パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ドイツ連邦情報セキュリティ局、カスペルスキー製品使用のリスクを注意喚起」記事へのコメント

  • by Anonymous Coward on 2022年03月17日 20時06分 (#4217563)

    カスペルスキーはウイルス検出率・カスタマイズ項目の多さが他社を飛びぬけていてパワーユーザーに支持されている優れたセキュリティソフトウェアです。
    完全なオープンソースではないものの、NDAを結んだ大手企業・監査機関・政府には安全性の検証などのためにソースコードを開示するなど、他社の有償セキュリティソフトウェアよりも高い透明性を確保しています(同業他社はソースを一切開示しないのが一般的です)。

    それでも、ロシア製だから使いたくないという人は、アーカイバーはどうしているんでしょうね?
    シェアNo.1の 7-Zip は イーゴリ・パヴロフ (Игорь Павлов) 氏が作者のロシア製です。

    オープンソースだから良いって?
    Windows ユーザーだったら .exe ファイルそのままダウンロードしてませんか?
    そのバイナリ、開示されているソースコードをそのままコンパイルしたものだという証拠はありますか?
    ソースコードを自分でコンパイルするとしても、きちんとコードレビューしていますか?

    7-Zip じゃなくて WinRAR 使っているよっていう人もいるかもしれません。
    その WinRAR も、ユージン・ローシャルと兄弟のアレクサンダー・ローシャルというともにロシア人が作者の、ロシア製といえるソフトウェアです。

    これらのソフトウェアは、基本的に(7-Zipで自分でソースをコンパイルするなどの例外を除き)、Windows版ではロシア人が作成したexe(バイナリ)を、シェル統合などのために管理者権限でのインストールするものです。
    もし、ロシア製ソフトウェアを使いたくないというポリシーならば、7-Zip や WinRAR を使うのもやめましょう。

    # 私はカスペルスキーもWinRARも使っています。

    • by Anonymous Coward

      なるほど。で、その7-zipやWinRARは常時アップデートを掛けないとまともに機能しないタイプのソフトなのかね?違うなら同じ土俵で語るものではないので帰ってくれないかね、イワンくん。

      • by Anonymous Coward

        例えば攻撃が可能な脆弱性が見つかった時、修正が保証されるわけではないし、その情報が出てくるかも怪しくなる。
        NSAが広く使われているツールの脆弱性を知ってて隠蔽し、自らが攻撃するのに使用していたように、ロシアもやるかもしれない。

        これまでは、表向きは国家権力の支援によるサイバー攻撃は行われていないという、いわばサイバー冷戦状態だったのだけど、ロシアは明確にサイバー攻撃においてはNATO各国や非友好国相手に宣戦布告してる「サイバー世界大戦」に突入してる。

        これまでとは状況が変わってるので注意する必要はあるよ。

        しかし、ウクライナがロシアをサイバー攻撃するのにもBotnetが使われたりするので、そっちでも被害を受けるかもしれない。
        ロシアだけでなく、ウクライナを支援する陣営による攻撃にも警戒しないと。

    • by Anonymous Coward

      もし、ロシア製ソフトウェアを使いたくないというポリシーならば、7-Zip や WinRAR を使うのもやめましょう。

      何を今更当たり前の事を言ってるんだ?
      アーカイバなんてOS組み込みのZipで必要十分だし、それ以外のアーカイバを要求するようなファイルは皆(潜在的)マルウェアだ。

      • > アーカイバなんてOS組み込みのZipで必要十分だし
        Windowsの組み込みのアーカイバがZipcryptoという脆弱な暗号化にしか対応していないのが諸悪の根源なんだよ。
        自己解凍exeは論外なので、AES-256に対応している7-ZipやWinRARを使用するのが最適解。
        無論、暗号鍵はPPAPではなくてFAXなどの別経路で送るべき。

        • by Anonymous Coward

          FAXは暗号化されてないと思うんだが……

          • by Anonymous Coward

            PPAPの問題は、同じ経路なので経路が監視されている(あるいは送信先を間違える)と暗号化ファイルとパスワードの両方が漏れてアウトってこと
            別経路であれば片方が漏れても復元できないから安全
            ただし短いパスワードのZipcryptoは現実的な時間で解読可能だから、暗号強度を高めた方がいいって話

        • by Anonymous Coward

          アーカイバの暗号化を利用するのは時代遅れだしセキュリティホールにもなる。
          可能な限りアーカイブ対象ファイルを提供するソフトウェアの暗号化機能を利用すべき。

        • by Anonymous Coward

          いや、「アーカイバ」なんだから暗号化機能を求めるなよ。
          複数ファイルをまとめるのが本業、圧縮は併用することが多いのでついでにできるとより便利だけど、
          暗号化が必要な用途は限られるし、メール送信するなら添付ファイルだけじゃなくてメール自体を暗号化しろってだけかと。
          # 会議資料を暗号化して送ってくるときに、メール本文に会議内容についてのコメント書いちゃうバカがいるのよ...

      • by Anonymous Coward

        あなたの国では問題が無いのかもしれないが
        私の国では、Windowsで国特有の文字コード体系の利用が横行していて

        ユニコードを基本としたMacやLinux系OS、ひいてはiOSやAndroidとの間で
        アーカイブを展開したら文字化けでファイル名がわからなくなるという不具合が起きている。

        この問題を回避する有力な選択肢が7z形式だったが…

        誰か、1999年くらいまでタイムリープして、Microsoftに入り
        Windows XPでのユニコード全面移行を実施してくれないか?

        #MSKKは何をしていたのだろう?

    • by Anonymous Coward

      モロゾフのプリンは好きです

    • by Anonymous Coward

      「ロシア人」と「ロシア企業」は全然違うけど
      ロシア人ならもれなく怪しいとでも言いたいの?

      人種差別も甚だしいな

    • by Anonymous Coward

      ロシア製の批判的話題が上がると、毎回無理筋擁護するやつが駆けつけてきてる気がするな
      文体も似てるし同一人物?
      確かにいちゃもんに近いものもたびたびあるが、それにしてもいつも反論するポイントがズレているのが特徴

    • by Anonymous Coward

      ロシアリスク以前に、メモリをこねくり回すコーデック物にはより危険な脆弱性がありえます。
      信頼できないのは当たり前、本番環境で管理者権限でインストールなどもってのほか。
      おまけに、WinRARなんか使ってたら、ライセンス警察が来ますので、UnRARですね。ちゃんとソース出てます。

    • by Anonymous Coward

      7zとアドガードを外しました。大丈夫だとは思いますが念のため。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...