しばらく前になりますが、本ガイドサイトの記事「初めての手順書---第5回 HTMLメールは使用しない」をご覧になった読者の方から、こんなメールをいただきました。
- HTML形式のメルマガ発行者としては、"HTMLメールは見ない・作らない・送らない"…なんてちょっとバカじゃないのと思いますね(^^;;。
最近のVBスクリプト型ウィルス(REDLOF.Aウィルスなど)にはサイトを見ただけで感染するタイプもありますから、本質的に、Windows Scripting Host(WSH)を無効にする方法などを紹介したほうがいいのではないでしょうか。
HTMLメールの是非については、実は今なお議論が続いています。私としてもそのあたりの事情を踏まえつつ、現時点でベストと思える記事を書いたつもりです(「HTMLメールの危険性はやはり高いと認識せざるを得なくなりました」という文章のニュアンスを感じ取っていただけると望外の幸福です)。
しかしそれはともかく、「WSHを無効にする方法を紹介した方がいいのでは」というご指摘はまったくごもっともと思いますので、「初めての手順書第8回」はWSHについて取り上げることにしました。
そして番外編として、HTMLメールに対する私のスタンスももう少しご説明しようかと思います。
◆ WSHとは
Windows Scripting Host(WSH)とは、Windowsとともに自動的にインストールされる機能で、Windows上でJavaScriptやVBScriptを実行可能にします。
その機能は非常に強力で、ファイルへのアクセスやレジストリの書き換えすらもできてしまいます。
悪用されたときのダメージは推して知るべしです。
危険度の高いファイルアクセスなどの機能はActiveXコントロールによって提供されるので、ActiveXコントロールを無効化することでこうした機能を制限することはできます(「初めての手順書---第4回 IEのセキュリティレベル設定」をご参照ください)。
しかしActiveXを無効化していたとしても、VBSファイル(拡張子が.vbsとなっているファイル)への直接リンクをクリックしてしまうと、WSHが実行されてActiveXも呼び出されてしまいます。
このため、IEでActiveXを無効化すると同時に、WSHも無効化すべきであるということになります。
ですがWSHを完全に削除してしまうと、既にWSHを活用している方にとっては痛手となってしまいますので、適時WSHの有効・無効を切り替えられる方法が望ましいと言えます。
ということで本記事では、シマンテックのWebページ「Windows Scripting Hostを無効化または削除する方法」で解説されている対策のうち、「noscript.exe」を使った方法をご紹介したいと思います。