以前も「大発明」としてこのBlogで紹介したフリーのVPNソフト SoftEther の最新版「SoftEther VPN 2.0 ベータ 3.2」が,7月4日にリリースされた.
主な変更点は…
- 『SoftEther VPN Bridge 2.0』の追加
- クラスタリング環境で集中統合管理が可能に
- 仮想 HUB 間のカスケード接続時にクライアント証明書認証が使用可能に
- ATOK16 との組み合わせによるメモリリークの解消
- 複数 TCP コネクション接続時の安定性の向上
- config ファイルの瞬時の動的なインポート / エクスポートに対応
- 仮想 HUB の管理オプションの設定が可能に
- VPN Server の不具合の修正
- 社外開発の信頼できないプログラムコードの除去
といったところだが,最後の項目は気になるところだろう.また今まで「ベータ1」「ベータ2」「ベータ3」とバージョンアップしてきたにもかかわらず,なぜ今回,「ベータ3.2」という細かいバージョンが付けられているのが疑問に思った読者もいると思う.
実は,あるシェアウエア(「Vocal Cancel」)の中にトロイが発見されたのだが,その作者がSoftEtherの一部のコードを作成していたのだ!シェアウエア内に発見されたトロイ名は,TROJ_HIROFU.A.シェアウエア作者が意図的に埋め込んだもので,不正シリアル使用者を追跡するためのようだ.「不正シリアル使用者である」とソフトが認識すると,インストールしたパソコン内のメールアドレスやシリアル関係の情報を収集し,メールで報告するようになっている模様.この件に関しては,非常に良くまとめられたサイトがあり,その中にはこのシェアウエアの作者吉田氏と,このサイト管理者とのメール往復書簡も公開されている.興味のある方はご一読願いたい.
この「Vocal Cancelトロイ混入問題」の発端は,上記サイトによると2004年8月の2chへの書き込みからのようだ.トレンドマイクロがトロイと認定したのが本年2月.そして本年6月24日に,この問題に関するスレが2chソフトウエア板に立てられ,その後,6月30日にニュース速報板にもスレが立てられたことで,一気に問題が明るみに出た.同日,SoftEtherのメイン作者に匿名メールにより知らせが入り,夜を徹しての疑惑部分のコードチェックが開始される.そしてついに7月1日,「Vocal Cancel」を公開していたVectorが,同ソフトの公開停止に踏み切ることになる.
SoftEther内のコードチェックの結果,前バージョンのSoftEtherに,トロイ等の不正コード混入はなかったようだ.その後,念のためにトロイ作者に外注したコード(自己展開型の圧縮パッケージ ユーティリティ)は除去されて,今回の中途半端な(?)開発状態での緊急リリースとなったわけだ.
というわけで,今回はSoftEtherについては,どうやら事なきを得たようだ.VPNは当然の事ながら,企業での利用が多いため,VPNソフトにおいてセキュリティ確保は最優先事項となるはずだ.SoftEtherのように,オープンソースによらない開発の場合,外注先から納品されたコード監査の徹底は,必要不可欠とも思えるが,今回のSoftEther側の動きからすると,監査は行っていなかったのかもしれない.
スパイウエアの話題が絶えない今日,今回の事件は,クローズドソース開発やシェアウエアの信頼性確保に,新たな問題を突きつけている.
参考リンク:
- スラッシュドット:トロイの木馬入りのシェアウェアVocal Cancelに注意(シェアウエア作者らしき発言あり)
- Vocal Cancelがウイルスな件について。
- 2chセキュリティ板:「シェアウェアVocal Cancelはトロイの木馬だった」
- 2chソフトウエア板:「Vocal Cancel 5.06【実はスパイウェア】 2」
- 2chソフトウエア板:「Vocal Cancel 5.06【実はスパイウェア】 3」
- WaterMind 2ch Watch「■祭り■Vocal Cancel内蔵トロイの挙動詳細」
- WaterMind 2ch Watch「■祭り■Vocal Cancel内蔵トロイの挙動詳細2」