shall we blog?

土曜日は辿り着いた解決方法の公表を急いだので経過を省略したが、問題を切り分けて解決法を見つける参考にもなるのでまとめてみる。なお、結果的に解決方法はトレンドマイクロ社発表のものと同じであったが、独自対処は諸刃の刃。当面のトラブルは回避できても、もっと大きな危機を呼び込む可能性も残る。実際、ある掲示板では「ウイルスバスターを停める」「アンインストールする」が最終解決として語られ、「それではウイルスに対して無防備になる」という指摘には罵声が飛ぶ有様。

現象

n階にある某部門の室長から「メールが動かない」と内線電話。ここから推測できる原因は、メールサーバの異常、アカウント管理の異常、アクセスライン（ISP）の異常、LANの異常、OSの異常、メーラの異常、ユーザの不具合...と多岐にわたる。

LAN内の同じサーバを使うユーザに異変はなかったので、端末側の異常と判断して赴くと、同室の別マシンも動きがおかしいという。ただ、なぜか1台は正常稼動。

問題の切り分け

外側から攻めることにして、ネットワークへの接続を確認すると異常なし。つまりLAN内の他のマシンは見えるし、異常なトラフィックも生じていない。

この操作で、重たいのはメーラだけでないことがわかったのでタスクマネジャーで負荷率を調べた。するとアプリケーションは何も動いていないのにCPU使用率が100％になっている。動いているプロセスは、と見ると「System」だけ。

当初、新型のワームあるいはトロイの木馬に感染した可能性も考慮したが、不審なプロセスは稼動しておらず、不審なパケットもないので除外。ただ、念のためシマンテックのサイトにつないでオンラインスキャンをかける（結果はシロ）。

「System」プロセスが暴走しているのが原因らしいが、再起動でも解消しないので、困ったときのセーフモードで起動する。するとCPU100％は解消する。

教訓

ユーザの訴えを鵜呑みにしてはいけない。問題はもっと底が深いことがある。この場合「メールがおかしい」ではなくて「パソコンがおかしい」だった。

問題の広がりと範囲確定

某部門にある5台のPCのうち、4台がCPU100％障害に遭遇した。「一台だけ無事ということは、お前が犯人だ！」なんて馬鹿なことを言ってないで、少し詳しく他の4台との違いを追究していればもっと早く解決できたであろう。（後で判明したことだが、社屋内のPCは起動時にサーバからウイルスバスターの最新パターンファイルをダウンロードするところ、無事だったPCはサーバが悲劇のパターンファイル2.594（地獄よ）をダウンロードする前に起動していたのだ。）

やがてn階以外でも動かないPCが報告される一方で、なんの問題も起きていないものもあることが判明する。W2Kは大丈夫なので、どうもXPが軒並みおかしいらしい、という意見が出る一方、実は筆者のXPは朝から順調なので、「それは違うのではないか」とか言ってるうちにいきなりCPU100％発生。orz　これも後日の報道によれば、ウイルスバスターコーポレートエディションの場合、問題のパターンファイルに更新するとエクスプローラの起動などいくつかの操作がトリガとなって暴走するとのこと。症状の多彩さが混乱に拍車をかける。

やがておおっぴらには書けない事情でウイルスバスターが原因の可能性が浮上する。以前にもパターンアップしたらMS-Excelが動かなくなるなどの経験があったので、「もしそうならそろそろ修正版が出るころ」と最新パターン番号を調べると、2.596が出されている。

これまた以前の障害の経験を元に、クライアント側のパターンファイル（lpt$vpn.594）を削除してアップデートをかけると、見ん事に正常化。

教訓

条件が同じに見えるのに1台だけ無事ならば、「なぜ無事なのか」「その原因は」を徹底追究すること。

そして仮説を立てたらそれを検証すること。

野戦病院と化す

事業所内の掃蕩が終わり、一安心したところで外部からの救援要請が舞い込み始める。この段階ではまだトレンドマイクロ社からはなんの発表もない。

製品によって削除すべきファイルの存在場所が異なるので、電話をつなぎっぱなしにしてリアルタイムで状況を確認しながら操作指示。（後にトレンドマイクロ社が提供したツールもパターンファイルの場所を探し出すものらしい）

このとき、完全削除するか、万一に備えて隔離にとどめるかで迷う。会社の場合はより古いパターンの有無を確認できたし、必要とあればいくらでもコピーしてくる元があるが、1台しかない事務所のパソコンでウイルスバスターを無効化してしまうのはあまりにリスキー。その躊躇が間を取った「削除してください」という指示につながる。

