Thursday 11 July 2013

【ＰＣ遠隔操作事件】報じられてきた「決定的証拠」はなかった

http://bylines.news.yahoo.co.jp/egawashoko/20130711-00026343/

【ＰＣ遠隔操作事件】報じられてきた「決定的証拠」はなかった

江川紹子 | ジャーナリスト

2013年7月11日 1時9分

検察が、片山祐輔氏の犯人性についての主張を明らかにするとしていた７月１０日午後５時過ぎ、主張を書いた書面が提出され、弁護人に請求証拠が開示された。それを受けて記者会見した弁護人は、「片山さんと犯行を直接結びつける物的証拠は全くなかった」と強調した。これまで、片山氏が猫に首輪をつける場面のビデオ映像があるとか、片山氏が以前使っていたスマートフォンから犯人が送りつけたのと同じ猫の写真が復元されたなど、決め手となる物証があるという報道が何度もなされてきたが、開示された証拠の中には、そうしたものはなかった、という。

ただ、検察側は、片山氏が犯人とみて矛盾しない、あるいは片山氏が疑わしく思えるような間接証拠をいくつも出している模様だ。そうした証拠を積み重ねることで、有罪の心証を形成しようという作戦なのだろう。

江ノ島の猫に首輪は誰が…

たとえば、江ノ島については、１月３日午後 2:54～3:16の監視カメラ映像が開示された。検察側は、観光客が撮った写真から、この間に猫に首輪が付けられたと時間を特定。弁護人が見たところ、この間に５，６人が猫に接触していた、という。その１人が片山氏と見られるが、監視カメラの位置が遠く、何をしているかは映像からははっきり分からない、とのこと。

検察は、警察の行った再現実験から、片山氏がいる位置から猫を撮影すると、犯人が送りつけたのと同じ角度の写真となると主張している。ただ、猫につけた首輪を買った場所や日時、２度にわたる神奈川新聞の入手については、特に主張はなされていない、という。

今年１月１日に犯人が送りつけてきたメールには、雲取山の山頂でUSBメモリを埋めたとして、その場所を「このへん」と書いた写真が添付されていた。捜査の結果、これは犯人が撮ったのではなく、インターネットのサイトに掲載されていた写真を使ったものと検察は断定。元日に警察が山に上った時には、凍っていたうえ、斜めに掘ったので見つからなかったが、５月１６日に再度上って発見した。ただ、なぜ元日には斜めに掘ったのか、なぜ５月に再び探しに行ったのかなどは、明らかにされていない。

言葉の検索はメール作成の証拠になるか

検察は、犯人から送られたメールは片山氏が書いたと主張。その根拠として、そこに使われた言葉を彼が検索していることを挙げている。たとえば、昨年11月13日には、彼の携帯を使って「警察　作文」「調書　作文」という言葉が、１月２日にも携帯から「江ノ島」「猫、首輪」という言葉の検索履歴がある、という。さらに、昨年10月には、脅迫メールを送られた幼稚園のサイトや、やはり脅迫の対象となったコミケ関連の掲示板を閲覧した履歴がある、という。

こうした履歴は、いかにも怪しげに見えるが、果たしてそれがメール作成の根拠たりえるのだろうか…。詳細は、公判廷での検察の立証をじっくり聞いてみないとよく分からない。しかも、問題のメール自体が片山氏の使っていたPCから見つかったり、その痕跡が検出されたわけではないのだから、なおさらだ。

職場で仕事の片手間にウイルス作成？

問題のウイルスについて、検察側は、片山氏の派遣先のPCを使って開発された、と主張している、という。その根拠として１)C#言語によるプログラミングに使うVisual Studio2010が派遣先PCにインストールされていた痕跡がある　２）片山氏がC#でプログラミングをしているのを見たことがあるという派遣先社員の検面調書が１通ある　３)このPCで開発されたことを示す文字列が多数検出されたーーなどを挙げている、とのことだ。

ただ、２）の調書は、なぜか捜査が終わる直前の６月15日に作成されたもの。しかも、彼のプログラミング能力を一番よく知って、その能力に見合う仕事場に派遣しているはずの、所属会社の人の調書は一切出されていない、という。また、検察側は、ソースコードに記載されたPCのメーカー名や著作権を示す値が、派遣先PCと矛盾しないと主張しているが、それは書き換えることが可能なものだ、と弁護側は反論。弁護人は、今後、検察官の主張を精査し、証拠を詳細に分析することにしている。

