パスワードを忘れた? アカウント作成
7133 story

SoftEtherが一時的に公開停止状態に 273

ストーリー by wakatono
そのうちOpenVPNやSSHも公開停止? 部門より

多くのタレコミをいただいたが、その中からIKeJI 曰く、 "先日、鳴物入りで公開されたSoftEtherですが、 政府(経済産業省)からの要請を受け、一時的に公開を停止した模様。
SoftEther 配布一時停止のご案内

しかし、すでにceek.jpなどにミラーリングされており、こちらからダウンロード可能となっているようです。
やはり、気軽に使えるSoftEtherは影響が大きいのでしょうか?他のOpenVPNなどのソフトが使える諸兄はどう思いますか?"

この公開停止は、経済産業省IPAに対する「問題点の指摘」をトリガとして、IPA の未踏ソフトウェア事務局からの要請に基づくものであり、作者の登氏も「この公開停止は一時的なもの」と述べている。早期の配布再開が望まれる。
確かにこれを使うことで、セキュリティ上の懸念が増大する、というのはあるが、そんなのは他のソフトウェアを使ったところで避けられないことである。むしろこのような横槍が入ることで、せっかくのすばらしい成果の普及を阻害しかねないということの方がよっぽど有害だ。
[Update: 2003年12月25日 by yC] ニュース・リリース『経済産業省の要請により SoftEther の配布を停止』が公開された。経緯の説明と、開発者の見解が述べられている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 横槍というけど (スコア:4, すばらしい洞察)

    by shiraga (14233) on 2003年12月24日 21時18分 (#460898)
    むしろこのような横槍が入ることで、せっかくのすばらしい成果の普及を阻害しかねないということの方がよっぽど有害だ。
    便利さというポジティブな面、セキュリティ上の問題というネガティブな面の双方を洗い出し、妥協点(というか双方を満足出来る点)を探る事はどんな技術に関しても必要だと思います。

    いまどきセキュリティの問題に関して十分な考慮がなされていないネットワークツールを「素晴らしい成果」と呼ぶ事は難しいのではないでしょうか?

    ♯薬だって副作用の研究は大切でしょ?
    ♯で、作用とのバランスで、どの程度の副作用なら許容できるか考えないと。
    • Re:横槍というけど (スコア:2, おもしろおかしい)

      by yasudas (5610) on 2003年12月24日 21時41分 (#460910) 日記
      >♯薬だって副作用の研究は大切でしょ?

      臨床試験をやっているのではないかな?>SoftEther
      親コメント
    • Re:横槍というけど (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年12月24日 21時53分 (#460916)
      公開停止しなくてもSoftEtherのページでセキュリティ上のリスクについてちゃんと説明をすれば十分だと思う。

      公開を続けていてもリスクを避けたい人は自分の意志で使わないという選択をする事が出来る。
      だけど公開を止めてしまうとリスクを覚悟しても恩恵を受けたいという人の選択肢が無くなってしまう。

      #薬にしても副作用を覚悟してでも新薬に望みを賭けたい、という人は居ますね。
      親コメント
      • Re:横槍というけど (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2003年12月24日 22時10分 (#460923)
        >リスクを避けたい人は自分の意志で使わないという選択

        本質を解ってない?
        このソフトは、使う人とリスクを負う人が別なんですけど。
        親コメント
        • Re:横槍というけど (スコア:2, すばらしい洞察)

          by Anonymous Coward on 2003年12月24日 22時33分 (#460936)

          使う人とリスクを背負いかねない人が別々だなんて今更取り立てていうほどのものではないでしょう。コンピュータウイルスだってセキュリティホールだって使用者が全くリスクを負わずに済むケースはよくあることです。

          公開を中止したからそれで解決するかというとそうではないと思います。公開を中止することは「臭いものに蓋」以外の何物でもなくて、裏でSoftEtherをベースにした何らかの裏ソフトウエアが一子相伝的な伝播をしていくだけだと思います。言い換えれば公開を停止したところで危険性が存在しうることには何も違いが無いということです。

          ひとたびでも公開してしまった以上、ソフトウエアの公開を停止するという措置よりは、システムの安全性を高める義務を背負う方々(システム管理者、ネットワーク管理者)への積極的な情報提供を行なっていくべきなんではないでしょうか。たとえば、どうやればSoftEtherの通信を止めることができるのかとか。

