SoftEther トップ > ニュース リリース

2004年1月10日(土)

SoftEther を危険視する記事やご意見に関するコメント
SoftEther 発表から現在までに執筆された、SoftEther を危険視する記事や寄せられたご意見などに関するコメントを発表いたします。

　登 大遊 (Daiyuu Nobori, 筑波大学第三学群情報学類所属) は、現在までに寄せられた SoftEther に対して批判的な記事やご意見などに対するコメントを発表させていただきます。

　SoftEther 公開日以降、SoftEther そのものを「危険なソフトウェアである」かのように表現した記事や投稿がいくつかあります。これらが SoftEther に関する誤った認識を生じさせる原因となることを避けるため、開発者としての見解を発表させていただくことが必要と考え、以下のコメントを掲載いたします。

「SoftEther は危険なソフトウェアである」

SoftEther に関する Web 上の記事において、「SoftEther は危険なソフトウェアである」と報じているものがあります。

そもそも SoftEther は安全かつ柔軟にネットワーク間またはコンピュータ間を VPN 接続することができるソフトウェアであり、正しくご使用いただくことによって、これまで VPN 接続が困難であったネットワーク環境でも、容易に仮想ネットワークを構築することができます。

しかしながら、SoftEther の使い方を誤ると、そのコンピュータが所属しているネットワーク全体が危険な状態になる場合があります。これについては、SoftEther のみならず他の大半のネットワーク ソフトウェアや VPN 製品なども全く同様であります。すなわち、どのようなソフトウェアでも使用方法を誤れば何らかの損害が発生する可能性があり、その点のみを誇張することはソフトウェアの健全な普及を阻害する要因となるので避けていただくべきであると考えます。

「SoftEther は社内 LAN の管理を難しくするので公開すべきではない」

ネットワーク管理者、特に社内 LAN などの管理を担当されている初心者・中級者程度※1 の管理者の方々からは、「SoftEther はファイアウォールなどを抜けることができるソフトウェアであるので、このような危険なものを誰でもダウンロードできるようにするべきではない」旨の意見を多くいただいております。これについて、私は以下のように考えます。

SoftEther の特徴として、大半のファイアウォールや Proxy サーバーなどを経由 (通過) し、外部の仮想 HUB に接続することが容易に可能であるということが挙げられます。この特徴により、既存のファイアウォールの設定を変更する危険を冒さずに、LAN 内とインターネット上の別のネットワークやコンピュータとの間で確実に VPN を構成することができます。

この特徴について、「社員が社内から勝手に外部にトンネルを掘ることができるので、ネットワーク管理側としては従来のファイアウォールに頼った管理が困難になってしまう」という理由で、「このようなことができる SoftEther をフリーウェアとして公開するべきではない」ことを主張され、SoftEther が無料でダウンロードできる状態を強く批判される方がいらっしゃいます。つまり「社員には無許可での通信を禁止しているのに、SoftEther それを可能にしてしまう、悪いソフトである」という批判です。

このような意見は筋違いであり、極めて自己本位 (自分勝手) な主張ではないでしょうか。

社内 LAN をファイアウォールで守り、社員の外部との通信に制限を設けている、というのは、その組織の都合上そのようなポリシーが制定されているに過ぎません。

SoftEther のユーザーは、あなたの管理されている LAN を使っている社員だけではありません。非常に多くの方々にご利用いただいているソフトウェアです。会社でも、管理者の許可を受けた上で拠点間 VPN 接続に使用されている方もいらっしゃいますし、そもそも個人で活用されている方も多数いらっしゃいます。そして、これらの方々は SoftEther が無料で公開されていることによってはじめて SoftEther を活用して利益を得ることができたのです。

多くの方々にご活用いただけたので、SoftEther をフリーウェアとして無償で配布したことは結果的に大変良かったと感じています。それを、「うちの会社で誤用/悪用されると困る。だから SoftEther の公開は中止してくれ。」というような自己本位な発想で無償公開の中止を求めるというのは、いかがなものでしょうか。

SoftEther のようなソフトウェアを求めている方は多くいらっしゃいます。「社内 LAN の管理が難しくなる」といった理由で SoftEther を批判することは、あなたの会社内での都合を、無関係なユーザーに対して押し付けていることと同じです。

また、「SoftEther は社内ポリシーを無効化するソフトである」といった批判も筋違いです。その社内ポリシーとは、あなたの会社内でのみ通用しているポリシーです。他の SoftEther ユーザーには全く関係ありません。そのため、このような理由で SoftEther の開発・公開を中止するべきであると主張されるのは間違っています。

「ポート 443 (HTTPS) に偽装パケットを流すのはおかしい」

SoftEther は、TCP ポート 443 (HTTPS) を使用して、LAN の外部にある仮想 HUB と通信可能です。しかし、実際に流しているプロトコルは SSL ハンドシェイク プロトコルや SSL 暗号化通信ではなく、SoftEther Protocol です。つまり、現在のバージョンでは SoftEther 用の独自の暗号化プロトコルを 443 に流していることになります。

このことについて、ネットワークに詳しい方から「HTTPS 用のポート 443 を別の目的で偽装して通信することはマナー違反であり、やめるべきである」というご意見をいただいています。

このようなご意見は当然のことであります。ファイアウォールを通過するために、通常制限のかかっていないポート 443 を通過させる目的で SSL ではない通信を流すことはあまり好ましく無いことであるというのは、私も認識しています。

そこで、次のバージョンの SoftEther では、すべての SoftEther プロトコルの通信を SSL で暗号化することにしました。また、セッションの開始は "SoftEther Protocol" ではなく、HTTP の GET または POST で開始することになります。

すなわち、従来はポート 443 に "SoftEther Protocol" で始まる専用プロトコルを流しており、結果として HTTPS 用のポートを HTTPS でないパケットが流れるという、ネットワーク上のマナー違反が起きてしまっていましたが、次期バージョンでは通信内容が本物の HTTPS 通信になります。

「ポート 443 で HTTPS を偽装」している現状が改善され、「ポート 443 で本物の HTTPS を使用する」ことになります。

「SoftEther をブロックするファイアウォール製品が出る」

SoftEther の通信を遮断することができるファイアウォール製品が発売されるということを聞いております。

これは大変歓迎すべきことであり、SoftEther の通信を全面的に禁止したいと考えておられるネットワーク管理者の方々にはぜひご活用いただければ良いのではないかと思います。

ただ、次期バージョンの SoftEther では (上記のように) HTTPS (SSL) に対応する予定ですので、このようなファイアウォール製品を開発されている方には、ぜひ新しい SoftEther over SSL プロトコルにも対応していただければ助かります。

私自身でも今後 SoftEther の通信を遮断するソフトウェアを開発していきたいと考えています (SoftEther と同様にフリーウェアとして配布したいと思います) が、SoftEther の通信が HTTPS 対応になった場合、技術的にどうすれば SoftEther の通信を検出してブロックすることができるのかということに大変興味があります。

※1 個人的な見解であり、批判している訳ではありません。