詳細な反論はそれからになるだろうが、ウイルスが派遣先PCで作られたという主張については、佐藤博史弁護士はすでに強い疑問を呈している。

「片山さんが、派遣先で仕事とは別のプログラミングをやるとしたら、一日細切れにせいぜい１時間程度しか作業はできない。しかも、他の人にも見られる環境だ。彼の勤務はカレンダー通りで、土日は丸々休みだ。犯人であれば、土日に自宅でじっくり作業するのが普通ではないか。検察側の主張は、あまりに不自然だ」

こういう主張になったのも、片山氏の自宅PCからはウィルス作成の痕跡すら見つからなかったからだろう。その結果、彼はたっぷり時間のある土日に自宅では何もせず、平日の昼間に勤務先で、仕事の片手間に、多くの人から見られうる環境で、１からウイルスを作成した、との主張せざるを得なくなったようだ。

なお、派遣先のPCは片山氏が使っていたが、新品をあてがわれたわけではないようで、社員たちもパスワードを知っていた、とのこと。そうなると、PCから見つかった痕跡を直ちに片山氏と結びつけるのは難しいのではないか。

また、捜査段階にかなり報じられた、米国のサーバーに派遣先PCでアクセスした”痕跡”をFBIが突き止めた、とされる情報についても、検察側の主張や証拠では何ら明らかにされておらず、「英語の証拠は一切なかった」とのことだ。

佐藤弁護士は、事件と片山氏を結びつける決定的物証があるかのような報道がされたことについて、「報道機関は、よく手を胸に当てて考えてもらいたい」と訴えた。

また、佐藤弁護士は３回目の公判前整理手続きを公開でやって欲しいと裁判所に申し入れを行っていることを明らかにした。

江川紹子ジャーナリスト

早稲田大学政治経済学部卒。神奈川新聞社会部記者を経てフリーランス。司法、災害、教育、カルト、音楽など関心分野は様々。著書『人を助ける仕事』（小学館文庫）、『勇気ってなんだろう』（岩波ジュニア新書）など。
http://bylines.news.yahoo.co.jp/egawashoko/20130711-00026343/

Tuesday 9 July 2013

【簡単】Windowsのタスクスケジューラから不必要なスケジュールを無効にする

http://202122.iku4.com/Date/20121021/

:: 【簡単】Windowsのタスクスケジューラから不必要なスケジュールを無効にする
必要なさそうなタスクスケジュールを無効にしてみた。

１::管理ツールの「タスクスケジューラ」を開く

開き方４種類どれも一緒。

【Ａ】スタート＞ファイル名を指定して実行＞『 taskschd.msc 』を記述。（[Windows]+[R]）

【Ｂ】スタート＞プログラムとファイルの検索で、『 taskschd.msc 』を記述し検索。結果に出てきた『 taskschd.msc 』をクリック

【Ｃ】スタート＞アクセサリ＞システムツール＞タスクスケジューラ

【Ｄ】コンピュータの管理＞システムツール＞タスクスケジューラも同等の操作が可能。

２::対象のスケジュールを無効にする

対象のスケジュールを右クリックして無効化する。

３::無効化してみたスケジュール

2010年10月20日設定

名前::AitAgent
場所::\Microsoft\Windows\Application Experience
説明::カスタマーエクスペリエンス向上プログラムに参加しないので。

名前::ProgramDataUpdater
場所::\Microsoft\Windows\Application Experience
説明::カスタマーエクスペリエンス向上プログラムに参加しないので。

名前::Proxy
場所::\Microsoft\Windows\Autochk
説明::カスタマーエクスペリエンス向上プログラムに参加しないので。

名前::Consolidator
場所::\Microsoft\Windows\Customer Experience Improvement Program
説明::カスタマーエクスペリエンス向上プログラムに参加しないので。

名前::KernelCeipTask
場所::\Microsoft\Windows\Customer Experience Improvement Program
説明::カスタマーエクスペリエンス向上プログラムに参加しないので。

名前::UsbCeip
場所::\Microsoft\Windows\Customer Experience Improvement Program
説明::カスタマーエクスペリエンス向上プログラムに参加しないので。

名前::ScheduledDefrag（自動デフラグ）
場所::\Microsoft\Windows\Defrag
説明::Smart Defrag Portable（ http://portableapps.com/apps/utilities/smart_defrag_portable ）を利用しているのでWindows7オリジナルのデフラグは使わない。

名前::WinSAT（Windows システム評価ツール）
場所::Microsoft ＞ Windows ＞ Maintenance
説明::四六時中評価されても仕方が無い。 Windows システム評価ツール（ウィキペディア）

