最近、SoftEther の出現が波紋を呼んでいる。SoftEther の使用が発覚した場合、懲戒処分を行うという企業も出てきている。

SoftEther の出現は今まで一部の技術者のものであったVPN技術を誰にもが簡単にできるようにしてしまった。その結果、管理者の目の届かないところで、勝手にリモートアクセスができるようになってしまった。一番焦ったのは、ファイアウォールやプロキシサーバが設定してあることで、安心していた人達だ。SoftEther は世の中のネットワーク管理者に気付きを与えた。中には今まで気付いていたが目を背けていただけの人もいたことだろう。

このソフトに関しては、もちろん賛否両論あるだろう。その人の立場によって、このツールに対する考え方は変わるからだ。これは便利なソフトだと言う人もいるし、危険なソフトだと言う人もいる。IPAによる開発支援が気に入らないという人もいる。そして使い方によっては、セキュリティ上の脅威にもなりうるし、ネットワークをよりセキュアにするために使うこともできる。

しかも、同類のソフトは以前からある。

●SoftEther.com - 従来の VPN プロトコルとの比較
http://www.softether.com/jp/overview/vpn.aspx

OpenVPN や TinyVPN あたりは同類といってもよいし、トンネリングソフトを広義のVPNソフトと解釈すれば、SSH の Port Fowarding や Zebedee も同類と言える。

管理者向けにいくつか対策を考えてみた。

• 公開HUBに接続する通信を遮断する。
  • 公開HUBが乱立したら無力になる。

• ユーザに Administrator 権限を与えない
  • 仮想EtherCard ドライバをインストールさせないため
  • Power User でインストールできるアプリケーションはよいが、その他のアプリケーションのインストールが管理者の仕事になることは望まれないだろう。

• プロキシサーバで遮断する。
  • DeleGate(8.8.7 + patch)のトンネリング通信遮断機能を利用する。
  • http://slashdot.jp/comments.pl?sid=148638&cid=471649

• SoftEtherがインストールされているマシンをチェックする
  • サービスを登録しているレジストリを検出する
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SoftEther
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SoftLAN
  • など

• サーバに接続した時に「SoftEther Protocol」を出す仕様なので、IDSで通信を検知する。

One Point Wall という製品もある。
http://www.netagent.co.jp/onepoint/

対策だけでは所詮いたちごっこなので、ポリシーや罰則、教育や啓蒙活動によりモラルの向上も併せて実施していかなければならないだろう。