一太郎問題解決せず…。

　一太郎にまたまたゼロデイ攻撃の脆弱性がみつかってしまいました。リンク先のITMediaの記事（これが「海外記事」の扱いになっていた）には「12月13日時点でジャストシステムのパッチは公開されておらず」とありましたが，すでにセキュリティ更新モジュールが公開されています。ただその内容は，いわゆるジャストシステム共通モジュールを更新するものなので，一太郎だけでなく，1999年以降に発売されたジャストシステム製品のほとんどに影響するようです。

　世界的に使われているマイクロソフトWordと比べて一太郎は日本国内向けのワープロソフトであり，海外のマルウェア作者はあまり興味を示さないだろうから，ゼロデイ攻撃を起こされる可能性は低く，したがって安全なソフトウェアである，というのがこれまでの定説だったように思います。
　ところが最近では，一度脆弱性が見つかったソフトウェアに対して，それこそ「傷ついた獲物に群がるハゲワシのように」（上記リンクのITMediaの記事より）脆弱性を探し出し，攻撃プログラムを作るんだとか。ひょっとすると，日本嫌いのマルウェア作者が官公庁でも利用の多い一太郎を特に攻撃しているということもあるのかも知れませんが，むしろ，「山がそこにあるから登るんだ」的なところがマルウェア作者の気持ちなのかも知れないですね。外国では日本語ワープロソフトである一太郎は入手しづらいかも知れませんが，昨今のブロードバンド環境を使えば一太郎のプログラムCDの全内容なんかものの十数分もあればやりとりできるでしょうから，すでに数多くのマルウェア作者の手元に一太郎のコピーは出回っているのかも知れない。

　また職場の朝礼で「一太郎のセキュリティ対策を…」と言わないといけないのがめんどくさい。しかもその手順が現在ではかなり煩雑になっており，ジャストシステムのwebページを見てももはやどこから手をつけていいのかわからない。セキュリティ更新モジュールも，一太郎単体に当てるものと，今回のようにジャストシステム共通モジュールに当てるものの両方がある。ましてや，一太郎は毎年のようにバージョンアップをしていることがここでは災いし，職場などでは膨大な数のセキュリティモジュールを準備しないといけない。ここ数年で一太郎はネットワーク管理者泣かせのソフトとなったこと必定でありましょう。

　参考までに現在うちで使っている一太郎2006だとどうすればよいのか。

(2008,9,26追記)
　一太郎2006セキュリティ対策手順のVer.2を作成しています。最新の更新方法についてはこちらをご覧ください。本手順を読みたい場合は本記事下部にある続きをクリックしてください。

　何度も言っているようにこのようなセキュリティ更新モジュールも含めた修正差分を用意して，「これだけをダウンロードして適用すればよい」という形にしないといけない。それができないのは，この会社の出す製品が，末端ユーザにも分かりやすいようなマイナーバージョン番号の管理ができていないことに尽きるでしょう。
　それと社内のセキュリティ管理が甘いことが一太郎の騒ぎを広げていっているのだろうという気がします。来年2月に一太郎はまたバージョンアップするということなのですが，バージョンアップを延期または中止してでも，今ある一太郎のセキュリティ対策を進めるべきではないのか，それができないというのなら，一太郎のweb機能やマクロ機能を抑止するプログラムをリリースすべきではないかという気がしています。

(1)「ヘルプ」→「バージョン情報」を確認する。「1.0.1.1」でなかったら「一太郎2006アップデートモジュール」を適用する。
(2)Windows Vistaを使用し，jstaro9.ocxの日付が2007年2月22日12時00分より前であれば「一太郎2006Windows Vistaサポートプログラム」を適用する。
(3)jstaro9.ocxの日付が2007年10月2日12時00分より前であれば「一太郎2006セキュリティ更新モジュール」を適用する。
(4)jsgci.dllの日付が2007年12月14日12時00分より前であれば，今回リリースされた「JS共通セキュリティ更新モジュール」を適用する。
　書いている私も理解できない。この手順をシロートの人が簡単に理解できるわけがない。事実職場のネットワークファイルにこの修正手順を記したファイルを置いておいたのですが，何のことかわけがわからないと苦情を言う人が何人もおられた。苦情を言う相手が違うだろうが。（なお上記手順では完全なアップデートはできていません。ATOK，office連携ツール，文書ビューアプラグイン，ATOKと一太郎にそれぞれ装備された郵便番号簿のアップデートは別途必要です。）