OSSの公式Webサイトを見分けるのは難しい (PuTTYを例に) | IIJ Engineers Blog

IIJ 技術統括部長 最近はインターネットの技術を紹介するのがお仕事です。元々プログラマ、サーバ・データセンター・ネットワーク・セキュリティ・モバイルといろいろやってきました。 先日、IIJ SOC(セキュリティオペレーションセンター)から、このような注意喚起が公開されました。 非公式7-Zip Webサイトにて公開されているインストーラによる不審なファイルの展開 https://wizsafe.iij.ad.jp/2026/01/2075/ 「7-Zip」という有名なソフトウェアについて、非公式なWebサイトからダウンロードをしてしまうと偽物をつかまされる状態だった。しかも偽物に不審なファイルが仕掛けられていた、という注意喚起です。 ソフトウェアをダウンロードするときは公式なWebサイトからダウンロードすることが重要ですが、上記の例では「非公式なWebサイトのURLやデザインが本物っぽく

[sora_h]

パッケージマネージャー越しだと誰かのレビューが入っていることをある程度期待したくはなるし期待してる。Homebrewやwinget

[Akaza]

wingetどこまで信用して良いか問題について皆どう思ってるか気になる。

[unknown_Ex]

下手な公式サイトよりもgithub見に行った方が安心するのはある

[igrep]

これの対策のためにドメインや登録商標とるのは有効だろうけど、無料のソフトウェアのためにやるとするとやってられんね。

[hase0510]

とか考えると「公式AppStoreからしかインストールできません」というのにも正当性があるよなーとならざるを得ない

[tor4kichi]

MSストアだと公式Puttyが最初に表示されてますね。Windowsであればストア審査通過がセキュリティ担保の目印にはなるかと

[haususuahahdh]

brew caskもかなり脆い仕組みなんだよな。つかってるけど

[knok]

wingetに新規追加する分にはPR出してそれをレビュー、MSのスキャン等を通してマージとい流れらしい。もしレビューが甘かったらその時はまあしょうがない

[strawberryhunter]

orgもGoogleでは上の方に表示されてる。今は無害そうな内容だが。Puttyは何かしょぼいサイト、という記憶が無ければ危うい。

[lycolia]

OSSというより何が真正の本物でそれをどう担保するかの話。正直偽装サイトを作る旨味もない日本国内でニッチな層しか使ってないソフトウェア（フリーソフトとか）は強いなとか思ってしまった。

[s_hiiragi]

“一見普通に見えます。念のための少し前のバージョン(0.81)を調べてみましょう。” 仮に表示されている内容が正しかったとしても公式が登録したものかどうか分からない。公式サイトからのリンクとか説明が欲しい

[tmatsuu]

難しいよねぇ。自分がソフトウェアを紹介するときは公式サイトよりもgithub/gitlab/codebergなどのURLを紹介するようにしてるんだけど、それも必ずしも本物とは限らないからねぇ。

[sgo2]

https://kmiya-culti.github.io/RLogin/ オススメ

[boxmanx99]

生成AIがこれまで未使用だったツールを提案してくることも多く、「このツール・サイト大丈夫？」は日々ビクビクしてる

[OKIIZO]

putty[.]org は最近トップページが凄いことになってすごい

[moonieguy]

一番ダサいサイトが本物とか言われてて笑った

[vegnpomn]

PuTTYにしても7-zipにしてもググると一番上に正しい公式サイトがちゃんとでてくるんよね。なんだかんだでググって一番上にあるのを選べばいいって言えるぐらいにはしっかりしてる。

[mnnn]

あーBlenderもBlender.orgよりもBlender.jpという非公式サイトが上に出る時があって悪いサイトではないのだが昨今は真贋判定が面倒という

[everybodyelse]

winget何やってんだこれ

[m50747]

極論すると公式Linuxターミナルの無いWindowsは開発に使っちゃいかんね。せめてWSL経由か。この辺のリテラシーの薄い開発者が多過ぎる。

[otchy210]

せっかく OSS なのだから、GitHub からリンクを貼られてるのが公式って事で良いのでは。GitHub にすら偽物はあるだろうが、そこはスター数で見分けられるだろう。

[ton-boo]

PuTTYはこう言うのがあるから最近あまり使いたくないんだよな。.ppkを使わざるを得ない状況とか早く滅びて欲しい/WinGetはmsstore版があったら可能な限りそちらを使うようにはしている/a5m2とかも今後偽サイトリスクありそう

[tybalt]

そもそも配布サイトも把握していないようなソフトは入れないの一択だと思う。入れるなら、GitHub で実装や開発状況を確認した上で、GitHub Release から入れたり、パッケージソフトのメタデータを確認したり。

[asakura-t]

「wignetは比較的安全」かもだけど「正当なものか」を確認するのは確かに難しいな…。

[shag]

putty 界隈不穏すぎるな。みんな wsl2 経由で ssh 使おう。ターミナルは windows terminal だ！

[xlc]

私はWikipediaで「公式サイト」を見るけどな。

[suquiya0]

wingetもね、公式じゃなくても入れれるんですよねえ…（遠い目）

[buriki_gadget]

オープン「ソース」ソフトウェアのバイナリパッケージにマルウェアを仕込む手法は20年くらい前からあったからなぁ…。自分でビルドしない人はおカネ払うほうが良いんじゃないかな

[yaminusi]

そうなんだ。じゃあ私 PuTTYrv 入れるね。 https://www.ranvis.com/putty

[mojimojikun]

ふぇぇ

[gpx-monya]

これはしんどいなあ。人気が出るほどリスクがでかくなっていく

[delphinus35]

これはキツい。Homebrew だって悪意あるコントリビューターが混ぜ込んだら中々発見難しいしなあ。

[atsushieno]

IDが本家で規定しているものだからといって全てのマーケットで公式が公開しているとは限らない。野良パッケージがURLだけ公式にリンクしていたりもするので常に確認が必要。

[yarumato]

“ソフトウェアPuTTYの公式Webサイト www.chiark.greenend.org.uk/~sgtatham/putty/ は、すっきりしないURL。 www.putty.org は無関係だが公式サイトのように見える。　wingetなら安心か？ PuTTYが複数あり不安”