LZH脆弱性で開発中止、作者より利用しないよう注意呼びかけ

2010年6月 8日

JVNがLZHをあまりにもなめているので情報拡散に協力。

BTOパソコンとは関係有りませんが、ウィルス感染により故障したとクレームもどきを付けられるユーザも居られる為、無理矢理ですが修理関係とします。

LZHと言えば、ファイル圧縮(アーカイバ)としては日本では古くから有名かつ利用率は高く、MS-DOSとかCONFIG.SYSとかAUTOEXEC.BATに反応してしまう人は長年愛用していたかと思います。

今ではZIPアーカイブが多いように思えますが、それでもLZH形式のファイルはフリーソフトの配布などで多く採用されており、ダウンロード経験者ならLZHと聞いて解凍方法を知らない人は居ない程かと想像しますが、開発を中止したそうな。

「LZH」の開発中止--企業などは使用しないよう作者が注意喚起 - CNET Japan
http://japan.cnet.com/news/business/story/0,3800104746,20414735,00.htm

引用したい所ですが要約すると

  • UNLHA32.DLLなどを作者が開発中止を発表
  • ヘッダ情報を書き換えられる脆弱性有り(ZIPなども同様)
  • ZIPなどの脆弱性対策はJVNが情報を発信するがLZHは不受理
  • バグフィックスは継続するが、64bitなどの開発は行わない
  • セキュリティ上の問題からLZH形式を利用しないよう呼びかけ

JVNとは何だと調べると、ここに脆弱性に関する報告が入り受理された後にセキュリティソフトを作っている各社に情報が提供され対策がされるとの事。

Japan Vulnerability Notes
http://jvn.jp/

なぜ受理しないのか不明ですが、スルーされてしまうなら危ないから使わないでくれとは作者殿のご英断。フリーソフトなどの作者にはいつも感心しますが、フリーなのだから放っておけばよろしい。しかし、FFFTPのパスワード抜き取り対策にしても、責任感の有る良い人が多く感心してます。

私はプログラマでは無いため詳しくは有りませんが、ヘッダーの情報を書き換えられるという事は、そのファイルが何か、どのような内容でいつ発行されたのか、などの情報を偽装出来る事になるでしょう。

--この辺り、詳しい方が居られたらコメントで補足下さい--

ヘッダーとは分かりやすく言えば、メールで言うところの宛先や件名、誰宛かなどの情報を記した頭の部分。このブログで言うと、タイトルや執筆者などが書かれている<head>~</head>部分です。ファイルに対して嘘の情報を入れられる為、ウィルス対策ソフトなどで対策されなければ危険は当然。

自分が開発し10年以上も役に立ったプログラムを捨てるという、何とも悲しい事です。調べてみると、私が過去に使っていたLZH圧縮解凍に対応したフリーソフトはことごとくフェードアウトされていました。

駄目だとは言いませんが、古いソフトウェアは何かと危険が寄り添うものです。使っている圧縮、解凍ソフトがこれらなら見直した方が良いかも知れません。

+Lhaca

2年程前まで主力にしていたフリーソフトで現在は使っておりませんが操作が簡単で重宝していました。日付が無いためいつまでアップデートされていたのか不明ですが、

New: 本ソフトが、窓の杜の2000年ソフト大賞を受賞しました。

と書かれているため相当昔でしょうな。お疲れ様でございました。

復元プロジェクト公式ページ(RarUtyの跡)

当時は最強と言われたかも知れない、RAR形式が解凍したり圧縮したりパスワードを解除出来るフリーソフト。DLLをどこかからダウンロードしたり手間は有りましたが、数年間世話になった記憶が有ります。

最終更新日は2000年6月2日。10年前とは、世話になりました。

Susieの部屋(Lhasa)

Susieの作者とは知らなかった。ラサと読みます。これも手軽にzipやlzhを圧縮解凍出来るフリーソフトとして数年使わせて貰った記憶が有ります。アップデートは2004年頃にフェードアウト。

しかし本職のSusieは2010年3月にベータ版が上がっており約5年半ぶりの更新。今ではVixなどフリーの画像閲覧ソフトが多く有りますが、高速で様々な画像形式にプラグインで対応出来るソフトとしてはかなり有名でした。

Lhaplus(HoeHoe.com跡地)

2007年に終了していますが、私のノートにはこれを未だに利用させて貰っております。2007年11月には脆弱性に関する情報とお詫びが載っており、なぜフリーソフトでそこまでするのか私には理解出来ませんが、やはり責任感有る良い人が多いようです。

 