そんな遠隔救援先の一人、勤務先の社長は自宅で遭難。当初「土曜でよかった。社長が出社していたら大変」と言っていたが、そうだよ自宅にもパソコンがあったのだ。なぜか激重と言いながらもメールが使え、メールでやり取りできたのは幸い。

「治りました。深謝。」という返信が来て15分後、「ウィルスバスターのパターン更新をしたところ再度同じ症状が現われましたのでセーフモードで596を削除したところ、復調しました。」という恐怖のメール。いったい何事だ？　やはりゴミ箱に入れただけではだめなのか。急いでゴミ箱を空にするよう連絡。自信なさげに書いたせいか渋るので語気強く実行を要請。返事は来なかったが日記を見るとうまくいった模様。もう少しカッコ良く、優秀なスタッフみたいに書いてえな。賞与までは要求しないから（貰えるならいただきます）。

念のため電話サポートした相手にゴミ箱を空にするよう連絡したが、単純な削除だけで大丈夫な例もあった模様。VBのバージョンとか複雑な背景があるのかもしれない。

戦後処理

どう考えても全国的、全世界的な問題に発展する事象なので、少しでも経験が役に立つようblogで情報を公開した。第一報は12時を少し回ったころ。キーワードとして「WindowsXP」「ウイルスバスター」「CPU使用率が100％」「System」「0x8007043c」「動かない」を想定して文中に織り込む。

それから情報収集に乗り出す。blogには生還者の証言が早くも乗り始めており、トレンドマイクロ社が対策ページを設けたことも発見。掲示板には辛くも携帯電話で辿り着いた難民があふれていた。8:30頃には早くもウイルスバスターが原因と突き止め対処法を記した書き込みも。

パソコンが1台しかない、あるいはXPでそろえていたところは全滅で、情報収集もままならず、復旧にてこずったことだろう。げにモノカルチャーは脆弱なり。管理は大変になるが、OSは複数、ウイルス対策も複数、ISPも複数、が必要かもしれない。少なくとも携帯電話での情報収集術は身につけておく必要があろう（PCと携帯電話とでは同じ「インターネット」といっても別世界の趣）。

週があけても情報は錯綜しており、「コーポレートエディションで障害が発生する可能性は著しく低い」などという記事も。経験にかんがみて著しく不同意。

敵もサルもの引っかくもの。セキュリティ情報を装って、というか本物のセキュリティ情報付で架空請求の罠へいざなうであろうメールが届いた。最初のリンク先はマイクロソフトで、アップデートを受けられる。二番目以降のリンクはリファラー付で、クリックすれば相手に悟られ、おそらく「ご入会ありがとうございます。金払えゴルァ」メールが届くことに。

ちなみにhttp://www.px21.net/maru/もそのルートであるhttp://www.px21.net/もbody部分がすっからからんの真っ白ページ。http://home.big81.com/ はアクセス制限（Forbidden）。

Return-Pathにも受け手のメールアドレスが記述されている。unknown userで返ったらわかるようにしてあるのか。

Return-Path: 
Received: from m22.big81.com ([222.236.44.69])
	by [???.??.??.???] (8.10.2/8.10.2) with ESMTP id j3PLV6L01480
	for <*@*>; Tue, 26 Apr 2005 06:31:06 +0900
Received: by m22.big81.com (Postfix, from userid 505)
	id 7F4395980BD; Tue, 26 Apr 2005 06:47:45 +0900 (KST)
Subject: 至急：Windows  シェルの脆弱性により、リモートでコードが実行される (893086)
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit
Date: Tue, 26 Apr 2005 06:37:54 +0900 (KST)
From: セキュリティ情報 
To: *@*
Message-Id: <20050425214745.7F4395980BD@m22.big81.com>
X-UIDL: 8Vk"!0N2"!\__"!W?d"!