Sunday 7 July 2013

MSConfig で無効にしたスタートアップが復元できない場合がある

http://ebikuzure.wordpress.com/2010/04/20/msconfig-で無効にしたスタートアップが復元できない場/

2010年4月20日

MSConfig で無効にしたスタートアップが復元できない場合がある

カテゴリー: Windows トラブル — hebikuzure @ 8:14 AM

Startup application may not run after disabled and re-enabled in MSConfig
http://support.microsoft.com/kb/982591/en-us

Windows OS のトラブルシュートで活躍するツールの一つに MSConfig (システム構成) がある。このツールを使えば Windows の起動時に読み込まれるサービスやスタートアッププログラムについて個別に有効/無効を切り替えることができるので、サードパーティーのサービスやスタートアッププログラムが原因で発生するトラブルの原因確認に非常に役立つ。

参考情報
Windows Vista または Windows 7 でクリーンブートを実行して問題のトラブルシューティングを行う方法
http://support.microsoft.com/kb/929135/ja

ところがこの　MSConfig でいったん無効にしたスタートアップ項目を有効に戻しても、そのプログラムが起動時に読み込まれず起動しなくなる場合がある。このサポート技術情報ではそうした現象について解説している。
この現象はスタートアッププログラムとしてレジストリに登録されている実行ファイルの起動パスが展開可能文字列 (REG_EXPAND_SZ) 値として書き込まれており、また起動パスに %SysytemRoot% や %ProgramFiles% などの環境変数が含まれている場合に発生する。
MSConfig ではユーザーインターフェイスで無効にされた (チェックを外された) スタートアッププログラムが登録されているレジストリ値を記憶した上で削除し、有効に戻された場合はレジストリ値を復元しているのだが、この時に展開可能文字列 (REG_EXPAND_SZ) 値がただの文字列 (REG_SZ) 値として復元されてしまうために問題が発生する。展開可能文字列 (REG_EXPAND_SZ) 値であれば環境変数は展開されてプログラムが実行されるのだが、文字列 (REG_SZ) 値では環境変数の部分が展開されないでプログラムの起動パスとして使用されるので、当然そのプログラムは起動できない。
例えば以下のようなレジストリ値で登録されている
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名前: notepad
データ: %SysytemRoot%\system32\notepad.exe
種類: REG_EXPAND_SZ
スタートアップ項目があれば、起動時には環境変数が展開されて (既定の環境であれば) “C:\Windows\system32\notepad.exe” が起動される。
この項目を MSConfig で無効にして、もう一度有効にすると、以下のようにレジストリが復元される
名前: notepad
データ: %SysytemRoot%\system32\notepad.exe
種類: REG_SZ
この状態では、起動時には環境変数が展開されない “%SysytemRoot%\system32\notepad.exe” を起動しようとするので、当然そんなパスはないから起動できない。
この問題は製品の問題 (バグ) と技術情報に書かれているが、修正プログラムは存在していない。また Windows XP 以降の現在サポートされているすべてのバージョンの Windows にこのバグが存在する。
技術情報では以下のような回避策が示されている。

MSConfig を使う前に、展開可能文字列 (REG_EXPAND_SZ) 値でパスが登録されていないか確認する (その場合は MSConfig で無効にしない)
現象が発生してしまったら、レジストリエディタでスタートアップ項目を手動で復元する

いずれにせよあまり感心できない対処方法であり、色々なトラブルシュートに MSConfig が幅広く使われる事を考えると、修正プログラムの提供が望まれる。
またスタートアップに登録するようなプログラムのインストーラでは、環境変数を使った展開可能文字列 (REG_EXPAND_SZ) 値ではなく、絶対パスを使い文字列 (REG_SZ) 値としてレジストリに登録するように注意が必要だろう。

http://ebikuzure.wordpress.com/2010/04/20/msconfig-で無効にしたスタートアップが復元できない場/

Friday 5 July 2013

Windows7　エクスプローラー　プレビューペイン　レジストリ

所々微妙な間違いあり。補正しつつお読み下さい。

みゃうのリカバリーをする前に
http://blogs.yahoo.co.jp/akio_myau
Windows 7のエクスプローラーのプレビューウインドウで対応していないファイルの拡張子を表示する。
http://blogs.yahoo.co.jp/akio_myau/45069795.html

