2015年07月22日 21時00分 ネットサービス

オープンソースソフトウェアの老舗サイト「SourceForge」はいかにして堕ちていったのか

By Hugh Gallagher



オープンソースソフトウェアの開発・ダウンロードサイトとして老舗の「SourceForge」が、ソフトウェア開発者から三行半を突きつけられるという事態に陥っています。「老舗サイトは、どのようにして堕ちたのか？」をまとめるとこんな感じです。



Black “mirror”: SourceForge has now taken over Nmap audit tool project [Updated] | Ars Technica

http://arstechnica.com/information-technology/2015/06/black-mirror-sourceforge-has-now-siezed-nmap-audit-tool-project/



SourceForge grabs GIMP for Windows’ account, wraps installer in bundle-pushing adware [Updated] | Ars Technica

http://arstechnica.com/information-technology/2015/05/sourceforge-grabs-gimp-for-windows-account-wraps-installer-in-bundle-pushing-adware/



Avast blog » Malformed FileZilla FTP client with login stealer

https://blog.avast.com/2014/01/27/malformed-filezilla-ftp-client-with-login-stealer/



What happened to Sourceforge? · etix's weblog

https://blog.l0cal.com/2015/06/02/what-happened-to-sourceforge/



SourceForgeはフリーソフト・オープンソースソフト(FLOSS)の開発者にソフトウェアを公開する場所を提供する老舗のホスティングサービスプロバイダーで、世界中に数百万人のユーザーを抱えるサイトです。



◆FileZillaマルウェア騒動

そのSourceForgeのサービスに疑問を抱かせるきっかけとなった事件が、FTPクライアントソフト「FileZilla」のマルウェア騒動でした。FileZillaは高速ファイル転送が可能なFTPクライアントソフトとして知られていましたが、2014年1月にセキュリティ会社Avastが「マルウェア入りのバージョンがアップロードされて公開されている」と報告。オープンソースプログラムであるFileZillaのソースコードは公開されているため、悪意ある物によってソースコードが書き換えられた偽物のプログラムが公開され被害が拡大したというわけです。



当初、偽物のFileZillaをダウンロードしないように、「開発元の公式サイトまたはSourceForgeからダウンロードするように注意しましょう」という呼びかけがされたものの、SourceForgeのFileZillaページには「マルウェア入りで最悪」という☆1つの評価が連なり、SourceForgeでもマルウェア入りのFileZillaが公開されている実態が明らかになりました。





◆GIMP脱退事件

そして2015年5月に、画像編集ソフト「GIMP for Windows」のインストーラーに、NortonやMyPC Backupなどのサードパーティ製ソフトウェアが無断でバンドルされ、GIMPの作者が抗議するという事件が発生しました。





おそるべきことに、SourceForgeで配布されていたGIMPは、プロジェクト管理者が「GIMP project」から「sf-editior1」という編集者名に書き換えられ、さらに管理者権限自体をSourceForgeが取得していたのです。GIMP projectが公式サイト上で抗議を出した結果、SourceForgeはソフトウェアの無断バンドルを取りやめて、管理者権限も返還すると発表しました。



なお、SourceForgeによるとGIMP for Windowsのソフトウェアページは18カ月間更新されていなかったため「放置された」と判断して、公式ではなく「mirror（ミラー）」として取り扱った結果、広告用ソフトウェアがバンドルされたとのこと。ただし、GIMP projectは継続してメンテナンスを行っていたと主張しており、SourceForgeの釈明に異論を唱えています。





GIMPの一件を機に、SourceForgeは更新されていないプログラムの場合、mirror扱いになり広告用ソフトがバンドル配布される場合があることを正式に発表して、開発者・ソフトウェアユーザーの理解を求めました。その中で、mirror化されたプログラムは、プロジェクトがSourceForgeによって管理されていることが分かるようにステータスを変更することも宣言していました。



◆Nmap騒動

2015年6月、GIMPと同様の事態がセキュリティスキャナソフト「Nmap」でも起こっています。Nmapの開発者でフォーラム上では「Fyodor」の名で知られる開発者のゴードン・リヨン氏は、Ars Thecnicaに対してメールで「Nmapの管理者権限がSourceForgeに奪われた」ということを明らかにしたとのこと。リヨン氏によると、Nmapの旧ページの内容は、そっくりそのままSourceForgeの編集者だけが管理する新ページに移植され、旧ページは白紙状態だったそうです。リヨン氏はもはやSourceForgeを信頼できないと述べています。





◆VLCとのトラブル

GIMPやNmapなど人気ソフトウェアの開発者とトラブルを起こしていることが明らかになったSourceForgeは、かつてSourceForge内で最も人気のあった動画プレーヤー「VLC media player」ともトラブルを起こしていたことが、VLC開発者のルドビク・ファーベット氏のブログで明らかにされています。ファーベット氏はかねてよりSourceForgeで提供するVLCのダウンロードページに詐欺的に表示される偽物の広告ダウンロードリンクを表示させないようにSourceForgeに申し立てていたそうです。





ファーベット氏によると、SourceForgeのVLCダウンロードページには「Download」ボタンが7つもあったとのこと。



抗議すると詐欺的な広告は一度は削除されるものの、気づけばすぐに復活するという有様で、状況はなかなか改善しなかったそうです。それでも抗議を続けると、「収益を分配するので受け取らないか？」という提案がSourceForgeから持ちかけられたとファーベット氏は明かしています。VLCを使用するユーザーから詐欺的なダウンロードサイトリンクの表示に関する多くの苦情を受けていたことも引き金となって、2013年4月ころにVLCを配布する新たなサーバーを立ち上げ、SourceForgeから引き上げました。



当時、SourceForgeで最もダウンロードされる人気ソフトだったVLCを失ったことはSourceForgeにとってかなり痛手だったようで、すぐにSourceForgeの社員が「より好条件の収益分配」を提案してSourceForgeへの復帰を促したものの、VLCチームは断ったそうです。奇妙なことに、申し出を断ったのと同じタイミングでVLCを提供していたサーバーにDDOS攻撃を受けたとファーベット氏は語っています。



GIMP騒動がきっかけでファーベット氏がSourceForgeのVLCプロジェクトを調べてみると、何の連絡もなしに無断でSourceForgeに引き継がれたのはGIMPの場合と同様で、もはや管理者としてのアクセス権限も失われていたとのこと。しかし、幸いなことにバイナリデータは触れられていなかったそうで、おそらくWindows向けのバイナリすべてについてデジタル署名を行っているからだろうとファーベット氏は推察しています。



◆SourceForgeの未来

現在、オープンソフトウェア開発者を中心に、「さよなら、SourceForge」というSourceForge拒絶キャンペーンが展開されています。



Goodbye, Sourceforge!

https://helb.github.io/goodbye-sourceforge/





VLCのファーベット氏が述べるように、「10年前に偉大な仕事をしていた企業によるオープンソースコミュニティの権利と功績を無視した振る舞いを見るのは悲しい」というのがソフトウェア開発者の素直な意見だと思われます。ソフトウェア開発者への尊敬の念を欠いたSourceForgeの未来に暗雲が立ちこめているのは確実と言えそうです。



なお、日本でオープンソースソフトウェアのダウンロードサイトを運営していた「SourceForge.jp」は、「『全てのオープンソースとITを中心としてテクノロジーを愛するコミュニティに寄り添う』というOSDN社の経営方針と(SourceForgeを運営する)米Dice Holdings社との事業方向性の乖離が大きくなった」ことを理由に、SourceForgeブランドを捨て、2015年5月11日より「OSDN.jp」としてサービスをリスタートしています。