会員の皆様へ緊急情報のお知らせです

■MS05-016 : Windows の重要な更新
公開日: 2005年4月13日 | 最終更新日: 2005年4月13日
Windows シェルの脆弱性により、リモートでコードが実行される (893086)
■MS05-017 : Windows の重要な更新
公開日: 2005年4月13日 | 最終更新日: 2005年4月13日
メッセージ キューの脆弱性により、コードが実行される (892944)

セキュリティ更新プログラムがうまく動かない場合には
↓下記ＵＲＬから直接出来ます↓ http://www.microsoft.com/japan/security/bulletins/ms05-016e.mspx

↓その他のお役立ちサイト↓
◆　http://www.px21.net/maru/?（リファラ省略）
↓その他海外サイト↓
◆　http://www.schwa.ws/land/?（リファラ省略）
↓その他の大人のお色気サイト↓
◆　http://www.schwa.ws/omango/?（リファラ省略）

・セキュリティメールマガジンはメールマガジンの配信スタンド となっており、セキュリティ情報以外の情報も登録会員様に定期的にメールマガジンを配信しております。

・当局はご紹介先のサイトにおけるいかなる トラブルや損害に対しても一切の責任を負いかねます。

・掲載情報に関してのご質問には応じておりませんので予めご了承下さい。

All Rights Reserved, Copyright (C) SC MAIL MAGAZINE

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

登録解除

万が一18歳未満の方に届いた場合や登録解除をご希望の方

http://home.big81.com/regist/unregist?magid=（後略）

会員じゃねーよ。

昨日リリースされたウイルスバスターのパターン594に更新するとWindowsXPが動かなくなる。

発端

土曜出勤している社員複数から「パソコンが動かない」と連絡。君達のパソコンはキャスターでもついているのか、と軽口をたたきながら行ってみると、タスクマネジャーのパフォーマンス表示でCPU使用率が100％に固着している。これでは入力を受け付けないのも無理はない。プロセスを見ると、動いているのはSystemのみ。ネットワークトラフィックも発生していない。ウイルスのせいではないらしいと安堵はしたが、原因も対処法も五里霧中。ある部門では5台のうち4台が動作不能に陥った（後から考えると、なぜこの1台は大丈夫なのか、をもっと追究すべきであった）。

Win2000は無問題だったので、「またマイクロソフトか」とWindowsUpdateを疑ってみたり。おかしくなったマシンを「セーフモード＋ネットワーク」で起動してWindowsUpdateをかけると0x8007043cという謎のエラーコードで弾かれる。これも例によってトラブルシューティングで検索してもヒットしない。だが、そのうち、どうもトレンドマイクロ社のVirusBusterが関係しているらしいと気がついた。最新のパターンファイルを見ると、今朝アップデートしたばかりなのにまた上がり596になっている。臭い（どちらも22日中にリリースしたことになっているが、9時の更新では594がダウンロードされた）。

対処

セーフモードで起動して、lpt$vpn.594（念のためlpt$vpn.596も）を削除することで回復。再起動後、ウイルスバスターを更新してパターンが596になり、システムも正常動作することを確認。

社内の端末のすべて復旧させ、営業所なども電話で対処法を指示し終えて安心したところへメール。わぉっ！「パターン更新をしたところ再度同じ症状が現われましたのでセーフモードで596を削除したところ、復調しました。」と。

ひょっとして完全削除しなかったことが原因？（こちらはShift+削除にした）。ゴミ箱を空にするよう返信。

先週届いた架空請求メール「早乙女女子校」（早乙女女子高と書いている人もいるが、別バージョンがあるのではなくて、変換ミスらしい）。振り込め口座が書いてあったので当該銀行に通報した。またwhoisで上位プロバイダを調べて、これも通報。ところが銀行からはナシのつぶて、プロバイダからは「うちではありません」と別のWhoisの検索結果。そのメールを当該プロバイダに転送して改めて対処を求める。

銀行の対応が腹立たしかったので、管轄の財務局のウェブを調べるとヤミ金・架空請求の口座情報を受け付けている。「所定の様式で」というのが面倒に思えたが、がまんして書式をダウンロードしようとしたら...404　NotFouond。頭の中で何かがプツンと切れた。早速メール。

週があけて、情報処理技術者試験の疲労が抜けきらない火曜日。某財務局から電話がかかってきた。リンクを修正したので正式に情報提供してほしいという。メールには当該サイトのURLも書いておいたのだが「そういうのにはアクセスできない決まりでして」と済まなさそう。もしかしたらフィルタリングでもされているのか。長距離電話を捕まえて説教しても、通話料は税金から払われる。いろいろ文句はあったけれど腹に収め、連絡への礼を言って電話を切り、正式に情報提供。

