電車でノートPCを使っているとき、ふと電池残量を見たところ、残り2時間半 と表示されていた。いつもなら4時間はあるはずなのに、もう電池性能が劣化 したのだろうかと疑問に思ったところ、廃熱ファンがブンブン回っているのに 気付いた。「タスクマネージャ」でCPU使用率を調べると70パーセント前後と なっていた。
Firefoxのプロセスが負荷を食っていたので、開いていた複数のタブをひとつ ひとつを閉じていったところ、ITPro のサイトを全部閉じたところで負荷は通 常に戻った。原因は、特定のバナー広告(Flashによるもの)だった。
図1は普段のCPU使用率である。この時点でFirefoxは多数のページを開いてお り、ITProの他のバナー広告のあるページも開いているところだが、概ねCPU 使用率は3パーセント以下程度である。
これが、特定のバナー広告のあるページを開くと図2のようになる。
Aの区間は、そのバナー広告のページを開いてそのままの状態を保っている 状態であり、Bの区間は、別のタブを表に出したとき(問題の広告のあるペー ジのタブをバックグラウンドに移したとき)の状態である。問題の広告を見え ない状態にしたときでさえ、CPU使用率が 20パーセントほどとなっている。
問題のバナー広告は図3のものだ。
この広告の .swf ファイルは以下のURLで参照できる。
http://ad.jp.doubleclick.net/954254/IBM_STG-AD_xSeries_X3_90x728_30k_mugen_IT-Pro_0530.swf
どうやら、背景でうごめいている三次元ワイヤーフレーム風のアニメーション が過大な負荷を食いつぶしているらしい。
この種のアニメーション広告は、スクロールさせて見えなくするとか、タブを バックグラウンドに移すとか、ウィンドウを最小化で隠すとかで、CPU使用率 をゼロにできると思い込んでいたが、この広告は違うらしい。図4は、タブを バックグラウンドで開くことで、見えない状態でこの広告のあるページを開い たときの様子である。
Cの区間は、1つ目のページをバックグラウンドで開いたときであり、Dの区間 は加えて2つ目のページを同様に開いたときである。CPU使用率は積み重なって いるようだ。2つのページを開いているときで、40パーセント弱の使用率と なっている。念のため、これらのタブを閉じたときの様子を図5に示すが、 CPU使用率は平常時に戻っている。
電車の中で電池消耗が気になったときは、IT Proのページをたくさん開いてい た。たくさん開いておいて、オフラインでひとつひとつ読むためだった。おそ らく、この広告が4、5枚くらい表示されていたのだろう。
こういう広告が増えてくると、何の価値もなく無駄に電力が消費されることに なる。これからの時代は、サイバー広告も環境負荷への配慮が必要となるので はないか。
近い将来、広告に次のような文言が記載されることになるかもしれない。
サイバーECO適合広告
当社はISO 14001認証を取得し、エネルギー消費量の低減など環境負荷低減対 策に取組んでいます。この広告はCPU使用率が平均値3パーセント以下の サイバーECO適合基準を満たしています。
参考: 日本IBMの環境への取り組み
佐賀県が電子申請システムのモニターアンケートの結果を公表している。アンケート結果の4ページ目に掲載されている「事前準備及び操作等に関する結果」は、次のように主張している。
「セキュリティ証明書」のインストールなどの事前準備、県庁ポータルID登録、 ICカードリーダ・ドライバ等のインストール、電子署名操作および全般的な 操作の各難易度については、グラフ6〜10のとおりとなっており、 全体的に「簡単」という回答が多くなっています。
そのグラフとは次だ。
そりゃあさぞかし簡単だろうよ。なにしろ佐賀県はルート証明書を安全でない 方法でインストールさせているのだから。
佐賀県が県民に説明する証明書のインストール手順を見ると、 安全でない通信で証明書をダウンロードさせたうえ、同じく安全でない通信で フィンガープリントを掲示して、両者を照合せよという、何の確認にもならな い誤った手順を指示している(図2)。県の広報誌などに掲載のものを確認せ よといった指示はみあたらない。
そりゃあ、証明書といっしょに目の前にフィンガープリントも並んでいれば、 ユーザにしてみれば「インストールは簡単」ということになろう。
これらのページ自身がLGPKI発行のサーバ証明書によるhttps:// ページなので、 当然にセキュリティ警告が出る(サーバ証明書の真正性が確認できないとの 警告が出る)わけだが、 佐賀県は「セキュリティ警告が表示されたら」のページで、「はい」ボタンを クリックせよと言っている。
本サイトにおいて次のページ(FAQ、意見投稿、アンケート、電子掲示板、申 請・届出、メールマガジン、ログイン、ID登録)を表示する際に、セキュリティ 警告画面が表示されることがあります。これは、本サイトと安全な通 信を行うために必要な「証明書」のインストールを促すものです。 「証明書」をインストールすることによって暗号化された安全な通信を行うこ とができます。
(略)
(1)インターネットエクスプローラをご利用の場合、セキュリティ警告画面が 表示されます。【はい】ボタンをクリックすることで、一時的に暗号 化された通信を行うことができます。
アンケート結果の最終ページには「自由意見」として次の意見が 掲載されている。
・マニュアルに従って行けば簡単に出来たが、パスワードや個人情報が守られ ていると解っていてもセキュリテイのところで不安は付いてまわる。(50歳代)
