Winny+Antinnyによる情報漏洩を防止する方法
あらためてとりあげるまでもなくWinnyの使用Antinny等情報漏洩型ウィルス感染による個人・企業団体等に関する情報漏洩が後を絶たない。これはもやは国家的異常事態とも言える状況だろう。いくら企業や国家が情報セキュリティ対策を声高に叫んだり各種対策や研究開発に投資したところで、その狙いどころが外れていればまったく意味が無く実際にそのような状況になっていることが露呈されていると言えるだろう。(残念ながらその事実に気付いている人はまだ多くないようだが。)
そもそも根本的な対策がないかと言えばそういうわけでもないは重要な情報の持ち出し制限や自宅パソコンの安全対策の啓蒙であるが、このような対策に限界があることは明らかである。現状の問題に対する手っ取り早く効果が期待できる一番シンプルなアプローチは国内の全ISPに協力を依頼をして、Winnyのトラフィックを制限することである。実際P2Pソフトウェアの使用がISPのトラフィックの大部分を占めることを理由にそのようなソフトウェアのトラフィックを制限しているISPは存在するし、Winnyを使用しないユーザについては実害がなく、むしろ帯域圧迫の緩和やそれに伴う料金の低下などのメリットも予想される。 このような考え方については、表現の自由や個人の情報活動の制限に繋がるという反対の声も予想されるが、そもそも自ら発信した情報を管理できないという点についてそういった目的のために使用する情報システムとして社会的に許容できるのかという疑問が残る。このことについてはWinnyの技術的欠陥としてプログラムの作成者である金子氏自身が認めている(らしい。下記ITmedia記事参照)。このような欠陥のあるソフトウェアが広く運用されおり、今も個人情報や各種機密情報がその上で漂流し、個人や社会に対して実害をもたらし続けているということ自体が問題であろう。P2Pソフトウェアによる情報発信や情報の交換、匿名による表現の場については他にも様々な方法が存在するし、欠陥が指摘されメンテナンスもおこなわれていないWinnyの利用に固執する必要はないはずである。
このようなアプローチを下支えする考え方として「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」に基づき著作権侵害の被害者がプロバイダに対して情報発信者の氏名や住所などの開示を請求できたり、十分な対応をとらないプロバイダにその責任を問うことができる(厳密には法自体はこのような責任を免除するための条件を規定している。)のと同様の考えを当てはめてることはできないだろうか。あるいは過去迷惑メール等の第三者中継に利用されたサーバ管理組織が社会的非難を受けたように、実際に情報漏洩や著作権侵害をもたらすWinnyトラフィックを許容するプロバイダについてその責任を求めるという考え方もある。
Winnyのトラフィック制限に関する技術的な面では対応する製品が複数存在しているし実際に制限をかけているISPがあるのだから決して難しいことではないだろう。Winnyを通じた情報流出によって人生を狂わせてしまった個人は少なくないと思われる。そういった悲劇をこれ以上生まないためにも抜本的だがシンプルな対応というのを考えても良いのではないだろうか。
なお無用な誤解を招かないため補足するが、私自身は情報技術利用に関する各種規制や制限については行わないに越したことはないと考えている。しかし場合により社会全体のコスト負担の最適化や被害者の救済を考えればこのような制限・規制はやむを得ないのではないかと考えている。
(文言修正 2/26 14:10)皆様からのトラックバック等のコメントを受け誤解のないように、若干記述を修正しました。
(参考情報)
■開発者が語る“ポストWinny”(ITmedia, 1/30)
http://www.itmedia.co.jp/news/articles/0601/30/news047.html
■ぷらら、「MX」「Winny」ユーザーの帯域を制限へ(ITmedia, 03/10/20)
http://plusd.itmedia.co.jp/broadband/0310/20/lp12.html
■iTSCOM、“Winny”など一部アプリケーションのトラフィック制限を開始(InternetWatch, 03/12/19)
http://internet.watch.impress.co.jp/cda/news/2003/12/19/1569.html
