人気ブログランキング | 話題のタグを見る
Twitter / unepist

最近話題の某スパイウェア混入ソフト(意図的に)

/.なんかでも話題になっている某ソフトウェアに作者が意図的にスパイウェアとしての機能を仕込んでいた問題.個人的には,少し前のACCS不正アクセス事件と同じ香りがプンプンすると思う.
作者のF氏は某有名大学の4年生(多分),情報系資格取得などの最年少記録を持ちスーパーハッカー級のプログラマだと思われる.専門的な研究は不明だが,これまた同大学のスーパーハッカー級クリエイタが開発したプログラムの暗号復号技術に関わっており,セキュリティに対する意識は高かったのではないかと思う.



さて,これから先はあまり根拠のない意見なので,作者F氏(というか,セキュリティ系研究者のEDGEな方々)に対して私が勝手に抱いているイメージだと解釈していただきたい.
常々思うことだが,情報技術の専門化の中でも特にEDGEな方々は,セキュリティ意識に関して理想論を貫きすぎている気がしてならない.
彼ら曰く,『知らなかったでは済まされない』,『仕様解説書に目を通さないのは愚か者』,『警告をただの脅しとして受け止めるのはナンセンス』・・・云々.
平たく言えば,『俺の思うセキュリティのルールを厳守できないような方々は,厳罰に処されて当然じゃん?』みたいな.

で,今回の事件では,プログラムの不正利用を行う(レジストコードに不正なものを用いる)とソフトウェアがスパイウェア化して作者のもとに個人情報がたっぷりと届けられるという仕様だったわけだ.
ちなみに,この機能に関してはソフトウェア同封のreadme.txtに記述されていたようであるが,この辺りがEDGEな方っぽいなぁというのが私の意見.
ソフトウェアの不正利用ってのは,なかなかに深刻な問題だと思うし,それを発見するような技術ってのは技術的にも法律的にも難しいものだ.で,今回の作者さんは『不正利用されると作者に通報される仕組み』ってのを埋め込んで,実際に不正利用者に対してメールを送信したりしているわけ.
そこまでする必要があるのかどうか・・・って議論はここでは回避するとして,下手をすると恐喝まがいともなりそうなこんな方法を,情報学を研究する人間が実現してしまっている辺りに私は寒気を感じる.

『一般に広く公開される優れたソフトウェア』は不正利用も多く,それは由々しき問題だ.しかし,だからといって『シリアルキーを入力するだけ』という最も基本的で,コピーが拡散されてしまうことを予測できるような方法に対して,あのような危険なプロテクト(と,言うのが作者のスタンスではないかと思う)を施すことには『ソフトウェア不正利用者』に対する悪意を感じざるを得ない.
強固な城塞には一点だけ脆弱性が残されているが,これは攻撃者・侵入者そこから攻めてくると理解できていれば,そこに兵力を集中できるからだと聞く.つまりは,それと同じことで,『不正利用されるのが容易に想像できる』ようなシリアルキー認証に対してトラップ(これは私のスタンスで言えば罠なのだ)を仕掛けるのは,私には悪意としか判断できない.
私はプロテクトとクラッカーのいたちごっこを推奨するわけではないが,もう少し不正利用できない工夫を施せばよかったのではないかと思うし,もう少し冷静な処置を行うようにしておいてもよかっただろう.
防衛策としてのプロテクトではなく,攻撃的に不正利用を排除するためのプロテクト・・・攻殻機動隊の攻性防壁というのが真っ先に思い浮かんだが,現実にこれを実行してしまうのは自分の無策さをひけらかす結果であったのではないかと思う.

さらにもう一点,この件に関しては興味深いデータが出ていて,シリアルキーを入力しないと危険というデータが有名になるにつれて,登録者が増えたとのことである.
これは,良い見かたをすれば『利用者が不正利用がいけないと理解してくれ,このソフトにはお金を出していいと思って登録してくれた』という風に見える.
しかし,実際には『不正利用してしまってから気づき,お金を出してまで使いたくはないが,どうしようもなくてお金を払ってしまった』というのがありえるだろう.
この方法,理由が正当化されている点を除けば『不当な振込みを請求するメール』とあまり変わりがない.ほんの少しだけ,LicenseAgreementに文章を混入しておけば(そして,おそらくそれは読まれることがほとんどないものだ)根拠ある不当請求が簡単に行えることとなる.シリアル集を手にいれる程度の素人にとっては,PCを人質に取られたのと同義の状況を簡単に作り出せるだろう.

by unep | 2005-07-04 16:25 | 日記

『マッピー』用ボーダー

<< PCが復調 続・PCが不調 >>