OSSの公式Webサイトを見分けるのは難しい (PuTTYを例に)
2026年01月23日 金曜日
CONTENTS
先日、IIJ SOC(セキュリティオペレーションセンター)から、このような注意喚起が公開されました。
- 非公式7-Zip Webサイトにて公開されているインストーラによる不審なファイルの展開
https://wizsafe.iij.ad.jp/2026/01/2075/
「7-Zip」という有名なソフトウェアについて、非公式なWebサイトからダウンロードをしてしまうと偽物をつかまされる状態だった。しかも偽物に不審なファイルが仕掛けられていた、という注意喚起です。
ソフトウェアをダウンロードするときは公式なWebサイトからダウンロードすることが重要ですが、上記の例では「非公式なWebサイトのURLやデザインが本物っぽく、しかも検索で上の方に出てくるので誤解しやすい」という頭の痛い状況でした。
このように、インターネット上でダウンロードするソフトウェアでは、「公式のWebサイト」を見分けるのが重要なのに、しばしばそれが困難であるという状況が発生します。
この記事では、「PuTTY」という有名なソフトウェアを例に、その困難さを共有したいと考えています。
PuTTY公式サイト
PuTTYは、WindowsからLinuxなどにリモートログイン(ssh)を行うためのソフトウェアです。日本ではTeraTermというソフトウェアが有名ですが、世界的にはPuTTYの知名度もかなり高いようです。
ソフトウェアPuTTYの「公式Webサイト」は以下のURLで公開されています。
昔ながらの「個人サイト」といった趣のURLです。
一方、次のURLのWebサイトも存在します。ドメインにソフトウェア名が使われています。
- https://www.putty.org/
これは、実はソフトウェアPuTTY開発者と無関係のWebサイトです。
現在このWebサイトはソフトウェアPuTTYとは無関係なコンテンツが掲載されていますが、実は2008年頃~2025年7月ごろまでは、ソフトウェアPuTTYの競合ソフトウェアの開発元が管理し、ソフトウェアPuTTYと、競合ソフトウェアの紹介が並べて掲載されていました。一見するとソフトウェアPuTTY関連のWebサイトのように見えたのです。
※2008年1月のputty.orgのアーカイブ
https://web.archive.org/web/20080110140902/https://www.putty.org/
ソフトウェアPuTTY開発者のFAQには現在でも次のように書かれています。
https://www.chiark.greenend.org.uk/~sgtatham/putty/faq.html#faq-putty-org
A.9.1 Is putty.org your website?
No, it isn’t, and it never has been. We don’t own it; we can’t control it; we have no responsibility for anything it does.
(以下省略)※参考訳
A.9.1 putty.orgはあなたのウェブサイトですか?
いいえ、違います。これまでも、そしてこれからも、決して違います。私たちはそれを所有していません。制御することもできません。それが何をしても、私たちは責任を負いません。
※このFAQによると、今後公式サイトを https://putty.software/ というURLに移転することを検討しているようです。
さて、現状はともかく、以前のコンテンツが掲載された状態で
- https://www.chiark.greenend.org.uk/~sgtatham/putty/
- https://www.putty.org/
の2つが並んでいた時、どちらが「公式サイト」だと見えるでしょうか?
ちなみに、Googleなどで「www.putty.org」を検索すると、「PuTTYの公式サイト・入手先」として紹介している大手企業のドキュメントが見つかります。プロでも見分けるのは難しかったようです。
さらに
- https://putty.org.ru/
というWebサイトも存在するようですが、これもソフトウェアPuTTY開発者との関係性はよくわかりません。
wingetなら安心か
ところで、Windowsにはwingetというプラットフォームが存在します。Microsoftが管理するプラットフォームで、開発者がソフトウェアを登録しておくと、利用者が「winget」コマンドを使って簡単にインストールができる便利な仕組みです。
PuTTYもwingetに登録されています。検索してみましょう。
winget search putty
……たくさん出てきました。
少なくとも「PuTTY」を名乗るソフトウェアが2つあります。
Id PuTTY.PuTTYが本物のように見えるので、詳細を確認してみましょう。
winget show PuTTY.PuTTY
一見普通に見えます。念のための少し前のバージョン(0.81)を調べてみましょう。
winget show PuTTY.PuTTY -v 0.81
Homepage: https://putty.org
という記載があります。
先ほどのFAQでは、ソフトウェアPuTTY開発者はputty.orgを所有したり管理下に置いたことはないと表明しています。そのような開発者がwingetのパッケージの説明にこんなことを書くでしょうか?
私は、wingetのPuTTY.PuTTYがどういう経緯によって登録されたものか、よくわからなくなってしまいました。
※以下、1/23 12:45ごろ追記
では、wingetでソフトウェアをインストールするときは何を確認すればいいでしょうか。私見ですが、二つの方法があると思っています。
Idを確認する
winget上ではソフトウェアはIdで管理されています。先ほどの例では”PuTTY.PuTTY”が該当します。
たとえば、ソフトウェア開発者の公式Webサイト上で、「wingetではこのIdを指定してインストールできる」と表示されていれば、そのIdは信頼できるものと考えられるでしょう。これが最も安心です。
(残念ながらPuTTYの公式Webサイトにはそういった表記はないようです……)
インストーラーのハッシュ値を確認する
Wingetでは、winget show <Id>コマンドで表示されるパッケージの説明の中に、Installer SHA256という項目があります。これは、実際にインストールされるファイルについてのSHA256ハッシュ値です。ここに書かれている値と、ソフトウェア開発者が公式サイトなどで公開しているSHA256ハッシュ値が一致すれば、そのインストーラーは本物であると考えられます。
しかし、この方法で確認できるのは、そのバージョンのインストーラーが本物であるということだけです。インストールしようとしているソフトウェアのIdが、非公式な第三者によって管理されていながら、インストーラーだけは本物がおかれている可能性もあります。非公式の管理者が次のバージョンで本物ではないインストーラーに差し替える可能性が残っています。ですので、インストーラーのハッシュ値で確認する場合は、バージョンアップごとに本物かどうか再チェックを行わなければならないでしょう。
このように、wingetを使う場合でも、ソフトウェア開発者が運営する公式Webサイトを確認することは重要になります。結局どうやって公式サイトを見分けるかが重要なことには変わりありません。そこは課題です。
これも私見ですが、私は「実績があり、信頼できる運営者が十分に注意を払って確認していることが期待できるWebサイト」のリンク集などを参考にしています。もちろんそれで完璧だとは言えませんが、自分一人で判断するよりは多くの方の目があったほうがいいだろうと思ってのことです。