[news]Winnyのアップデートを要請するべき
もういろんな情報がダダ漏れで、このあたりは「管理の厳格化」とか言っても無理だと思う。たぶん家で繋いでいたんだろうし。組織が対応してなんとかなるものじゃない。 W…
トラックバックをいただいたのですが登録しないとコメントできないようなので、こちらでコメントさせていただきます。
トラフィックレベルでの規制については、すでにいくつかのプロバイダが実施しているし、監視自体は通常の不正アクセス対策で行っているところも少なくいので十分実現可能でしょう。むしろISPとしては帯域圧迫しているトラフィックをこのような理由で制限できることはメリットもあるのでインセンティブも働くのではないかと思います。また他のソフトで同様のことが起こったらどうするかという話ですが、ここ3年ほどでも世界的に見て同様の事例はWinny+Antinny以外になく、実質的にWinnyを規制すればかなりの効果が期待でき、仮に同様の事例が発生すればその都度対応すればよいでしょう。実際Winnyで多くの漏洩事故が発生しており、他のソフトでは同様の事件がそれほど発生していないという事実を認識することが重要です。ちなみにOutbound Port25 Blockingが普及しないのは同時に多くのーザに不利益をもたらすという理由からだと思います。
今までウィルス対策ソフトや、「悪意のあるソフトウェアの削除ツール」等ユーザ側での対応のアプローチをとってきましたが、その限界はすでに見えており、ちょっと違ったアプローチが必要ではないかと思います。
[せきゅ] Winny+Antinnyによる情報漏洩を防止する方法?
たけださんの記事。 それだと、たぶん「Share+何か」で情報漏洩が起きるようになるだけだと思う。 つか、トラフィックを止める方法で対症療法的にや…
たりきさん、トラックバックありがとうございます。小島さんからもセキュリティーホールメモでコメントいただきました。
組織の内部情報持ち出しを規制するのは当然で、それはこれまでも対策をしているでしょうしこれからも行うべきでしょう。ただこれまでのそのようなアプローチでは不十分だから今のような状況になっています。なので何かプラスアルファの対策として今回の提案をしてみたつもりでした。
また、すでに漏洩しWinny上をさ迷っている情報は現状で止めることはできません。また他の方法での漏洩が起こるとのことですが、現行のWinnyが利用できないようになればそれだけで漏洩事故が減少するのは明白だと思います。現状これほどの状況になっているのは日本だけですので、Winnyを使いにくくすれば当分同様の問題が発生しない可能性は十分高いと思います。いくつか主要なプロバイダが対応するだけでも漏洩の確率は大幅に減少するのではないかと思います。
対処療法が一番効果的ということもあるかと思います。まあ、どっちが「根本的」かと言われれば持ち出さないのがやっぱり「根本的」ではあるんですが。
うーん。ただ、どうしても「WinnyがダメになったらShareがあるじゃん」に流れるのも予想が簡単にできるわけで。
そうなると一時的には流出対策できてもすぐに次のものが現れるでしょう。
となると、アウトバウンドにはウェルノウンなサービスしか許可しない、といったものじゃないと最終的には意味がなくなります。
それってインターネットなんだろうか?と思った次第。
確かに最終的には一般の人はWEBとMAILが使えれば困らないんでしょうけれども。
機械的な対処ってのは結局人手による対処のサポートにすぎないと思うんですよ。
今、短期的に対処するなら、とりあえずポートふさぐのがベストだと思いますけど、なんか違和感があるんですよねー。
たりきさんのおっしゃることも理解できますが、今の被害の状況を見ると、とりあえず短期的に対応して時間をかせぎ根本的な対応を進めるというのもありかと。
今普及しているウィルス対策ソフトも結局対処療法ですが、十分機能しているわけですし、需要があればファイアウォールやIPSが同じように進化するというのもありでしょう。
漏洩型ウィルスの問題が起きればそのP2Pソフトが使えなくなるとなれば開発者もそのような問題への対応を考えるインセンティブになるかもしれません。
Winnyって使用するポートが任意ですから、ISPがやってるWinnyのトラフィック量制限って、結局はトラフィック量が多い通信の制限してるだけですよね?
