ソフトウェアコピー対策の実情

ソフトウェア 不正コピー防御

現場でのソフトウェア コピー利用の現実

ソフトウェア業界に於いて、様々な利用者からの申し出があるが、その中でも、時折出てくるやっかいな話を披露しよう。この話は、今から15年ほど前にとある企業からの相談である。

ソフトウェア販売会社よりコピー対策の依頼

ソフトウェアを販売している企業様より、「弊社のコピー製品が市場に出ている。対策方法を考えて欲しい」という物だった。当時の対策としては、今でも良く使われている、シリアルキーと呼ばれる、利用可能なコードを入力する事により、利用許可を行う物が一般的な対策方法だった。この方法を用いた場合、対策方法としては次の方法に別れる。

  1. 入力されたキーを用いるが、何らかのアクティベーションを行わずに、利用可能とする物。
  2. 入力されたキーを何らかの形で、アクティベーションを行い、アクティベーションを行った際に、許可情報を与え、利用可能とする物。

主に、この2種類の方法で利用可能にする物が大半であった。一般的に、流通するソフトウェアの場合、このシリアルキーの漏えいが最も損害を与える問題で有る。極端な言い方では有るが、ソフトウェアがどれだけコピーされようとも、シリアルキーさえ、漏えいしなければ、損害は微々たる物と考えても問題が無い。

アクティベーション回避情報が出回っているのでは?

プログラム不正コピー

今回、お客様より頂いた情報は、このアクティベーション型のシリアルキーを用いているが、どうやら、そのアクティベーションを回避する方法が出回っているのではないか?というものであった。
今回、こうした依頼が有ったため、このソフトウェアに関する俗に言う、「アンダーグラウンド」情報を確認し、どういった形態でコピーが行われているかを調査した。

調査して分かった回避方法

その結果、次の方法が出回っていることがわかった。
ソフトウェアは、販売元よりダウンロードが可能。この際、体験版としてファイルを入手している。アクティベーションに関わるシリアルキーは、別途アンダーグラウンドにて流通しているソフトウェアを用いて、都度そのたびに生成。生成されたシリアルキーを、体験版として入手したソフトウェアに入力し、正規ライセンスとして登録していた。
そのため、ソフトウェア会社に次の方法を試して貰った。

調査方法

 

ユーザー側の視点

 

  1. 体験版のダウンロードには、存在するメールアドレスの登録が必要。
  2. 1で入力したメールアドレスに、ダウンロード先を記載する。
  3. 2に記載されたダウンロード情報を元にユーザーはファイルをダウンロードする。
  4. ダウンロードしたファイルをインストールし、利用を開始する。
  5. 体験版を利用開始当初から、「機能制限版」と表示する。
  6. 体験版はアップデートが出来ず、30日で終了する。
  7. 利用機能無制限版(製品)を利用する場合は、体験版のメニューに有る「製品版はこちら」をクリックし、専用ページを表示する。
  8. 製品版を購入する際、アクティベーションセンターにて購入する。

 

ソフトウェア会社の視点

 

  1. 体験版にシリアルキーを入力して製品版に変更できないよう、重要な機能をDLLとして外出しし、体験版にはそのDLLを組み込まないようにする。
  2. 体験版を申し出た際に、入力されたメールアドレスと、体験版に書き込まれた特定情報を紐付けて、データベースに格納する。
  3. 体験版を無理矢理、製品版に変更した場合、書き込まれた特定情報とDLLに書き込まれた特定情報の一致を確認し、体験版起動時に確認するようにする。
  4. 体験版の起動時に、延べ120通り以上のデータマッチを行い、改ざんチェックを行う。
  5. 体験版稼働時に、Dの情報を元に、ソフトウェア側のアクティベーションセンターと通信し、正常な値であるかを常に確認する。
  6. 15分に1度、チェック機能をアクティベーションセンターからダウンロードを行い、チェック機能を変更する。
  7. アクティベーションセンターにて、特定情報のホワイトリストチェックを行い、前回の判断結果と大きく異なる場合は、データの読み込みのみを許可し、それ以外の全ての機能を無効化し、電話にて確認するように画面で通知する。
  8. 電話にて申告内容が許可内容と一致した場合のみ、再度データベースに情報を書き込み、再アクティベーションを許可する。

 

以上の助言及び仕組みを提供し、当座の対応とした。

 

結果

当面のところ、上記の内容で多くの知的財産が守られ、売り上げ向上も確認された。上記対応のうち、Fのアクティベーションに必要な情報のダウンロードには、機能の改善が含まれており、ユーザーの知らないところで、バグフィックスが行われている。

 

結果、インストール直後と1年後のファイルサイズは、大きく異なっており、内容が都度変更されるため、違法なコピー製品が出ても、すぐに使えなくなるといった、予備的な対策にも繋がった。

後に、この対策が別の問題を引き起こすことになるのだが、それは次回改めて問題点とその対策について書いていこう。

 

 

追記:

この度、外部ライターとしてコラムを書かせて頂きます。社長のカトーの知人でナビプラス株式会社の片山と申します。
普段は、お客様から寄せられる、新たなマルウェアの解析を行ったり、各種脆弱性に伴う調査及びその再現性について、日々追求する仕事をしております。今後とも、よろしくお願いします。

 

片山昌樹

この記事を書いた人:片山昌樹

ナビプラス株式会社 最高情報セキュリティ責任者
社長カトーの知人でセキュリティ関係の記事やセミナーを手伝っている人物。必殺技:いきなりステーキ

この記事に関してのお問い合わせ
御連絡・ご返信は原則2営業日以内を予定しております。
お急ぎの場合は、お手数ですが下記電話でもご対応をしております。

システムガーディアン株式会社
受付時間:平日9:00~18:00
受付担当:坪郷(つぼごう)・加藤
電話:03-6758-9166