Windows 7のエクスプローラーのプレビューウインドウで対応していないファイルの拡張子を表示する。

ナイス！0

Windows 7のエクスプローラーではプレビューウインドウでファイルを開かずともプレビューを表示させることで中身を確認することが出来ます。

但し、すべてのファイルに対応しているわけではありません。
例えば、WordやExcelでは通常のファイルは対応していますが、マクロを含むものなどは対応していません。

この場合、見れるようにするにはレジストリーの変更が必要になります。
レジストリーの変更の際には必ず、レジストリーのバックアップを取り、自己責任の範疇で実行してください。

使用できるビューアーの確認

ファイル名を指定して実行を選び
regedit.exe
と入力して、Enterキーを押します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PreviewHandlers
を開きます。

ここで登録されているのが現在使用できるビューアになります。
そして、対応する拡張子に対応するビューアーを探します。
そして、キー名の名前をコピーしておきます。

例、Excelなら
{00020827-0000-0000-C000-000000000046}
Wordなら
{84F66100-FF7C-4fb4-B0C0-02CD7FB668FE}
といった具合に。（なお、バージョン等でキー名が異なる可能性もあるので必ず自分の環境で確認してください。

次に変更したい拡張子のレジストリーを探します。
HKEY_CLASSES_ROOT\
のあとの部分にファイルの拡張子が来ます。
xlsxであれば、
HKEY_CLASSES_ROOT\.xlsx
といった具合に探します。
その下に
ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}というキーを作成します。
ShellExがある場合には、{8895b1c6-b41f-4c1c-a562-0d564250836f}だけをキーを作成します。
作成したら、そのキーの「値の名前」（既定）をダブルクリックして、値に先ほど見つけたビューアのキー名を「値のデータ」に入れます。
Excelなら
{00020827-0000-0000-C000-000000000046}
Wordなら
{84F66100-FF7C-4fb4-B0C0-02CD7FB668FE}
といった具合にこれで見えるようになるはずです。

もし、ｘｘｘプレビューアーにエラーがあるため、このファイルはプレビュー表示できません。
といったエラーが出た場合には、その状態から一度右クリックし、プログラムから開くで
該当のソフトで起動してみてください

－－－－－
個人的な φ(｀д´)ﾒﾓﾒﾓ…
http://yamori-jp.blogspot.jp/
Window7のプレビューペインを使いこなす
http://yamori-jp.blogspot.jp/2011/04/window7.html

Apr

Window7のプレビューペインを使いこなす

Window7のエクスプローラーに標準で組み込まれているプレビュー機能をいろいろと設定してみたメモ。
不明なファイルはとりあえずテキストエディタで開いてみるくせがある私にとって、使いこなせば重宝するものになる...かも知れないので、非表示はやめていろいろ設定してみた。
おそらく、Outlook2007の添付ファイルプレビューも同じ方法で設定できると思う。
さしあたって、デフォルトの状態では圧倒的に表示できるファイルが少ない。（だから、非表示で使用するようになったんだと思う。）
調べてみると、エクスプローラーでファイルを選択すると、プレビューハンドラというコンポーネントにファイルの中身が渡されてプレビューが表示される仕組みのようだ。で、どのプレビューハンドラが呼び出されるかは、レジストリで指定されているらしい。
ほとんどのファイルがプレビューできればきっと便利に違いないので、レジストリを編集してプレビューハンドラとファイルを関連付けしてやることにする。

プレビューハンドラへ拡張子を関連付ける方法

プレビューハンドラへ拡張子を関連付けるには、拡張子やファイルタイプごとに以下のレジストリキーを追加する。

HKCR\拡張子またはファイルタイプ\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}\プレビューハンドラのGUID

インストールされているプレビューハンドラとGUIDは以下のレジストリを参照すればわかる。

HKLM\Software\Microsoft\Windows\CurrentVersion\PreviewHandlers\

デフォルトのWindows7では、以下のプレビューハンドラがインストールされている。たぶん...

Windows TXT Previewer: {1531d583-8375-4d3f-b5fb-d23bbd169f22} メモ帳エンジンのテキストプレビュー。
Windows Media Player Rich Preview Handler: {031EE060-67BC-460d-8847-E4A7C5E45A27} 全然リッチじゃないメディアプレイヤーエンジンのプレビューハンドラ。ビデオファイルとか。
Windows Contact Preview Handler: {13D3C4B8-B179-4ebb-BF62-F704173E7448} 連絡先。エクスプローラーで開くようなファイルじゃないので、実質Outlook専用。
Windows Font previewer: {8a7cae0e-5951-49cb-bf20-ab3fa1e44b01} フォントのプレビュー。The quick brown fox...のアレ。
Windows RTF Previewer: {a42c2ccb-67d3-46fa-abe6-7d2f3488c7a3} 退化版Wordのリッチテキストファイルをプレビュー。