(通信の内容を見て判断・・・だとなんかまずそうですし)
それって技術的に幼稚でつまらないような気がします。(^^;
「悪意のあるソフトウェア」を定期的に実行しないとISPからサービスを受けられないという仕組みを構築するというのはどうでしょうか?
C3POさんコメントありがとうございます。特定のISPがどういう方法で行っているかは把握していませんが、技術的にはポートに関わらずトラフィックを解析して制限をかけることは可能ですし、そういった製品も存在します。この際、技術的に面白いかどうかは別としても被害を出さないということが重要で、トラフィックの単純な制限だけでも効果があるのであれば対応しないよりはましでしょう。(訂正 2/26 18:00)
80ポート使ってます。なので、80 遮断?
ポートで制限をかけるのではなくて、Winnyトラフィック検出&制限可能なシステムを使用するということです。
バックボーンネットワークを過大な負荷から守ることと、データの不正流出を止めることは水準が全く違うので、混同して議論しないほうがいいですよ。
Anonymousさん
全く水準が異なることはそのとおりだと思いますが、同じアプローチで解決できる部分があるのであれば違いにこだわる必要はないでしょう。話を一緒にしてしまうことで誤解を招くということもあるのでしょうけど。
違う、違うんだ。
気がついた。
たけださんが言っていることって、置き換えるとこういうこと。
「WEB経由でスパイウェアが入り込むから、プロパイダレベルでフィルタリングを強制しよう」
たぶん、おいらの感じた違和感の正体はコレです。
情報へのアプローチは制限されるべきじゃない。各自がコントロールすべきだ。
その、コントロールのためのノウハウをもっと改善して広く共有しようよ、って対処のほうがきっといい。
単にできないからやらない、って結果を生むだけなら、別の手段が登場したときに歯止めが利かない。
だから根本的なアプローチをしないと単に問題を先送りしているだけに過ぎないんすよ。
たりきさん
なるほど了解です。私もたりきさんの言うのが理想的だし皆が抱くような違和感ってのもわからないではないです。問題はすでに起こっている事件・事故の規模や大きさ。情報セキュリティ対策とかって国や研究機関やら企業やらで大騒ぎでやっていますが、そもそも何のための情報セキュリティかってことを考えると、今おこっている漏洩事故のようなものが最悪の事態のはず。
つまり今のWinnyを放置しておくなら情報セキュリティなんて取組む意味がない(ってのは大げさかもしれないけど)。いろんな予算つけて組織的に取組んで対策をしているけど、そこで守りたいものってもうすでにWinnyで漏洩してるしこれからも漏洩する。一生懸命Trusted OS作っても、IPS作っても、IPトレースバックしても、Winny+Antinnyで漏洩してたら意味がなくてまずはそこを止めることからやりましょうというのがそもそもの提案。システムセキュリティEALが6になろうが7になろうが関係ない。だったら今目の前にある問題からまず片付けましょうよといっているのです。現実に今被害にあっている人がいてそれをなんとかしようよという考え方、わかってもらえないでしょうかね。もちろん個々の対応のユーザや企業での対策は大切、でも残念ながらその限界は見えていて何か違ったことをしなければ、今の最悪の状況は変わらない。
漏洩する人と被害に遭う人が必ず一致するなら自業自得ってことでいいんでしょうが、実際には本来対策をとるべき人と漏洩されて被害にあっている人が違うっていうのもあるんですよね。
補足
情報セキュリティというのはいろいろな対策を多層的にとることで、最弱のリンクを保護するというアプローチをとるのが一般的ですが、Winny+Antinnyに関していうと、ユーザへの啓蒙に始まって、内部情報の持ち出し制限(できてないところも多いですが)、ウィルス対策ソフトでの対応、OS側での対応とこれまでもいろいろやってきています。もちろんこれらは大切だしこれからも当然続けていかなければならない。
