5/20に某ネットカフェを利用した。そこでは、インターネットからファイルをダウンロードし、USBメモリに保存したのだが、自宅にてUSBメモリを私有PCに挿入したところ、VBS_SASAN.Aが検出される。

一昨年に「ネットカフェ」というタイトルで本ブログに書いた以下のことが現実に起きていることが確認できた。

リムーバブルメディアについては使用は制限されていない。CD-Rにデータを保存することさえ可能だ。USBメディアは持っていくのを忘れたので、試せなかったが、おそらく問題なく使えると思う。ウィルス対策がされていないため、ウィルスに感染したファイルをリムーバブルメディアに保存してしまうこともあるだろう。ここではリムーバブルメディアを使わないことが良さそうだ。

ネットカフェ

ネットカフェには連絡済み。また、IPAにも報告した。

ついでなので、このあたり*1の規制やガイドラインはどうなっているのか調べてみた。

まず、業界団体として、日本複合カフェ協会というのがあるようだが、この団体の目的は店舗で使われるソフトウェアの著作権遵守を推進することのようだ。

Q: どのような活動を行っている団体ですか？
A: 平成14年６月現在においては、複合カフェにおける家庭用ＴＶゲームソフトの業務利用許諾システムの構築に注力し活動を行っております。今後、家庭用ＴＶゲームに限らずＰＣソフト、映像ソフト等、様々な著作物利用に関するルール構築等において、唯一の業界団体として各方面と交渉を行い、業界の健全な発展に向けた活動を行っていきます。

日本複合カフェ協会/Q&A

このように、日本複合カフェ協会は著作権遵守のための活動以外あまりやっていないように見えるが、それでも店舗運営ガイドラインというのは用意されている。ここにはセキュリティ対策について以下のように書かれている。

■インターネットのセキュリティ確保及びネットワーク利用犯罪の防止

１．犯罪行為の防止
他人のＩＤ・パスワードを無断で使用して認証サーバーに不正にアクセスする行為や、インターネットを介したわいせつ画像・児童ポルノ・海賊版ソフトの頒布や偽ブランド品の販売、詐欺行為、その他電子メールや電子掲示板を利用した名誉毀損や脅迫等の行為が不正アクセス禁止法や刑法、その他の法令に抵触し犯罪行為となる旨を店内掲示により警告し、併せてこれら犯罪行為の発生を極力防止するための対策を講ずることとする。
２．セキュリティ対策
不正アクセスやコンピュータ・ウイルス等による被害及びネットワーク利用犯罪を防止するため、利用履歴を削除するソフトやリカバリーソフトをパソコンにインストールするなどの措置をとるよう努めなければならない。また、パソコンやサーバー等のＯＳ・ソフトの脆弱性対策、一定のプログラム（ウイルス、キーロガー等）の実行制限、不正なアクセスを防ぐシステム（ファイアーウォール）の設置、及びルータやモデム等の制御機器の初期パスワード変更、などについても、措置を講ずることが望ましい。

日本複合カフェ協会/店舗運営ガイドライン

「一定のプログラム（ウイルス、キーロガー等）の実行制限」とはなんとも微妙な言い回しだ。アンチウィルスもしくはウィルス対策ソフトウェアの導入とはっきり書かないのには何か理由があるのだろう。導入やプログラムおよびパターンファイル更新のためのコストがネックになっているのだろうか。

設立趣旨には業界の健全化を推進すると書かれているで、念のため意見しようかと思ったが、お問い合わせフォームでの問い合わせで電話番号の記入が必須になっていたので、面倒くさくなってやめた。どうでも良いけど、インターネットに多少なりとも関係する業界団体でのオンライン問い合わせフォームで、メールアドレス記入は任意で、電話番号の記入が必須というのはどうなんだろう。

警視庁から以下のように注意を促されているが、これは一般ユーザー向け。

インターネットカフェでは高速回線が利用されている店が多く、快適なサービスを利用できる等便利な反面、セキュリティ等の安全対策が施されていない店も多く見受けられます。

インターネットカフェを利用する際の注意！

ほかにも、site:go.jpで何かガイドラインのようなものは出されていないか検索してみたが、どれも一般ユーザーへの注意勧告だった。

ならばと思い、セキュリティベンダーでネットカフェへの特別パッケージやソリューションなどを用意していたりはしないかと見てみたが、こちらも見つけられなかった。

お国に頼るのはあまり個人的に好きじゃないんで、声高に規制が必要だと叫ぶつもりはない。それよりも、各セキュリティベンダーはネットカフェがここまで普及しているんだから、導入や運用をコスト面と手間の面の両面で助けるようなことを考えれば良いのに。

［参考］
今までのネットカフェに関する記述

Microsoft、データ実行防止技術を推進する新APIを提供（Computerworld.jp）にあるように、「第1〜2四半期にリリースされる予定のWindows Vista SP1、Windows XP SP3、Windows Server 2008に搭載される」らしい。DEP（Data Execution Prevention）はNX（No eXecute）とも呼ばれるもので、データ領域におかれたコードの実行を禁止することで、バッファオーバーフロー攻撃を防ぐものであり、Windows XP SP2から導入されている。

この記事の元ネタ*1はMichael Howardのブログの"New NX APIs added to Windows Vista SP1, Windows XP SP3 and Windows Server 2008"。

ざっくり言うと、1) 古いATLではDEPが使えなかったので、使えるようにした ということと、2) ソフトウェアからDEPの制御を可能にしたということだ。ATL（Active Template Library）とはまた懐かしいものがと思った*2が、ATLとDEPの組み合わせの問題はMichael Howardにより次のように説明されている。

Older versions of ATL, and by older I mean pre-Visual C++ 2005, used dynamically generated code in small isolated cases. Obviously, without the appropriate APIs this is going to cause problems on a DEP-enabled computer, because you can't execute data. This code is referred to as a "thunk" and versions of ATL in VC++ 2005 and later work correctly with DEP.

"New NX APIs added to Windows Vista SP1, Windows XP SP3 and Windows Server 2008"より

VC2005以前では、動的に生成されたコードを使っていたが、それらはDEP有効にした環境では動作しないので、APIを準備したということだ。最新のATLを用いれば解決するらしいが、このように古いATLまで気にしなければいけないということは、それだけDEPを有効にした環境が増えてきたという証拠か。

新しく用意されるのは、3つのAPI（ブログから読む限り）。

• SetProcessDEPPolicy
• GetSystemDEPPolicy
• GetProcessDEPPolicy

SetProcessDEPPolicyでプロセスのDEP制御をするもので、残りの2つはシステムとプロセスのDEP状況を把握するものだ*3。

アプリケーションからDEPの有効/無効を制御できるようにしたのは、互換性の問題を解決するため。

If you support DEP but want to allow customers to disable DEP if there are serious compatibility issues, then this is the API to use because the argument can be a configuration option.

"New NX APIs added to Windows Vista SP1, Windows XP SP3 and Windows Server 2008"より

なんで、この時期に？ というのもあるが、それは、

なお、新しいAPIをこの時期に提供する理由については、「同SPが多数のユーザーに導入されるからにほかならない。われわれはDEPによるアプリケーションの保護を推進中であり、新APIの提供はその一環」とHoward氏は説明した。

Microsoft、データ実行防止技術を推進する新APIを提供（Computerworld.jp）より

だそうだ。