送信ボタンを押してしばらくすると、今度は2番目のプロバイダからメール。

弊社にて対応を続けさせて頂いておりました。ご連絡を頂きます毎に、弊社約款に基づき対応を取らせて頂いておりましたが、別名義で運営を続ける等を繰り返しておりました。

現在ご連絡頂きましたサイトに関しましては、閲覧が不可能になっていることを確認しております。

大変ですね。

財務局は金融機関と警察当局へ速やかに連絡してくれるそうなので、コバヤシ　マコト君と一味がお縄になるのを期待しましょう。（しかし一週間も経ってれば逐電してるだろうな）

春の試験はSMを選択した。テクニカルエンジニアのシステム管理試験（Systems Management Engineer Examination）だ。もともとユーザ上がりだから開発・運用側の試験を受けるつもりはなかったのだが、アドミニストレータを名乗る以上「テクニカルは知りません」は通用しない。それに連敗を続ける秋の情報セキュリティアドミニストレータ（SS）試験で捲土重来を果たすためには慢心を抑える必要があって、「初級シスアド（AD）で肩慣らし」は避けたかった（2004年は春のAD再合格を果たして自信満々SSに望んでまさかの不合格）。

しかし初めてのテクニカル、初めての論述式のプレッシャーは重く、「敵前逃亡しなければ許す」という低いハードル設定。直前になって「ダメモトで受験する」から「受ける以上は合格を目指す」とテンションだけは上げてみたものの準備不足は覆いようもなかった。

当日の朝。電車に乗ると優先席で松葉杖の女性が熱心に本を読んでいる。左足を投げ出しているところを見ると膝にギプスをしているのだろう。ふと表紙を見ると「初級シスアド」という文字が。比ゆで「這ってでも受験する」と言うけれど、この人は文字通り杖をついて受けに行くのだ。えらいなぁ。

試験会場に到着。開始時刻になっても席は半分も埋まらない。

午前試験は90分で55問。SSでは問1問2で往復ビンタを食らうことが多かったので、用心して問55から解き始める。ところがそこでいきなり「SAMLとは何か」。知りませーん。続く問題も基礎知識の不足を痛感させるものばかり。

さらに癪に障るのは、前日チェックした過去問題が出ていて、一瞥して正答できたこと。験勉テクニックで点を取るなんて恥だ。（ネットワークの稼働率の問題は苦労して解いて身につけたので、これは素直にうれしい）

翌日、ネット上の複数の解答速報と照合する。やれやれ、よくもこれだけ「見解の相違」があるものだ。速報間にも意見の不一致があるので未確定だが34/55前後。率にして60％。楽勝にはほど遠いが、絶望と宣告できる結果でもない。ま、どうあがいても結果は変わらないのだから、落とした問題のフォローをしよう。まずはケアレスミスの根絶。

13日以来、あちこちのblogに同文がコメントされている。新手のコメントスパムだろうか？　最近（も？）わけのわからない人が多い。

コメントのＫＥＮさんへ

フリースタイルプレゼントのアイテム
武器になります。

そしてサイトも面白かったです。
教えてくれてありがとうございました。

hiro

最初に見たblogでは、コメントする記事を間違えたのかと思った。ところが、主観的にはまったく系統の違うblogでも見つけて「？」。例によってググると13日以来あちこちにコメント投稿されている。

しかしどこにリンクしているわけでもなく、「武器になるアイテム」を求めるカモを釣っているわけでもない。山崎渉みたいなものなのだろうか？　それにしては芸がない。

追記
Birth of Bluesによれば、「｢特定の記事を扱っているライブドアブログのみ｣に手動で貼られている」という。独自ドメインのblogで見つけたので気づかなかったが、なるほどデザインなどから判断するとlivedoor blogのようだ。しかし、特定の記事というのはなんだろう？

４月に入って日本語スパム（spam）が急増した。メールに不慣れな新入生・新入社員をねらったのか、新年度は目標額が引き上げられたのか。

困ったことに外部（お客様・新規取引希望業者等）のために公開してあるアドレスが拾われていて、そこにも間断なく届く。ついには重要事業だからと自動転送を受けている社長から「早乙女女子高をなんとかしろ」と指示がくる始末。（早乙女女子校と早乙女女子高と２つのバージョンがあるね）

スパム対策の第一歩はアドレスを知られないことだが、組織の場合、それ一本槍とはいかない。一部では「決め打ち可能なinfo,webmaster,postmaster@ドメイン名のアドレスは無効にする」という対策まで語られているけど、それってRFCに反していません？（遅ればせながらabuse@ドメイン名を作りました）

