JavaScript難読化処理
のためのヒント

【BB.excite】Bフレッツ接続料無料キャンペーン実施中！
（5月31日まで）

2．日本語メッセージを英数字だけの文字列に変換する

他人が書いたJavaScriptを解析する際に、その取っ掛かりとして、エラーメッセージを中心に見ていくことにより、プログラムの特定個所が、どのあたりの処理にかかわるものであるかを類推する方法があります。例えば、いくら先程のページのように改行がないソースに仕上げても、「名前を入力してください。」「フリガナは必須です。」などの日本語メッセージは丸丸残っています。これでは、この日本語メッセージを中心に、どの「{」と「}」が呼応するかなどを読み解かれ、改行・インデントつきの読みやすいソースに「逆戻し」されやすくなります。

そこで、これらの日本語をASCII文字（英数字only）にすることを考えます。String.fromCharCode()メソッドを使います。例えば、「あいうえお」という文字列は、「String.fromCharCode(12354,12356,12358,12360,12362);」と表すことができます。ですから、「alert("あいうえお");」は「msg=String.fromCharCode(12354,12356,12358,12360,12362);alert(msg);」と変換することができます。

このような日本語変換は、比較的簡単なJavaScript（charCodeAt()メソッドを使用。）で可能ですが、自分で作るのが面倒な方は、下記のフォームを利用してください。下記に、「名前を入力してください。」を入力して変換してください。「String.fromCharCode(21517,21069,12434,20837,21147,12375,12390,12367,12384,12373,12356,12290);」となりましたね？

このようにして、他の日本語メッセージも変換できます。ここで、もう一ひねりして、それぞれの日本語エラーメッセージを別の変数名に写しておく際に、単純に連番をふると分かりやすくなりますので、わざとmsg10、msg8、msg11、msg5・・・というふうに数字が前後無茶苦茶になるようにします。そして、日本語メッセージを一個所に集めておき、どのメッセージ（すでに英数字だけになっています。）がどこに入るのか容易には分からないようにします。

ただし、自分でも分からなくなり、メンテナンスがとても面倒になりますので、プログラムの作成段階では、どの変数がどのエラーメッセージに対応するかをコメントで書いておいて、サーバに公開する前に、先程のページで紹介した方法でコメントを一括削除するのがいいでしょう。順番に気をつけないと大変なことになりそうです。

即ち、ソース1-2を一旦次のように書き換えます。

ソース2-1

//メールアドレスの一文字目に@が来るのは変です。
msg21 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12398,19968,25991,23383,30446,12395,64,12364,26469,12427,12398,12399,22793,12391,12377,12290);

//メールアドレス中で「.」が連続するのは変です。
msg3 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,20013,12391,12300,46,12301,12364,36899,32154,12377,12427,12398,12399,22793,12391,12377,12290);

//フリガナは必須です。
msg12 = String.fromCharCode(12501,12522,12460,12490,12399,24517,38920,12391,12377,12290);

//メールアドレスに、@が二つ以上あります。メールアドレスとして不適切です。
msg25 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12395,12289,64,12364,20108,12388,20197,19978,12354,12426,12414,12377,12290,12513,12540,12523,12450,12489,12524,12473,12392,12375,12390,19981,36969,20999,12391,12377,12290);

//入力チェック・クリアです。
msg19 = String.fromCharCode(20837,21147,12481,12455,12483,12463,12539,12463,12522,12450,12391,12377,12290);

//メールアドレスを入力してください。
msg7 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12434,20837,21147,12375,12390,12367,12384,12373,12356,12290);

//メールアドレスに、「.」がひとつもありません。メールアドレスとして不適切です。
msg4 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12395,12289,12300,46,12301,12364,12402,12392,12388,12418,12354,12426,12414,12379,12435,12290,12513,12540,12523,12450,12489,12524,12473,12392,12375,12390,19981,36969,20999,12391,12377,12290);

//メールアドレスの中の最後の「.」（ドット）の後に一文字しかないというのは変です。「.jp」「.com」など、最低でも２文字以上存在するはずです。
msg2 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12398,20013,12398,26368,24460,12398,12300,46,12301,65288,12489,12483,12488,65289,12398,24460,12395,19968,25991,23383,12375,12363,12394,12356,12392,12356,12358,12398,12399,22793,12391,12377,12290,12300,46,106,112,12301,12300,46,99,111,109,12301,12394,12393,12289,26368,20302,12391,12418,65298,25991,23383,20197,19978,23384,22312,12377,12427,12399,12378,12391,12377,12290);

//」は、メールアドレスとして不適切な文字です。
msg27 = String.fromCharCode(12301,12399,12289,12513,12540,12523,12450,12489,12524,12473,12392,12375,12390,19981,36969,20999,12394,25991,23383,12391,12377,12290);