          親コメント
    • by krackmania (7864) on 2003年12月24日 22時20分 (#460927) 日記
      てかどんどん使ってもらって穴orバグ捜ししてもらたほうがいいじゃ。
      最初に穴たくさんあるのは当たり前っしょ。
      親コメント
  • しかし、本当の問題は (スコア:4, すばらしい洞察)

    by Futaro (2025) on 2003年12月24日 22時55分 (#460948) ホームページ 日記
    しかし、本当の問題は、「SoftEther」があって、それが使われると困る、ということではなくて、「作ろうと思えばこういうものができるよ」と、言うことが周知されちゃったことなんだろうと思う。

    ちょっと心得のある奴であれば、SoftEtherがたとえこれから世の中から消えてなくなっても、「また作ればいいじゃん」ということになる。そしてそれは、どこの国のどんな人でも、一定以上のプログラミング能力と知識があればできるもの、ということが証明されているわけだから。

    すでにiSCSIなんかもよく使われているわけだから、このような「低いレイヤをエミュレートしたソフトウエア」は、他にもいくらでも作れるし、そのアイデアの実現はけっこうたくさんある他の通信デバイスでも応用がきくものだよね。

    この種の「管理不能なもの」はこれからハッキングの種としては、とても技術的に面白いものだし、きっといくらでも出てくるように思うが。
    • しかし、本当の問題は、「SoftEther」があって、それが使われると困る、ということではなくて、「作ろうと思えばこういうものができるよ」と、言うことが周知されちゃったことなんだろうと思う。
      この程度の穴なら、すでに大量に生産されていると思います。httptunnelとかね。そういう視点から見れば、大して新規性はないソフトだと思ってます。
      親コメント
    • by znc (2768) on 2003年12月25日 0時06分 (#461014)
      そうすると次のターニングポイントは仕様公開でしょうか…
      バイナリの再公開は無理でも仕様さえ出てしまえば誰かがやるでしょうからね…

      # つばさは一つじゃないのだよ…
      --
      『今日の屈辱に耐え明日の為に生きるのが男だ』
      宇宙戦艦 ヤマト 艦長 沖田十三氏談
      2006/06/23 JPN 1 - 4 BRA
      親コメント
    • セーフガードみたいにとりあえず規制をかけておいて、
      その間に管理者側の対応策を考えておくべ。

      ってことだと思いたいなぁ、なんて思う無知な私。

      --
      --
      「なんとかインチキできんのか?」
      親コメント
  • 自分 (スコア:2, 興味深い)

    by IKeJI (13535) on 2003年12月24日 21時35分 (#460907) ホームページ
    -1,フレームのもと
  • お願いです。 (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2003年12月24日 21時52分 (#460915)
    なぜ、FireWallやProxyを使って経路をまとめているか考えてください。
    なぜわざわざ壁の中と外をつなぐのですか?
    つなぐのは壁の中同士にしてください。
    • FireWallは、思った通りのフィルタが出来てなくて意図しないパケットが通過をしてたら、FireWallの意味をなして無いわけで…
      親コメント
  • by Anonymous Coward on 2003年12月24日 22時19分 (#460926)
    このソフトのinstallを行った場合に懲罰ありになりました。
    前トピがあがった段階で該当サイトへのアクセスも制限しておきましたが4件ほど見に行った人がいてくれぐれも入れない様指導入ってました。

    穴が開く事が困る場合は管理者が人事への査定権限持っていないと駄目かもしれませんね。
    • by Anonymous Coward on 2003年12月24日 22時39分 (#460937)
      >前トピがあがった段階で該当サイトへのアクセスも制限しておきましたが4件ほど見に行った人がいてくれぐれも入れない様指導入ってました。

       是非その理由を聞かせたく。
       問題が発生するから使うなってのは分かるが、ソフトの情報を入手させないのは何の意味があるのでしょうか。
       もしかして、貴社ではウィルス関連を知るための、それら情報サイトへもアクセス不可なのでしょうか。
       知ると使うは別問題だと思われるがいかがでしょう?