メールアドレスに特徴的な＠を実体参照（@）にすると、人には＠に見えるがアドレス収集ロボットは見落とすと言われたこともあった。だが敵もサルもの引っかくもの、それをかいくぐるものも登場しているという（mailto:を拾われているという説もある）。

正しいアドレスの頭にno-spamと付加したり、@を2バイト文字で書いたりして、メール送信時に手動修正を依頼する手法も紹介されている。しかし利便性が著しく損なわれるうえに、過って削除しすぎたりしたらメールは届かなくなる。スキル未知のお客様に対してする方法ではない。まして最近の割れ物スパム（ソフトの不正コピー販売）には問い合わせ先表示にこの手法を採用しているものがあって、こいつらと同じはイヤだ。

アドレス（全部または一部）を画像にするのも、自らのリスク軽減のために相手に負担を求めるやり方で感心しない。

JavaScript は、（特にIE利用者には）オフを推奨している手前、利用できない。

ラベルしたダミーアドレスでロボットを捕捉しスパマーのリモートホストを軒並み排除する方法もあるにはある。だがメーラーの設定変更は新しいのが見つかるたびに各クライアントを廻らなければならないし、サーバレベルでの設定は...スミマセン、わからない。

そこでフト思ったのだが、アドレスの中にコメントアウトした無意味文字列を挿入したらどうなるだろう？　hogehoge@hoge.com（hogehoge<!-- foobar -->@hoge.com と書いてある）って感じ。もちろん人がブラウザで見れば余計な文字列は見えないし、コピーもされない。ロボットがホイホイ拾ってくれれば当然エラーになる。

関連会社用にドメイン取得の指示。ただ、すでにその名称そのもの（仮にxxxとする）はすべて取得されている。そこで「1xxxってどうよ」と御下問。

「番号付はお勧めできない」と回答すると「どうして？　1付けると検索で上に来ると聞いた」と。

もーね、アボガトロ数は6×10²³かと。早速返信。

それは都市伝説でしょう。出所を教えていただけますか。

仮に本当だったとしても、当然それは検索サイト側も察知しており、そんな小細工は無効にされているでしょう。

しかし、ごく少数の非道徳的な SEO による（中略）サーチ エンジンの検索結果を不正に操作しようとする試みが、業界の信用を損なってきました。

（Web マスターのための Google 情報）

利用者の望まないサイトを上位に示すような検索エンジンは淘汰されてしま うから、検索サイトも不正防止に必死です。

> なぜお勧めしないか教えて下さい。

1. 無意味（東急の109のように意味があれば別）
2. そのため誤認されやすい（lやzと）
3. 覚えにくい
4. そのため不本意な語呂合わせをされる恐れもある
5. 2xxxや3xxxも押さえておかないと紛らわしいサイトを作られる（その意味では末尾に数字もリスキー）
6. スパマーがよく使う手口（最近の例ではqsv.comが一連の数字を使っている。おそらくspamブロッキング対策でしょう。）

検索者にとって無意味な数字の付加は、単に品位にかけるばかりでなく、スパムサイトの疑いをもたれます。実際、googleのガイドライン解説には「著名な Web サイトのスペルを少し変えた、ユーザーが間違えそうな名前で登録する」が不正行為の一例に挙げられています。不正行為と認定されれば削除され、googleでヒットすることはなくなります。

これに対するお返事は
「セミナーで聞きました。
まあ議論していても仕方ないので
xxx‐jp.com
はどうですか？」

大人だ。

（googleガイドラインを眺めていたら、もっとはっきりサーチ エンジンでの順位を上げるためのトリックを使わないでください。と書いてあった。orz　基本は「これはユーザーにとって役に立つのだろうか？サーチ エンジンがなくても同じことをしただろうか？」と自問してみてください。ですな。）

建設ITの発展を支えたサイト「建設CALS情報局」が終了というニュースが配信された。建設会社や建設コンサルタント会社、自治体で建設CALSの旗振り役を務める人たちの間では、非常に有名なサイトだったというが、建設会社の末席を汚しながらまったく知らなかったので、急いでgoogleってアクセスしてみると、黄色一色の更地になっていた。それでURLを載せなかったのね＞日経KEN-Platz

閉鎖の理由というのが涙を誘う。インターネットなどで簡単に情報の検索ができるようになってサイトの必要性が低下したこと，サイト開設時に目指した新鮮な情報を提供する意欲が低下したからだという（強調は引用者による）。