//メールアドレスの一文字目に「.」（ドット）が来るのは変です。
msg1 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12398,19968,25991,23383,30446,12395,12300,46,12301,65288,12489,12483,12488,65289,12364,26469,12427,12398,12399,22793,12391,12377,12290);

//メールアドレスの末尾に「.」（ドット）が来るのは変です。
msg20 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12398,26411,23614,12395,12300,46,12301,65288,12489,12483,12488,65289,12364,26469,12427,12398,12399,22793,12391,12377,12290);

//名前を入力してください。
msg10 = String.fromCharCode(21517,21069,12434,20837,21147,12375,12390,12367,12384,12373,12356,12290);

//メールアドレス中で、@の直前に「.」が来るメールアドレスはご利用になれません。
msg22 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,20013,12391,12289,64,12398,30452,21069,12395,12300,46,12301,12364,26469,12427,12513,12540,12523,12450,12489,12524,12473,12399,12372,21033,29992,12395,12394,12428,12414,12379,12435,12290);

//メールアドレスに、「.」がひとつもありません。メールアドレスとして不適切です。
msg29 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12395,12289,12300,46,12301,12364,12402,12392,12388,12418,12354,12426,12414,12379,12435,12290,12513,12540,12523,12450,12489,12524,12473,12392,12375,12390,19981,36969,20999,12391,12377,12290);

//メールアドレスに、@がひとつもありません。メールアドレスとして不適切です。
msg15 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12395,12289,64,12364,12402,12392,12388,12418,12354,12426,12414,12379,12435,12290,12513,12540,12523,12450,12489,12524,12473,12392,12375,12390,19981,36969,20999,12391,12377,12290);

//文字目の「
msg26 = String.fromCharCode(25991,23383,30446,12398,12300);

//メールアドレスの末尾に@が来るのは変です。
msg8 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12398,26411,23614,12395,64,12364,26469,12427,12398,12399,22793,12391,12377,12290);

ここから、コメントを削除し改行を削除（テキストエディターを使った方法はこちらをご参照ください。）します。

ソース2-2

msg21 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12398,19968,25991,23383,30446,12395,64,12364,26469,12427,12398,12399,22793,12391,12377,12290);msg3 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,20013,12391,12300,46,12301,12364,36899,32154,12377,12427,12398,12399,22793,12391,12377,12290);msg12 = String.fromCharCode(12501,12522,12460,12490,12399,24517,38920,12391,12377,12290);msg25 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12395,12289,64,12364,20108,12388,20197,19978,12354,12426,12414,12377,12290,12513,12540,12523,12450,12489,12524,12473,12392,12375,12390,19981,36969,20999,12391,12377,12290);msg19 = String.fromCharCode(20837,21147,12481,12455,12483,12463,12539,12463,12522,12450,12391,12377,12290);msg7 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12434,20837,21147,12375,12390,12367,12384,12373,12356,12290);msg4 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12395,12289,12300,46,12301,12364,12402,12392,12388,12418,12354,12426,12414,12379,12435,12290,12513,12540,12523,12450,12489,12524,12473,12392,12375,12390,19981,36969,20999,12391,12377,12290);msg2 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12398,20013,12398,26368,24460,12398,12300,46,12301,65288,12489,12483,12488,65289,12398,24460,12395,19968,25991,23383,12375,12363,12394,12356,12392,12356,12358,12398,12399,22793,12391,12377,12290,12300,46,106,112,12301,12300,46,99,111,109,12301,12394,12393,12289,26368,20302,12391,12418,65298,25991,23383,20197,19978,23384,22312,12377,12427,12399,12378,12391,12377,12290);msg27 = String.fromCharCode(12301,12399,12289,12513,12540,12523,12450,12489,12524,12473,12392,12375,12390,19981,36969,20999,12394,25991,23383,12391,12377,12290);msg1 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12398,19968,25991,23383,30446,12395,12300,46,12301,65288,12489,12483,12488,65289,12364,26469,12427,12398,12399,22793,12391,12377,12290);msg20 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12398,26411,23614,12395,12300,46,12301,65288,12489,12483,12488,65289,12364,26469,12427,12398,12399,22793,12391,12377,12290);msg10 = String.fromCharCode(21517,21069,12434,20837,21147,12375,12390,12367,12384,12373,12356,12290);msg22 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,20013,12391,12289,64,12398,30452,21069,12395,12300,46,12301,12364,26469,12427,12513,12540,12523,12450,12489,12524,12473,12399,12372,21033,29992,12395,12394,12428,12414,12379,12435,12290);msg29 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12395,12289,12300,46,12301,12364,12402,12392,12388,12418,12354,12426,12414,12379,12435,12290,12513,12540,12523,12450,12489,12524,12473,12392,12375,12390,19981,36969,20999,12391,12377,12290);msg15 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12395,12289,64,12364,12402,12392,12388,12418,12354,12426,12414,12379,12435,12290,12513,12540,12523,12450,12489,12524,12473,12392,12375,12390,19981,36969,20999,12391,12377,12290);msg26 = String.fromCharCode(25991,23383,30446,12398,12300);msg8 = String.fromCharCode(12513,12540,12523,12450,12489,12524,12473,12398,26411,23614,12395,64,12364,26469,12427,12398,12399,22793,12391,12377,12290);function checkInput(){if(document.myForm.name.value == ""){alert(msg10);document.myForm.name.focus();return false;}if(document.myForm.furigana.value == ""){alert(msg12);document.myForm.furigana.focus();return false;}email = document.myForm.email.value;if(email == ""){alert(msg7);document.myForm.email.focus();return false;}atmark = 0;dot =0;var j,moji_x;for(var i = 0;i < email.length;i++){moji = email.charCodeAt(i);if(moji >= 48 && moji<= 57){} else if(moji >= 65 && moji <= 90){} else if(moji >= 97 && moji <= 122){} else if(moji == 64){if(i == 0){alert(msg21);document.myForm.email.focus();return false;} else if(i == (email.length -1)){alert(msg8);document.myForm.email.focus();return false;}if(email.charCodeAt(i-1) == 46){alert(msg22);document.myForm.email.focus();return false;}atmark++;} else if(moji == 45 || moji == 95){} else if(moji == 46){if(i == 0){alert(msg1);document.myForm.email.focus();return false;} else if(i == (email.length - 1)){alert(msg20);document.myForm.email.focus();return false;} else if(i == (email.length - 2)){alert(msg2);document.myForm.email.focus();return false;}if(i >= 1){if(email.charCodeAt(i-1) == 46){alert(msg3);document.myForm.email.focus();return false;}}dot++;} else {j = i + 1;moji_x = email.charAt(i);alert(j + msg26 + moji_x + msg27);document.myForm.email.focus();return false;}}if(atmark == 0){alert(msg15);document.myForm.email.focus();return false;} else if (atmark >= 2){alert(msg25);document.myForm.email.focus();return false;}if(dot == 0){alert(msg29);document.myForm.email.focus();return false;}alert(msg19);}