ファイルタイプと拡張子のどちらに関連付けしようか？

ファイルタイプへ設定すると属する拡張子へまとめて関連付けできるので、基本的にはファイルタイプに設定してやるのが良さそう。拡張子がどのファイルタイプに属しているかは拡張子のキーのデフォルト値をみればわかる。

HKCR\拡張子\(Default)

pythonコードをTXT Preview ハンドラでプレビューしてみる

レジストリエディタを起動する。(regedit.exe)
"HKCR\.py\(Default)"を参照して拡張子.pyのファイルタイプを調べる。"Python.File"となっていた。
"HKCR\Python.File"へ"ShellEx"キーを作成。
"HKCR\Python.File\ShellEx"キーへ"{8895b1c6-b41f-4c1c-a562-0d564250836f}"キーを作成。
"{8895b1c6-b41f-4c1c-a562-0d564250836f}"キーの"(Default)"REG_SZ値へ"{1531d583-8375-4d3f-b5fb-d23bbd169f22}"を設定。

Pythonがインストールされていればファイルタイプや拡張子も登録済みのはずだが、レジストリにキーが存在しなければ単純に作成してしまえばいいと思う。

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.py\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}]
@="{1531d583-8375-4d3f-b5fb-d23bbd169f22}"

レジストリを直接操作するのが面倒なら、設定ツールを公開している方がいるのでありがたく使わせてもらうと良い。Preview Handler Association Editor

デフォルトのプレビューハンドラを設定する

ひとつずつ設定していくのは面倒なので、全ての拡張子に対してデフォルトのプレビューハンドラを設定する。全ての拡張子への関連付けは"HKCR\*"へキーを作成してやればOK。
全ての拡張子に対する設定を行っても、個々ファイルタイプへの設定が優先されるので安心。

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shellex\{8895b1c6-b41f-4c1c-a562-0d564250836f}]
@="{1531d583-8375-4d3f-b5fb-d23bbd169f22}"

TXT Previewer の表示フォントを変更する方法

TXT Previewerのプレビュー時のフォントがアレなので非常に見難い。
フォントの設定ははメモ帳(notepad.exe)の設定を見ているようなので、これを変更する。

メモ帳を起動
メニューから「フォーマット」 > 「フォント」を選択
ダイアログで好きなフォントを選ぶ
メモ帳を終了して設定を保存

プレビューハンドラの追加

プレビューハンドラを追加でインストールすれば、対応するファイルを増やしたり、よりリッチなプレビューを表示できる。プレビューハンドラ単品であったりアプリケーションに付随してインストールされたり、配布形式は様々。
プレビューハンドラの仕組みはOutlook2007の添付ファイルプレビューと同じものなので、そちらをキーワードとして探すとより多く見つかるかもしれない。

Microsoft Office: execlやwordのプレビューハンドラが追加される。
Adobe Acrobat: pdfファイルのプレビューができる。
Foxit PDF Preview Handler: pdfファイルのプレビュー。Adobeの代替。
Photoshop Preview Handler for Windows Vista: psdファイルのプレビューを追加。ダウンロードにCode Projectに登録が必要。
Windows Preview Handler Pack: ソースコード等（.as, .aspx, .cs, .css, .diff, .patch, .bat, .cmd, .js, .rb, .rhtml, .rjs, .sql, .vb）のプレビュー。キーワードが色付けされて見やすいが、C#なので初回のロードが遅い。
Windows Vista and Office: Writing Your Own Prevew Handlers: msdnのチュートリアル記事だが .bin, .csv, .isf, .msi, .pdf, .resx, .snk, .zipファイルのプレビューハンドラが入手できる。こちらもC#で書かれている。

等。
C#であればベースとなる雛形も入手できるので最終的には自作してしまうのも手かもしれない。

感想

面倒な設定を行ったかいがあったか、参照用のテキストファイル（READMEとか）のチラ見には結構便利に使える。
ただ、WordやPDFのような冗長なファイルのプレビューは結構重いので、不用意に選択してしまうと悲しくなる。ブラウザでリンクをクリックしたらPDFだった...。みたいな気分。重いと直接開くのとかわらんしプレビューの意味なし。
快適に使うにはプレビューハンドラの関連付け解除を含めて、この辺の取捨選択は必要かもしれない。

Posted 18th April 2011 by yamori

Labels: windows7

－－－

Thursday 11 July 2013