      #条件反射するAC
      親コメント
    • やっぱりそうなりましたか…まぁ,当然の結果ではありますが,
      サイトアクセスまで禁止というのはさすがにどうかと…

      せめてダウンロードページ/バイナリ程度でいいのではないかと…
      #で,無視して導入した時にはきっちり厳罰で臨むと…
      --
      『今日の屈辱に耐え明日の為に生きるのが男だ』
      宇宙戦艦 ヤマト 艦長 沖田十三氏談
      2006/06/23 JPN 1 - 4 BRA
      親コメント
  • PGP開発者 (スコア:2, 興味深い)

    by masao (4188) on 2003年12月25日 0時27分 (#461032)

    911事件直後に、自分が作成したソフトウェアがテロリストに使われたかもしれないとPGP開発者が後悔しているというデマ [impress.co.jp]が流れた一件を思いおこさせますね。

    ソフトウェア作者として重要なのは、どういう信念でソフトウェア開発に望んでいるのかというスタンスでしょうね。 とりわけ、セキュリティなど社会的な影響が大きい分野ではね。 私などは、テロリストであれ使ってくださいなという覚悟はなかなか持てませんけどね。

  • 危険? (スコア:1, 興味深い)

    by Anonymous Coward on 2003年12月24日 21時31分 (#460905)
    単に、作者のページで公開してるのに、IPA側に
    問い合わせが殺到したことが問題のように見える。

    ただ、別の視点として、例えばこういった便利なツールを
    配布するときは、それによるセキュリティの危険さも
    踏まえて、ツールに対するなんらかの対策も一緒に
    公開すべきでないかと思います。SoftEtherに限った話ではなく。
  • SoftEatherの問題点はネットワーク管理者が管理できないということだとあちこちで指摘されています。
    このツールの売りはそこだとは思うんだけど、税金つかって本来の管理者が管理できない抜け穴掘るツールはいかんだろということでしょう。
    これがネットワーク管理者が容易に不当なSoftEatherの使用を遮断できるようなものなら問題にはならなかったでしょう

    #これで未踏がやるなら金返せとかいいだすとヤだな
    • > SoftEatherの問題点はネットワーク管理者が管理できないということだとあちこちで指摘されています。

      それを管理できない管理者のほうが悪いって気がしてきた。

      まず仮想Hubへの接続形態が TCP 直接接続の場合は。packet の中身見りゃ思いっきり「SoftEther」って書いてある(笑)のでこれで「検知できない! 管理できない!」と何も調べず叫ぶ方が阿呆。

      HTTPS 経由の場合は、実は HTTPS セッションを豪快に張りっぱなしになるのでこの挙動で検知可能。(延々と張り続けるのよねこれ。) SOCKS についても同様。SSH 経由については検知方法はまだよくわかんないけど多分どうにでもなるのでは。

      つまりですな。

      何も調べずに「SoftEther は管理できない!」と叫ぶ奴はとりあえず自分で多少は調べなさいってこった。おれにはそうとしか言いようがありませんぜ。
      親コメント
  • by Anonymous Coward on 2003年12月24日 22時58分 (#460951)
    解説ページSoftEther のすべて [softether.com]の『制限の厳し
    い社内 LAN の例』を読んだら、パワーユーザーなら会社のポリ
    シーを無視して好き勝手に外部との接続を行うべきだと推奨し
    ている意図があるように見えた。
    自由な通信ってのは、わがままをやる事かとツッコミ入れたく
    なった。