それはわかるけれど、だからといって更地にしてしまうことはないでしょう。日本のCALSの創生期に多くの人たちが苦労して作ったシナリオが，どう発展していくかを見守りたいなら、自ら歴史の証言台に立つべきでは。トップページに「更新停止」とでも貼って放置するだけで十分。年間数千円の維持費が出せなくなったわけでもないでしょう。

しかし、こんなことぐらいで引き下がりはしない。インターネットアーカイブで2004年までの記事を発見。すでにこの時点で更新停滞の兆候が伺える。21世紀最初の年に書かれたアクセス出来ないURLという記事には、リンク集にリンク切れが多いことを詫びつつも、リンクは切れるものという前提で次のように書かれている。

リンク切れになっても再度検索しやすいようにコメントが書いてあるので、それを頼りに自分で検索してください。今の時代、以上のような情報リテラシーは必須でしょう。

リテラシの重要性については同意。しかし情報そのものを消してしまったらどうにもならないと思います。インターネットアーカイブにしても、すべての更新を記録しているわけではありません。

公に残す意味の少ない私的綴り方（blog時代になって特に増えたように思う）ならいざ知らず、いやこれも、現代の考古学者・歴史学者が古代のゴミ捨て場や襖の下張りをあさっているように、将来ある種の意味を持つとは思うけれど、続ける気がなくなったからといって、過去も含めて消してしまうのは、厳しく言えば情報の私物化だ。（これは、自分が廃墟サイトをいくつも抱えていることの正当化が目的ではない　f^^; ）

今まで知らなかった検索エンジンwakanoを知ったのがとりあえずの収穫。

とあるメールマガジンに何回も見直したつもりでもなかなか気付かないときがよくあります。見直すときの工夫や注意点などありましたら、教えて下さいという相談。以前の解説を元に増強して投稿したけど、どうやら没。もったいないのでこちらに公開。

他の人の回答はメールマガジンのバンクナンバーを参照（521行目から）。

その１「固有名詞と数値は一次資料で確認」
思い込みでやりがちなミスです。これは内容がわかっていないと発見困難。綴り違いならまだしも、完全な事実誤認が見つかることも珍しくありません。数値に関しては検算が必要な場合もあります。

その２「誤字は魯魚の誤りより同音異義に注意」
コンピュータ時代の誤字筆頭は誤変換と言って良いでしょう。意味を考えながら読むと発見しやすい。

　※「魯魚（ろぎょ）の誤り」とは形の似た字と間違えること。

その３「見出しは見落としやすい」
本文は完璧でもね。見出しのほか、表の中、図表のキャプションなども鬼門。

その４「修正が誤りを呼ぶ」
その５「一括変換による過剰修正」
この２つは言わずと知れた「退行テスト」の対象ですね。正規表現を使えば一括変換もかなり正確に行えますが...やはり逐一確認が基本かと。

その６「直して安心したそばに別の誤り」
近接して複数の誤りがあると、2番目以降のミスは見落としやすいということ。油断してしまうんですね。その筋では「直しを入れたら、その周辺は入念に見ること」といわれてます。

変わった所では、繰り返しの多い文章では、たとえば5行目の冒頭に直しを入れるとよく似た6行目から校正を再開してしまう、ということが起こりえます。

以上のポイントに気をつけて点検することでかなりの誤りを発見できるでしょう。

しかしまだ難物が控えています。

その７「脱字」
ローマ字入力では直後に発見されて直されることが多いと思いますが、かな入力の人にやられると、注意深く読んでいないと見落とします。脱字のホットスポットはいまだに発見できていません。対策としてはかな入力の禁止。:-p

その８「異なる漢字」
漢字（熟語）の読みを知らないため、単漢字で違う字を入れてしまうもの。「促す」とあるべきところに「即す」とあるのを見てひっくり返ったことがあります。ぉぃぉぃ「そくす」と思っていたのかい？（素直に「うながす」と打てば変換するのに）
「順風満歩」は創作ですけど、ありがちだと思いません？
これを知らない言葉でやられたらお手上げです。読みに詰まったり意味がわからなかったりしたらすぐ辞書に当たる習慣があると発見しやすいけれど、本人も勘違いしていたらスルーしてしまうでしょう。

　おまけ「校正ざんまい」
　ググっていたらこんなページを見つけました。
　http://www.geocities.jp/jinysd02/kousei.html