どうですか？

この難読化したソースを実際に外部ファイル化して、下記の入力フォーム・サンプルで入力チェックができるようにしています。難読化しても問題なく動作することを確認してください。

▼ よくある入力フォームとJavaScriptによるチェック（検証用サンプル）

この方法を使った場合のメリットとして、「敵」に分かりにくくなるだけでなく、日本語が一切出現しないので、Shift_JISで保存することができることです。普通、EUC-JPのホームページなら外部ファイルの文字コードもEUC-JPで保存したり、UTF-8のホームページなら外部ファイルの文字コードもUTF-8の文字コードにしたりしますが、バグを抱えたブラウザによっては、外部ファイルの文字コードが特定の文字コード以外だと文字化けしたりとか、ややこしい問題が起こることがあるのですが、それがなくなるのはメリットですね。

（※ 実は、このString.fromCharCodeメソッドを使った難読化は、Flashのスクリプト言語であるActionScriptの難読化にも利用可能です。swfファイルは、バイナリーファイルですし、JSファイルのように丸見えではないはずなのに、難読化がなぜ必要かと思われます方もおられるでしょうが、難読化は今や必須とも言えます。ActionScriptを解析できるソフトが販売されています。しかも闇でではなく、VectorやAmazonなどでも入手できます。swfファイルだと「（AcitionScriptの）ソースは見えない」と思って、パスワードやデータファイルの場所など大切な情報を書いてしまっている場合がありますので、なおさら気をつけないといけないです。）

逆に、この方法を使った場合のデメリットは、まずデバッグ・メンテナンスがしにくくなることです。ですから、できるだけ完成していて、しばらくはいじくる必要のないJavaScriptに対して施す必要があります。また、想定しているエラーパターンを全てチェックするために、想定しているエラーメールアドレスのパターンをまとめておき、すべてのケースで、想定したメッセージが表示されることをチェックするようにします。順番を入れ替えたりしているうちに、自分でも思わぬミスをしている可能性があります。

また、いま一つのデメリットは、ファイルサイズがとても増えることです。このサンプルでは約２倍にもなりました。そこで、ファイルサイズの減量を考えます。まず目につくのは、String.fromCharCodeが何度も登場するようになりましたので、これをもっと簡単で短い名称に変えられないかを考えます。

目次：

連絡先：info@broadband-xp.com

【PR】 HTML・JavaScript暗号化ソフト「SHTML」

（免責事項）このホームページの内容に起因する如何なるトラブルに対しても責任を持ちえません。必ず自己責任でご利用ください。

JavaScript難読化処理 のためのヒント

2．日本語メッセージを英数字だけの文字列に変換する

JavaScript難読化処理
のためのヒント