国産の圧縮形式「LZH」のUNLHA32.DLLの開発中止へ、LZH形式使用中止を呼びかけ

昔はZIP圧縮できるソフトが軒並み有料であったため、無料で使える国産の圧縮形式「LZH」は事実上のファイル配布時のデファクトスタンダード状態だったわけですが、ついにセキュリティ上のもろもろの事情によって、UNLHA32.DLL・UNARJ32.DLL・LHMeltの開発が中止されることになりました。バグフィックスは継続されるものの、64ビット版や低レベルAPI追加版は出る予定はなくなるそうです。

また、「(特に団体・企業内で) LZH 書庫を使うのは止めましょう」ということで、LZH形式の使用中止も呼びかけられています。

一体何がどうなってこのようなことになったのかという詳細は以下から。

お知らせ 　
http://www2.nsknet.or.jp/~micco/notes/ann.htm(InternetArchive)

UNLHA32.DLLなどの開発者であるMicco氏の公式サイトに、下記のような「注意喚起」が掲載されています。

　細工されたヘッダーをもつ LZH 書庫については， 多くのウイルス対策ソフト・システムが検疫できません。 (確認できたもので， 2010 年 4 月現在の最新版について 3/16 のみが検疫可能。) 　それに対して， 少なからぬアーカイバーは， 仕様上は正しいことから そのような書庫を普通に扱えます。

　そのため， ゲートウェイ形式での検疫による対策方法を採っている場合など， クライアントに対策ソフトがインストールされていない環境では， 殆ど何の苦労もなく侵入・感染が可能となります。 クライアントにインストールされている場合でも， 展開された時点で検疫が可能なものの， プリビュー等ファイルの作成されない場合については検疫が行われません。

　残念ながら， このような状況に対して各対策ソフトベンダーの対応は進んでいませんし， 脆弱性情報として状況が公開されることは (ZIP や CAB， 7z といった書庫については行われているにも拘わらず) 過去も今後も見込めません。

　このようなことから， 特に企業・団体においての LZH 書庫利用は お勧めしません。 中でも， 上記のようなゲートウェイ形式のみで検疫を行っている場合は， LZH 書庫自体を拒否するようにして下さい。

要するにどういうことかというと、LZH圧縮を使用する場合に悪意のある細工を施すことが可能で、ZIP形式やCAB形式などではアンチウイルスソフト側で対策が行われているものの、LZH形式ではなぜか各アンチウイルスソフト会社やこういったセキュリティ関連の団体が対策を行わない状況が続いており、このままだと危険であるため、企業などのセキュリティに気をつけているところではLZH形式の使用自体を中止した方がよい、ということです。

開発中止などについて触れているのは作者公式サイトの以下のページです。

『LHA の脆弱性』その後 (5) と UNLHA32.DLL 等， 開発中止...
http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100602(InternetArchive)

　『LZH 書庫のヘッダー処理における脆弱性について (2010 年版)』 (MHVI#20100425) について， 4 月下旬に JVN へ報告したのですが， 今日になってようやく返事が来ました。 結果は「不受理。」 　「殆ど同じネタでも， ZIP や 7z 書庫では脆弱性情報となり， LZH や ARJ 書庫では脆弱性に当たらない」としか解釈できない結果でした。 状況は 3 年半前と変わっていないようです。

　これで， 「ベンダー， JVN / IPA 等共に『LZH 書庫なんて知らねぇ～よ』という態度から変わることはない」と判断できましたので， UNLHA32.DLL， UNARJ32.DLL， LHMelt の開発を中止することに決めました。 脆弱性が存在しても放っておかれるような書庫が いつまでも業務目的で利用されるのは嫌ですので。

　なので， 現行のバグフィクスくらいはしますが， 64 ビット版や低レベル API 追加版は出ません。 さらに やる気を失ってバグフィクスも面倒になったら告知することになるでしょう。 今は まだ完全停止に至っていませんので。

　おそらく， 海の向こうでネタに上るか大きな事件でも発生しない限り対応されることはないでしょうから， (特に団体・企業内で) LZH 書庫を使うのは止めましょう。 まぁ， ZIP 書庫ですら 3 年以上経ってから海外でネタに上ったくらいなので， LZH 書庫も あと 10 年ほどしたら海外でネタに上るかもしれません。

Jun.4,2010 追記

　「『LZH 書庫なんて知らねぇ～よ』という態度」と解釈したのは， ベンダーについては「説明等を行ったあとは 3 年以上梨の礫で対応も行われていない」， JVN / IPA については「『ZIP， CAB， 7z 書庫など， 脆弱性情報として公開されている同様のケース (対策ソフト等で検疫が行われない不具合：JVNVU#545953。) と何が異なるのか？』といった質問に対して未回答だった」， といった経緯からです。 不受理とした理由が 3 年半前と同じ (「それは脆弱性ではなく， ソフトの機能・性能の問題」という理由。) であるのなら， 書庫が異なるだけの違いでしかない JVNVU#545953 を公開するのは論理的に破綻しています。 一方， 異なる理由が ちゃんとあるのであれば それを説明できるはずですし， 出来ないのであれば それはもはや「LZH 書庫だから」といった理由しか残らないことになります。

　よもや， 「CVE で採用された事案 (CVE-2010-0098) は公開するが， 国内からの情報提供は受理しない」といった寒いケースではないことでしょう…「ないと思いたい」です。 もしそうなら存在価値ゼロですから。

　何かアホらしくなってしまいましたので， 現在調査中だった 2・3 のソフトの脆弱性 (攻撃可能なもの。) については調査の継続 (と言いますか実証データーの作成。) も報告するのも止めました。 自衛だけしておいて， あとは何時か何処かで誰かがネタに上げてくれることを期待することにします。

文中で頻繁に出てくる「JVN」とは何かというと、「日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト」のことで、同じく文中で頻繁に出てくる情報処理推進機構、略して「IPA」などが運営しているもの。

確かにLZH形式はZIP形式のようにWindowsXP以降で標準サポートされたりはしておらず（圧縮フォルダでZIP形式だけでなくLZH形式も扱える追加機能は2005年4月から一応提供はされている。また、Windows7は追加インストールなしでLZH解凍のみ可能）、XP以降のWindowsしか知らない人にとっては「LZH？なにそれ？どうしてZIPじゃないの？」というような感じなのかもしれませんが、日本のソフトウェア配布サイトとして有名な「窓の杜」や「Vector」では、今もLZH形式で圧縮されたファイルが多数配布されており、確かに日本のローカル圧縮形式かもしれませんが、無視して良いレベルの普及率ではありません。

それどころか圧縮解凍ソフトとして有名なソフトはそのソフト名からして「LZH形式」を前提にしているものが多数あり、窓の杜収録ソフトではLZH形式の圧縮とアーカイブを行う「LHA」の名前を冠したものが今も多くあります。「Lhasa」、「Explzh」、「Lhaplus」、「LhaForge」、「+Lhaca」がその一例です。

懐古主義的になりますが、昔はLZH形式の方がZIP形式よりも圧縮率が優れていることが多く、「大容量2GBHDD！」とかいう時代には少しでも空き容量を稼ぐため、そしてダイヤルアップのテレホーダイが全盛期だった頃には毎秒数キロバイトという速度だったのでやはりファイルサイズを少しでも減らして通信を一刻も早く終わらせるため、「LZH形式」が重宝された時代があったわけです。それがこのような形で開発中止、使用中止のおしらせ、というようにしてひとつの時代の終焉というか、絶滅を目撃することになるというのは、なんとも言えない気持ちです。