    説明の悪さもクレーム受けてる原因じゃないのかな。
  • by Anonymous Coward on 2003年12月24日 23時08分 (#460964)
    http,smtp,pop,etc... は良いのだろうか?
    どれも過去に(現在もか?)セキュリティーホールの要因になっているよね。
    SoftEther は今までのやつとくらべて何が問題だろう。
    一番は新しい方法に対抗するノウハウが無いことかな。そう考えると「一時」であれば配付を止める事に意味が有るかも知れない。
    未知の物を恐れるのは正しい事だし。但し「一時」であれば。
    • by Anonymous Coward on 2003年12月25日 0時05分 (#461013)
      SoftEtherの問題点(管理する側から見て、ですよ)は、ネットワーク管理者が意思をもって「httpは通す、ftpはこっちむきだけ通す、telnetは通さない、smtpはここからだけ・・・」とか管理をしようとしているのに、それらを無効にして「httpが通るところからなら何でも通し」を実現してしまうところでしょう。
      企業の情報セキュリティという観点からすると、とんでもないツールであることには間違いないですよ。極端な話、リスクをよくわかってない奴が職場の重要情報(例えば、財務情報とか、技術情報とか、顧客情報とか・・・)が入ったPCのフォルダを、自宅でも作業するために自宅のPCとファイル共有することだって(理屈の上では)できちゃうのでしょう?そして、もしも設定ミスがあって、第3者がデータの抜き取りをしたらどうなります??
      親コメント
    • by Anonymous Coward on 2003年12月25日 0時09分 (#461021)
      HTTPやSMTPのセキュリティーホールなどとは大きな性質の違いがあります。

      現在の企業や学校などの組織のネットワークは、インターネットとは異なるセキュリティポリシー(たとえば、内部から外部へのWebアクセスは許可するが、逆はダメどか)を実現するために、ファイアウォールに依存しているのが現実で、SoftEtherは、組織内部の人間が容易に、下手をするとまったく危険性に気が付かずに、ファイアウォールの存在を無効にできてしまう点で危険といえます。

      逆に、HTTPやSMTPというか、それらの実装におけるセキュリティホールは、ソフトウェアのアップデートで対応できますし、そもそも組織内部に外部からアクセスできるサーバがなければ、セキュリティホールの影響が発生しないこともある点で、性格が異なるのです。

      内部性善説に立脚したファイアウォールでのセキュリティ対策にとっては、良心を持った内部の人間であっても、ファイアウォールを容易に無効化可能な、SoftEtherのような実装は極めて恐れるべき存在なのです。

      もちろん、SSH のポートフォワーディングの機能などなど、ファイアウォールの存在を無効化しうるソフトウェアや、その組み合わせは、いくらでもありますが、そうした多くは技術的な知識も必要な点で敷居も高く、内部の人間が、悪意を持って用いるか、リスクを承知のうえで内緒で使ったりするなどという点で異なります。それに、その多くは、ある程度、ファイアウォールなどで制御可能でした。組織によっては、HTTP Proxyや定められたメールサーバ以外での外部との通信を一切排して、そのようなセキュリティ侵害の可能性を“極力"排除するというオプションを選択することも可能なわけです。

      しかしながら、SoftEtherは、HTTPS Proxyなどを利用したトンネリングの機能を実装しており、また、作者のWebサイトでは、それによって、組織内部のセキュリティポリシーを無視して、その使用ができることをうたっている(というか、そのためにHTTP Proxy経由でのトンネルが可能になっている?)点も疑問が残ります。

      ファイアウォールに依存したセキュリティ対策自体からの脱却も検討されるべきトピックだと思いますが、現状で、SoftEtherの前には、外部との通信をHTTPを含め一切禁止する、といった方法か、クライアントPCへインストール可能なソフトウェアを集中管理するなどの方法でしか、組織のネットワークを守ることが難しくなるというのが現実的だと思うのですがいかがでしょうか?

      技術的に可能だったことと、それが容易になったことの間には、大きな違いがあるのですよ。現実社会では。

      変なたとえ話はしたくありませんが、それまで有効だった『錠前』に対して、錠自体のセキュリティが甘いから、『ピッキングツール』や『ピッキングのノウハウ』が流通したということに対して、技術的な発展だから、ピッキングツールの公開や行使は阻害されるべきではない。というのと状況は似ているかもしれません。もちろん、件のピッキングの増加で、本当にヤバかった錠前は製造されなくなったわけで、悪いことばかりではありませんが。

      # 社内でも、よくわからずにインストールしたヤツがいるはずだ、という冗談を語った直後なので、AC
      親コメント
      • 私は貴兄のコメントの肝は下記の部分と考えます。
        ファイアウォールに依存したセキュリティ対策自体からの脱却も検討されるべきトピックだと思いますが、現状で、SoftEtherの前には、外部との通信をHTTPを含め一切禁止する、といった方法か、クライアントPCへインストール可能なソフトウェアを集中管理するなどの方法でしか、組織のネットワークを守ることが難しくなるというのが現実的だと思うのですがいかがでしょうか?
        ここは全くその通りでして、弊社でも外部との通信禁止以外は既に実施を始めています。
        外部との通信禁止にしても、情報セキュリティアドミニストレータ試験では、
        「禁止しているにも関わらず情報が漏洩した。何故か?」が定番、
        つまり、禁止がデフォルトとして認知されつつあると考えます。

