楽園のソースコード

ソフトウェアを使うときの自由度とお手軽さは、そのソフトウェアの何を知っているかに依存します。

  • バイナリだけを持っている
    使うことは簡単です。
    でも、動作の変更などはできません。
    単にあるものを使うだけです。
  • 全部のソースコードを持っている
    そのままでは使えません。
    でも必要なソースコードはありますから、コンパイルすれば使えます。
    ソースコード全体がありますから、動作内容の変更もやればできます。
  • 一部のソースコードを持っている
    そのままでは使えません。
    コンパイルするには全体として動作するようにするために、右側している部分のコードを書かなければなりません。
    必要なソースコードをそろえられれば、コンパイルすれば使えます。
    ソースコード全体がありますから、動作内容の変更もやればできます。
  • アイデアだけを持っている
    すごいことができそうな脆弱性の情報を持っています。
    そのアイデアを実現できるようにコードを書けば使えます。

「アイデアだけを持っている」は最も自由度が高いです。
やれば何でもできます。
でも、全部を自分で考えなければなりません。自由度は高いですが、この作戦は大変です。

「バイナリだけを持っている」は最もお手軽さが高いです。
自分では何も考えなくても、そのまま使えます。
でも、やりたい内容を変えることはできません。細かな動作の仕様を知ることもできません。

どちらもうまくなさそうです。
この2つの要素の中間あたりがよさそうです。
こんな風に考えると、ソフトウェアを使うときに自由度とお手軽さのバランスが一番いいのは、「全部のソースコードを持っている」なのかもしれません。

ソースコードの全部を持っていれば、スクリプトキディ的にそのまま使うこともできるでしょうし、気に入らないところがあれば自分で変更してもっと使いやすくして使うこともできます。
オープンソースソフトウェアですね。
その便利さは現在のオープンソースソフトウェアの広がりを見れば明らかでしょう。

2017年以降に猛威を振るっているランサムウェアの1つに、Paradise Ransomwareというものがあります。
ランサムウェアとしては老舗のひとつです。
このParadise Ransomwareのソースコードが公開されていることが確認されました。

これを入手すれば、そのまま使うこともできますし、悪事の内容を自分好みに改変して使用することもできます。

脆弱性情報の開示という事象については、その脆弱性を悪意ある人が悪用できるようになってしまうという面と、その脆弱性の存在を知って正しく対処することができるようになるという面の二つの面があると思います。
正しくこの情報と付き合うことができる場合、この情報は有用だと思います。
しかし、悪意あるソフトウェアのソースコードの公開はどうでしょう。
残念ながら、新しい悪意あるソフトウェアが生まれやすくなるという一つの面しかないのかもしれません。

どうやら、私たちにできることは、いつもと変わらないようです。
出所をきちんと確認してからファイルを利用する、タイムリーにパッチを適用する、という基本を継続していきましょう。

参考記事(外部リンク):Paradise Ransomware source code released on a hacking
forum

www.bleepingcomputer.com/news/security/paradise-ransomware-source-code-released-on-a-hacking-forum/