Vectorに登録されていた、Voice Cancelというシェアウェアがトロイの木馬だった。
意図的に、そんなものを入れるのは、言語道断として、問題は、その作者にSoft Etherの一部のコーディングを外注していたという点。
SoftEtherでは、その事実発覚後、外注されたコードをすべて精査して、問題がない可能性が高いとアナウンスをしている。
SoftEther VPN 2.0 プログラムからの信頼できないコードの除去について
結局、SoftEtherは、今後社外コードは一切避ける方針を出した。
さて、今回の件で気になったのは、他のソフトウェアは大丈夫なのか?昨今のアプリケーション規模からいえば、一人ですべてのコードを記述することはできなくなっている。ということは、複数人数で一つのアプリケーションを作成するわけで、人数が増えれば増えるほど、こういった問題が起きる可能性は高くなる。SourceForgeなどで展開されているような、プロジェクトの場合は、どうか?今回の事件以上に、意図しないコードが挿入される可能性が高いのは間違いない。確かに、そのうちの多くはソースコードは公開されているはずだ。でも、他人が書いたコードまでしっかり精査されている例は多くないはず。大抵は、機能として実装されていればソースコードまで手は回らない。
特定企業内での複数人数でのアプリケーション構築であれば、身元がはっきりしているわけで、身元がはっきりしている状況での、今回のような事はなかなかおきにくいはず。
フリーで落ちているソフトウェアを使う上での怖さはしっかり理解しておくべき。