その不安を抱く直感は正しい。パスワードや個人情報は正しく守られていない のが事実であり、警告画面が現れるのはそのことを示している。 残念ながら県庁が主張することだからといって信用できないのが現状であり、 Microsoft社の言うことの方を信用した方がましだ。
1月14日の日記「小学生にセキュリティ警告を無視させる埼玉県」の件は改善があったようだ。 埼玉県のサイト全体が「.lg.jp」に移転し、小学生向けクイズの https:// ページは VeriSign発行のサーバ証明書*1で提供されるようになっていた。
しかし、クイズの回答を入力して「次へ」ボタンを押すと、
というように、住所、氏名、年齢、電話番号、FAX番号、メールアドレスの 入力画面が現れる。埼玉県はいまだに小学生にこれを入力させているのか。 この情報がどのような目的に使われるのかの説明もみあたらない。電話番号は 何の目的で収集するのか。
3月の読売新聞にはこういう記事が出ていた。
「選ばれたあなたにゲームの最新情報教えます。プレゼントもあるよ」――。 こんなウェブサイトを見た子供はどうするだろうか。渋谷区立笹塚小(高橋妃 彩子校長)の5年生約70人のうち、「ここをクリック」で先に進んだのは約 半数だった。(略)
クリックすると「プレゼントを送るので送り先を教えて」と続き、住所、名前、 生年月日、家族の勤務先などを入力する欄が現れる。「続きを知りたい」とど んどん先に進む子、「変だな」とためらう子など反応は様々だ。
(略)
文科省は新年度から全国15のモデル校で情報モラル授業を行い、指導方法の 研究や資料作成を通じて情報モラル教育の普及を急ぐ。都道府県レベルでも、埼玉県教委が小中高別の指導体系表を作ったほか、今月から 長崎県教委が各地で開いていた子供を守るためのインターネット講座をネット 上で見られるようにするなど、取り組みはようやく本格化しつつある。
どんな指導体系なのだろうか。個人情報の収集目的が説明されているかとか、 それが妥当かとかの判断なしに、単に相手が信用できる相手かどうかで判断さ せるのだろうか。小学生にとって、信用できる相手の判断基準とはどんなもの だろうか。
県庁や市役所や国の官庁なら信用できます。
といったものだろうか。それ以外にどんな基準があり得るのか。
昨年2月22 日の日記にも書いたように、 米国では、「児童オンラインプライバシー保護法(Child Online Privacy Protection Act)」により、子供から個人情報を収集する際には事前に親の 同意を得なければならないとされている。
埼玉県のクイズの当選者は一生記録に残る。 珍しい氏名なら、将来その子たちが大人になったときにも、 子供のころに埼玉県のどの市、どの区に住んでいたかがインターネットで検索 可能となるだろう。それ自体は人によっては容認できることであろうが、 埼玉県はその事実を当選者の子供たちに理解させているだろうか。
日経IT Proのサイトにこんな記事が出ていた。
通常、パターンファイルはデータと簡単なスクリプトだけを含んでいます。プ ログラム部分はほとんどないため、パターンファイルの更新により、今回のよ うな深刻な被害が発生するとはあまり想定していませんでした。(略) パターンファイルで必要なテストは、「ウイルスを正しく見つけられ、誤検知 がない」というのが基本でした。
ところが、「ボットの検知」を実現するために、従来のパターンファイルの枠 を越えたファイルを配信する必要が出てきました。圧縮されたボットを検知す るために、特殊な圧縮形式を判別するプログラムが必要になったのです。
本来なら、ここでパターンファイル公開時に、以前とは異なるリスクを背負う ことになるということを、全社で意思統一していなければなりませんでした。 しかし、(略)
これは意外な発言だった。てっきりこれまでもプログラム(コード)の自動更 新はしているものだとばかり思っていたが、このインタビューによれば、これ まではデータのみを更新していたのだという。
たしかに、安全のためにデータのみの更新にとどめるというのは懸命な策だ。
しかし、同日付のトレンドマイクロ社のニュースリリース (文字が小さすぎて読みにくいので注意) によると、今後の取り組みとして品質管理を改善していくのだという。
もちろん、コードの更新はいずれ今後も必要となるだろうから、品質管理体制 を改善することも必要だが、それ以前に、データの自動更新とコードの自動更 新を分けるべきではないだろうか。
データの更新は全自動だがコードの更新は手作業による確認を必要とするといっ た設定を、ユーザの意思によって選択できるようにするべきだ。
そもそもコードを自動更新するという設定は、コンピュータの完全掌握を当該 企業に許すということにほかならないのであり、安全保障の観点でも自動にす るのは避けるべきことである。
Windows Updateは最近では自動にすることが容認されるようになってきている が、これは、脆弱性修正のためのものであることから重要性が高いのが理由で あるし、Microsoft社も最初からそれを推奨してきたわけではなく、これまで の信頼の積み重ねがあってユーザに許容されているのだろう。Microsoftが倒 れたら世界も倒れるという意味で、どのみち一心同体なのだから自動更新する んだという考えもありえる。
そもそも、Windows Updateをして、ユーザが正しい使い方をしていれば、ウイ ルス対策ソフトなんか不必要なのだから、それのコードの更新が自動で行われ る必然性は相対的に小さい。
*1 別にVeriSignブランドである必要はないのだが。