« 「眞鍋かをりのここだけの話」書籍化 | トップページ | ロール・プレイング・ゲームはカードゲーム? »

VocalCancel事件

セキュリティホール memoで、古田泰大氏作のシェアウェア「Vocal Cancel」にスパイウェアが混入しており、不正なシリアルパスワードを入力すると、メール関係のファイルを外部に送信するなどの動作をするようです。詳しくはまとめページに。

「不正ではない正規のシリアルパスワードでも同様の動作をする」(未確認・作者は否定)とか、「ロジックの不具合で起動のたびにスパイウェアの作成・登録・軌道起動が行われてWindowsの動作が不安定になる」という話もあります。また、古田氏がSoftEtherの暗号化・複合復号化部分などの開発を請け負っていたということから、「SoftEtherにも同様のスパイウェアコードが含まれているのではないか」との疑惑がもたれていました。(SoftEtherからの公式に、SoftEther 2.0にはスパイウェアコードは含まれていないとの声明が出ています)

まとめページにもありますが、発覚したのは2004年8月と、結構前なんですね。トレンドマイクロが悪質ソフト認定をし、TROJ_HIROFU.Aとして対応したのが2005年2月7日。VectorのVocal Cancelのページが削除されるまでにいたったのは、6月24日に2ちゃんねるソフトウェア板でこの問題に関するスレッドができ、6月30日に2ちゃんねるニュース速報板にも同様のスレッドが立てられたのがきっかけでこの件を知る人が増えたからのようです。

「シェアウェアの不正パスワードで悪質ソフト化」というと、1998年に起きた「WinGroove事件」を思い出します。ソフトウェア・シンセサイザー「WinGroove」の一部バージョンに、「不正に流通しているユーザーIDとパスワードを使ってユーザー登録を行うとハードディスクの内容を一部消去してしまう」という問題が発覚し、窓の杜では公開中止になりました。最終的に「実験で作ったディスク消去プログラムが混入した事故」ということになったようです。

シェアウェア作者にとって、不正シリアルパスワードとの戦いは死活問題で、Vocal Cancelの場合、不正ユーザーを特定して利用料を支払ってもらいたいという意図があったのだろうと思います。それにしても、アドレス帳を送信させるというのはやりすぎ。

登大遊氏の日記にあるように、一般論として、ソフトウェアの開発元が、「このソフトは安全です。裏口 (backdoor) も脆弱性もありませんよ!」っていくら主張しても、実際に一般ユーザーがそのソースコードを見ることは不可能なのだから、結局は本当に安全なのかどうかわからないのだろうか。ということですよね。

それにしても、WinGrooveもVocal Cancelも音楽関係のソフトというのは偶然に思えません。 

|

« 「眞鍋かをりのここだけの話」書籍化 | トップページ | ロール・プレイング・ゲームはカードゲーム? »

コメント

Typo だと思いますが 複合 → 復号 です。

投稿: Spiegel | 2005.07.03 20:00

ご指摘ありがとうございます。修正しました。

投稿: Stella | 2005.07.03 21:15

軌道→起動
SoftEather→SoftEther

投稿: yomoyomo | 2005.07.03 22:23

yomoyomoさんもありがとうございます。修正しました。
しゃれにならん誤字の数々(がっくり)

投稿: Stella | 2005.07.03 22:33

シリアルに01234567、パスワードに01234567と適当な数字を入力して登録操作を行いましたが。
一部で取りざたされているようなトロイは確認できませんでした。

まとめサイト管理人の方がどのようにして検証したのか、そこが気になる点です。

投稿: Luca | 2005.07.06 21:35

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/517/4810605

この記事へのトラックバック一覧です: VocalCancel事件:

» 050703メモ [gekka blog]
[☆] VocalCancel事件 セキュリティホール memo Vocal Cancelがウイルスな件について。 不正なID/PWを入れるとメール関係のファイルを外部(作者?)に送信するよ事件(TRENDMICROはウィルスとして検出)。 作者の気持ちはよく分かるが、やり方が拙いよな。(というか、拙い上に違法) 萌えよ!戦車学校 萌えよ!戦車学校―戦車のすべてを萌え燃えレクチャー (画像) なにその絶対領域w もちろん1クリックで買った。amazonに在庫あってよかった(笑)。※版元直販は品切れ ... [続きを読む]

受信: 2005.07.03 16:59

» Vocal Cancel問題とロジックボム [Lucablog]
Vocal Cancelなるソフトの話題が最近盛り上がっているらしい。 スラッシュドット ジャパン トロイの木馬入りのシェアウェアVocal Cancelに注意 この問題をまとめたサイトを発見したので、紹介する。 Vocal Cancelがウイルスな件について。 要するに、不正なシリアルとパスワードを使い登録した場合、トロイを導入させ警告を促すらしい。 TROJ_HIROFU.Aによれば、2005年2月には感染者が発生していたようだ。 古田泰大氏はSoftEtherの開発に関わっており、こ... [続きを読む]

受信: 2005.07.06 21:48

« 「眞鍋かをりのここだけの話」書籍化 | トップページ | ロール・プレイング・ゲームはカードゲーム? »