以上が数年前まで使っていたフリーソフトですが、メーカーの修理現場に入ってからは以下の2種類を使っております。特に何が良いというわけでは無く、海外のドライバが固まっている場合に日本のフリーソフトでは開かなかった事が多いからという理由。

IZArc

バージョン4.1が2009年4月頃に上がっており、現時点で1年以上更新されていない事になりますが、Windows7にも対応と書かれているため動作確認はされているようです。全部英語ですが日本語版も発見しました。こちらは2010年1月更新のようです。

IZArc 日本語 ダウンロード - IZArc 4.1.1820 無料でダウンロード
http://izarc.brothersoft.jp/

Lhaplusなどのなめらかさは有りませんが、ぶっ壊れているファイルまで解凍出来たり、ZIPファイルの中身を取り出すなどマニアックな用途にも使えます。なぜか解凍出来ないRARもこれで開けた経験有り。

7-Zip

マニアには定番なのかも知れませんが用が無いので存在さえ知らなかった解凍ソフト。.7zという形式のアーカイブを開けます。圧縮率が良いという噂。

ノートPCのドライバが、なぜかオランダやドイツにしか無く7z形式の時にだけ役立ちます。IZArcと7-Zipのみで事足りている現状に不満無し。

 

LZHはやめてZIP圧縮を使いましょう

話を戻し、ZIPはWindows XP以降でも標準で付いている圧縮・解凍のファイル形式。Macの事は分かりませんが10年も経てばzip解凍も既に出来るようになっているでしょう。

私がZIP形式を愛用している理由は3つ。

LZHより圧縮率が若干良いらしい

ファイルによりLZHの方が良い事も有りますが、LZHの95~99%になるくらいにZIPの方が圧縮率が高いようです。数年前の100KB程度なら大差有りませんが、最近では数MB単位のファイルがごろごろしており有効でしょう。

実行ファイルやパスワード付ファイルも簡単に作成可能

上で紹介したIZArcならどちらもメニューから簡単な操作で圧縮出来ます。実行ファイルは見た目からお勧めしませんが、何が何やら分からない初心者殿に対して最後の手段として自動解凍ファイルを送る手は有りです。

世界共通で広まっているためセキュリティに対し若干安心

セキュリティに100%は無いかと思いますが、Windowsのようにシェアが大きければ狙われる確率も上がるものの、それに対してセキュリティソフトを作っている企業も黙ってはおりません。皆が使っているものを使いましょう。

 

私が個人で出来る事は何も有りませんが、今まで世話になった礼として、LZHを使わないでくれという作者殿の呼びかけを、1ページですが情報として残させてもらいます。些少ではございますがnofollow無しのリンクも1つ。

会社から見ている人はやや二次元風味にご注意有れ

Micco's Page
http://www2.nsknet.or.jp/~micco/micindex.html

10年以上の長きに渡り有り難うございました。次の開発に期待しております。

<2010/09/24 追記>
有益なトラックバックを戴いておりますが、本日でTB機能を切るため本文よりリンク申し上げます。有り難う御座います。

lzhの話。 | Gatto Man
http://nekonohito.jugem.jp/?eid=12

コメント(4)

抜群の操作性と汎用性の高さが素晴らしいので長年「Lhaz」を使っておりますが、このソフト、そもそも「UNLHA32.DLL」とかの圧縮解凍用dllが必要ないタイプなんですよね。
一切dllが必要ないのだけれど、lzh、zip、cab、tgz、tar、gz、tbz、bz2、rar、7zあたりは一通り対応していて、圧縮も回答も書庫内一部のみの抽出であろうと、全て右クリックから好きな形式で実行出来るのでとても美味しいです。

この件については、当初、dllが必要ないソフトなら問題無いんじゃね?とか思いましたがダメですね。
dllに問題があるからというより、LZH書庫自体を使って欲しくないからもうdllの開発はしませんよって事みたいなので。


私の印象ではzipよかcabのほうがさらに圧縮率が高い気がします。
同じファイルをそれぞれの形式で固めてみると、lzhとzipはだいたい似たり寄ったりですが、cabはほぼ確実にその二つよりは小さくなりますので。

rarや7zは確かに圧縮率は高いのですが、普段あまりにも見かけないので渡す相手が解凍できないんじゃまいかと思ってしまって使えないw

昔のようにモデムで通信していた、メールが32kBを超えると巨大なメールと呼ばれていた時代ならともかく、
現在では、高速回線・大容量HDDが極一般的なので、数%の圧縮率の違いに目くじらを立てるよりも、安全性や使い勝手に気を使ってほしいものです。