        現状の究極解はターミナルサービス+シンクライアントの組み合わせや、
        通信の禁止あるいは完全なログ保全と解析による、

        「完全なる管理」でしょう。

        で、それで良いのでしょうか?
        業務現場が必要としているものを「管理者」は提供できているのでしょうか?
        「業務支援者」であるはずの「管理者」が「管理のための管理者」になっていないでしょうか。

        必要な支援が得られなければ、現場は「管理者」を見限って暴走を始めますよ。
        SoftEtherなんて必要ありません。手段はいくらでもあります。

        ご懸念の件は十分に理解できます。
        しかし、貴兄が相対している問題はひとつのソフトを潰したところで解決するわけではないと考えます。
        親コメント
        • by Anonymous Coward on 2003年12月25日 4時16分 (#461150)
          完全な管理をしなくていいような、
          「そういうことは会社の人間としてしちゃダメだろ」っていう
          モラルが社内に浸透していればいいのだろうけど‥。

          技術者の飽くなき探求心は企業の競争力を高めるので、
          それが社会的な理に適っているかどうかを考えるのが
          営業の仕事かとも思う今日この頃‥。

          # 昔技術で今営業なのでAC
          親コメント
  • 夢が形になったから? (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2003年12月25日 1時17分 (#461070)
    このソフト、数々のプロトコルやネットワーク機能の 網の目を、もっともわかりやすく簡単にすり抜け&利用 できる形にしてしまったということが、影響大きいですよね。 ウイルスなどでもスクリプト厨が技能は無くても数と長時間 にわたる攻撃でシステム運営に影響を与えられるのと同じように、このSoftEtherといろいろ組み合わせると、厨房の悪意が強力な打撃を実際に与えられるようになると。
    実際、SoftEtherで実装されていることは、ちょっとネットワークに 詳しい人ならばすぐに理解&関心できることですよね。 でもそれをこんなに解りやすく形になっているのを今まで見たことがありません。
    で、それって、夢が形になったってことなのかなあと、思いました。 だとしたら、そういうものを助けてあげるのがIPAのこのプロジェクトの意義そのものですよね。
  • by tito (17124) on 2003年12月25日 6時45分 (#461172) 日記
    未踏が「スーパーハッカー計画」 [srad.jp]であったことを思い出そう。

    「未踏?ハッカーに金を出すんならウチに仕事だせよ」
    「ファイヤーウォール無効化ソフト? けしからん! だからハッカーに金だすなんてろくなことならないじゃないか」

    役所に文句を言った人はこんなことを考えていたりして。

  •   御役所の担当者にしてみれば、何度も議論されていたはずの
    セキュリティリスクとかが原因というより
    クリスマス前から年末年始にかけて 
     仕事増やしたく無いのでは?

    「年末のクソ忙しい時に、問合せが増えると御互い面倒だよね。
    ソフトは成人式過ぎくらいまで公開止めてくれない?」

    というのが本音かと 想像してみています。
     自分の仕事もできればそうしたいので ID
  • by Anonymous Coward on 2003年12月25日 10時11分 (#461253)
    ファイアウォールを越えてTCP/IP接続をしようと する TCP/IP Over HTTPは2001年当時に既に RFC3093 [ietf.org] として仕様がある のですが、なぜSoftEtherが公開停止になるのでしょうか?TCP/IP Over HTTPはインターネット技術者に 取ってはあたりまえのことで、既に共通認識になっています。 RFC3093は暗号化の記述はありませんが、今日、安全性のために暗号化するというのは当然でしょう。その部分ではSoftEtherの方が今日的にセキュリティに配慮していると言えると思います。 SoftEtherがイーサーのパケットレベルだから HTTP経由での通信はオーバーヘッドが酷く、 IPレベルのレイヤまで引きあげろというクレームなら、 ちょっとは納得しますが。
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...