入は、この手の、OSを屈伏させて、その権限を奪うことから始まっているのだ。

それで、電話機をつないでいない、999という内線を用意し、外線からかかってきたら、交換手は無言でここにつないでしまう。999に電話機はないから、相手がいくら呼び出しても何もおきない。これが、上で述べた存在しないプライベートIPアドレスをDMZに設定するということである。この説明は実はちょっと無理がある。電話では、いったん、交換手が出て相手と話さないと、どの部署に用があるのかわからない。出てしまえば、この外線番号は存在することがバレてしまう。実際のインターネットはすべて電子化されているから、IPアドレスとポート番号が組みになって送られて来るので、相手にどこへつなぐか聞く必要がない。まあ、比喩なのだし、サーバはたてないことが原則なら、電話のばあいも大体こんなものかと分かるでしょ。


家の前で、車が故障したから電話を貸して欲しいと、通り掛かりの男が尋ねてきた。で、親切にもその家の人は、いろいろと助けてあげた。数日後、くだんの男から、お世話になった、ほんのお礼のしるしにと、高そうなミュージカルだか、クラシックだかの入場券を家族分の枚数だけ送って来た。喜んで、家中で、出かけた。で、その数時間は確実に留守なのだから、くだんの男とその一味はその家にトラックを横付けして悠々と家財を一切合切、盗んでいった。米国での実話だそうだ。日本人は、本当に天真爛漫だ。ポーランドのアベックに英語で声をかけられた位でうろたえてキャッシュカードを盗まれるなんて信じられない。おまけにその暗証番号を入力するところを後から見られていても気が付かないなんて!!ポーランドでは、日本にいけばアホばかりだから金になるという噂があるのだそうだ。まあ、中国やイランでもそうだろうな。誠に安全と水はただの国だ。万里の長城を盗んで建築資材にしてしまう図太い中国人にやっつけられっぱなしなのはうなずける。このニュースを聞いた時、さすがに居候も唖然とした。

インターネットにつなぐということは、島国日本といえども、ウォータウォール?やバンブーカーテンには守られていない。いきなり世界とつながるということである。お願いだから、安全はただだなんて思わないで、世界水準の安全確保意識をもって欲しい。


例外
ウィルスを使った侵入
BBRを使っても、トロイの木馬にやられると、侵入を許す。LAN上のPC群からは、Webやメールができる。Webサーバやメールサーバは、グローバルIPアドレスだから見えるからね。もし、メールサーバがプライベートアドレスなら、見えないのでメールもだせない。 さて、PC群からインターネット上にあるサーバに出した要求は、BBRが仲立ちして、届けるので、インターネットからのパケットでも、LAN上のPC群からの要求に応えるパケットは、あたかも見えているように届く。でないとWebは見えないし、メールも届かない。

すると、こんな手で侵入する輩が出てくる。メールは、ISPのメールサーバにPC群からアクセスするので、PC群に侵入してくる。あたりまえである。このメールに、PCから勝手に発信するソフトを添付しておくのである。貴方が、ダブルクリックして起動してしまうと、HDDに潜んで、知らぬ間にPC側からインターネットのどこかに(多分、悪の巣窟のサーバに)何か通信する。そうすると、この通信は、PC側からアクセスしたので、そのPCはインターネットからその通信に限ってだが見えていることになる。で、侵入される。トロイの木馬Trojan Horseというウィルスもどきである。まあ、メールと危ないWebサイトには気をつけましょう


119. ブロードバンド、broadbandについて
129.家庭サーバのセキュリティ確保のために
157. ウィルスの話;その本質と対策
164. 家庭PCのセキュリティ保護法;メール貼付ファイルのウィルス発見ソフトと、IPフィルタリング規則の書き方
0.Windows Networkのトラブル解消の為のチップス

      


このページの先頭    目 次