有名なZIP形式はファイル名にUnicodeが使えませんので、
NTFS形式のHDDで好きな名前をつけていると、
ZIPファイルに正しく保存されない可能性がでてきます。
その点では、7-ZIPの方がましです。

というか、そもそもUnicode形式のファイル名を正しく扱える圧縮ソフトが極めて少ないのが現状です。
アルファベットを使用している欧米ではあまり気にならないのかもしれませんが、アジア圏では大問題です。
わたしの知る限り、ファイル名にUnicodeを使える圧縮形式は二つしかありません。

チェーン店の中華レストランで「そうきてい」というお店があります。
よく「双喜亭」と書かれていますが、「き」の字は正しくは「喜喜」という「喜」を二つ並べた字ですので「喜」では当て字です。
ですが「喜喜」はSiftJISでは扱えず、Unicodeが必要となります。
Unicode問題はこんなにも身近にあるんです。
ためしに「喜喜」の字をつかってフォルダを作り、ZIPで圧縮してみてください。


元々、「LARC」と言う名前で開発されていました。
その後、開発者が変わり「LHARC」に変りました。
さらに、今回の開発者が「LHA」と言う名前でプログラムを開発されていました。
なので、歴史は相当古いです。(私は「LARC」の頃から使っています。)

国産で、開発当初は圧縮速度が遅いにも関わらず、やはり「日本語」対応と
言う事で使う人が減るどころか増えるばかりで・・・。
そんな、プログラムがなくなってしまうのは非常に残念です。

セキュリティに問題があると言われると使う訳にはいかないですが、
なんだか無性に寂しいですね。

コメントする ※要ユーザ登録&ログイン

BTOパソコンメーカー比較

パソコン工房

高性能: ★★★★★ 保証: ★★

コスパ: ★★★★★ 安定: ★★★

初心者: ★★★★

性能とパーツの相場がある程度わかる人なら標準構成が多いのでコスパ重視で選びやすい。同じに見える同じ価格でも仕様の違いがどうなのか判る人には最適。

DELL

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★☆☆☆ 安定: ☆☆

初心者: ☆☆☆☆

10年以上前まではDELL=初心者向けの安いパソコン、それはもう通用しておりません。クーポン適用後が適正価格だと見抜けるパソコン詳しい人向け、または大人買いで割安になる法人向け。

日本HP

高性能: ★★★☆☆ 保証: ★★

コスパ: ★★★☆☆ 安定: ★★

初心者: ★★★☆☆

コスパと性能以外にも見た目も重視したいならHPのノートも選択肢としてアリ。自社製造状態なのでBTO=ダサい印象は払拭されるかと。デスクトップは法人用、ゲーミングは海外向き。

ツクモ

高性能: ★★★★★ 保証: ☆☆

コスパ: ★★★★ 安定: ☆☆

初心者: ☆☆☆☆

昔のマニアックな感は無くなり家電通販のような普通のパソコン屋に。機種が少なく特徴的な少数精鋭状態なので選べる人を選ぶ。ヤマダ電機の一部、または自作PCのパーツ屋さん。

フロンティア

高性能: ★★★☆☆ 保証: ☆☆☆

コスパ: ★★★★ 安定: ☆☆☆

初心者: ★★★☆☆

フロンティア神代の解散後、現所長のパワハラがひどいとタレコミが複数あり、私から内情を運営会社へ伝えると逆ギレされて私を訴えるぞと謎すぎる返しがあり困惑中。

サイコム

高性能: ★★★★★ 保証: ★★★

コスパ: ★★★☆☆ 安定: ★★★

初心者: ☆☆☆☆☆

PC自作したくない中~上級者向け、昔ながらの2chおっさん御用達な鉄板メーカー。動かない構成でも購入できるので初心者にはおすすめ不能。量産系BTOのようにコスパ悪くならないのでサイコムだけは自由なカスタマイズを激しくおすすめ。


※ドスパラはパーツの偽装疑いを誤魔化したり取引先を勝手に切る信頼性暴落した事件があり掲載中止(2020.11.26)

※マウスコンピューターは高いぞと書きまくったからか遠回しにリンク削除しろと言って来たので削除(2021.03.28)

勝手に評価シリーズ

結果として宣伝になっていますが依頼されたわけでは無く、依頼されてもやりません。

データ復旧のIUECを勝手に評価
あなたの街の~を勝手に評価
ESETセキュリティを勝手に評価

カテゴリと更新通知

プロフィール

ヒツジ先輩

書いてる人:

BTOパソコンの元修理担当。ハードウェアに超詳しいワケではありませんが、どうしたら故障するのか何となく解るので壊れにくいパソコンを紹介します。