2009年02月20日

あらためて、ソフトウェアの認証って何だ?

http://www.itmedia.co.jp/enterprise/articles/0902/20/news028.html
(正規の証明書で増殖:正規アプリになった携帯ウイルス出現)


WindowsVistaからウイルス、マルウェア対策として実行ファイルをクリックすると実行するかいちいち質問するようになり、そのときのダイアログに認証機関からお墨付きをもらったメーカー名が表示される。
 これにより、ソフトウェアビジネスの敷居が高くなり、個人の開発者のソフトは怪しげなものとなり、特に認証が絶対条件のデバイスドライバを開発する個人は閉め出された格好だ。当然Windowsの活気も失う原因の一つとなっている。筆者は以前から、ウイルス開発側と認証機関やセキュリティソフトが裏でつながっているんじゃないのかと疑っている。またベリサインは今では有名だが、聞いたことのない外国の認証機関にカネ払って自分のソフトが正当と審査するのに違和感を覚える。
それにまず、認証機関の信頼性はどうなのか?これはまるで金融商品に対する格付け機関のようだ。100%信用にたり得るなんて到底思えない。

じゃあどうすればよいか?
MicrosoftやAppleなどが無料の認証機関を設けることだ。WEB上に実行ファイルやデバイスドライバアップロードさせて、そのソフトウェアを自動チェックして、それでOKなら証明書付きの実行モジュールをダウンロードできるようにする。その証明書付きの実行モジュールは、改変したら実行できないようにしてしまう。当然その認証コードが無い実行モジュールはOS内で絶対に実行できない。それくらいやってもらいたいものだ。
例外として認証なしで実行できるのは、開発環境をインストールしたPC内でビルドした実行ファイルのみにするようにすればよい。

このままだとPCや携帯電話ユーザも、病気が長引けば儲かると考えている製薬メーカーのような連中に支配されかねない。
posted by danpei at 10:58| software