ただ結局これまでに決定的な解決に至ってないからには次のステップが必要で視点を変えてそろそろプロバイダでの対応なんていう案もあってもいいんじゃないかなという提案なのですが。駄目ですかね。(;´Д`)
セキュリティで一番脆いのは人間であると、ハッカーの大御所が述べている通りで
モラルの向上が最大の抑止力です。
私もISP規制に賛成です。
自宅で仕事しないなんて無理だし、無料でコンテンツが手に入るならリスク覚悟で使うだろうし。
多くの被害者発見・救済を担当してきて思うのは、人の欲は自制できないので、ある程度保護してあげないとダメだということ。
事故の起きてる現場では、自己責任、自業自得なんてキレイ事言えない状況です。
@cさん、タミさんコメントありがとうございます。
やはり「セキュリティで一番脆いのは人間」だからその「モラル」に頼るのには限界があって、システム的に保護してあげる必要があるということではないかと思います。
「モラル」や「人」「だけ」に頼ってるからいつまでたっても漏洩がなくならないのでは?
Winnyのトラフィック制御は、回線の冗長構成をしているISPや10G回線の使用が進んでいるISPでは難しいという問題があります。
つまり、大手ISPで実施するのは困難です。
コメントではお初に御目文字…だったと思います。Lucreziaと申しますわ。
ちょっと興味がありましたので、僭越ながらコメントをさせていただきたく思いましたの。
武田様のISPブロック案については、実はあたくしは基本的にはたりき様同様「ISPレベルでの制限に対する違和感」というものを少しばかり感じておりますの。
といいますのも「じゃぁ今後第二第三のWinnyが出たときに誰がいつどのような判断をするのか」によっては、とても怖い予想ができてしまいますわ?
ですから、ここはやはり基本に立ち返って「各人がセキュリティ意識を高める」というのが正道だと思いますの。
…って感じのおぼこな事を言ってみたいんですけれども。
現実問題、ちょっとあんまりにもひどい状況が続いている昨今を鑑みると、「セキュリティは多重をもってよしとなす」前提から、ISP案っていうのはとても現実的なアイデアだと思いますの。
ただ、それでもなお「第二第三のWinnyが出たとき」に、セキュリティとは別の観点からの抑止が行われてしまい、自由なThe Internetでの競争が政治的手法で制限されてしまうという可能性だけは常に考慮していただきたいって思いますの。
[せきゅ] どんなに考えてもISPでのフィルタリングじゃ問題は改善しない
短期的にはいいんですが、そのあと問題が拡大してしまうようにしか思えない。 >ただ結局これまでに決定的な解決に至ってないからには次のステップが必要で視…
さまざまな方法があると思います。何かひとつの方法を選択するのではなく、武田先生の指摘している方法もひとつの選択肢として検討するのが重要と思います。
また、一部でできないからといって、あきらめるのではなく、やれるところだけでもやってみるというのも重要だと思います。もちろん、効果が少ないかも知れませんが・・・。
さらに、別の方法が出てきた場合は、当然、その時に考えるということも必要となるでしょうね。
ashさん、Lucreziaさん、丸山さんいろいろなご意見ありがとうございます。たりきさんからもトラックバックありがとうございます。
私も限られた視点からしか見れていないと思うので、
いろいろな意見が聞けてありがたいです。
なんとなくネガティブな反応がある理由として、「自由なファイル交換の規制に対する懸念」が引っかかっているのではないかと思います。この点に関しては私もできれば規制しないにこしたことはないと思います。ただあまりにも大きすぎる被害に対してやむを得ないのではという論点です。
ユーザへの過保護は全体のセキュリティを弱めるという視点ですが、それはそれで正しいと思います。ただ現場はそんなこと言ってられない。企業の担当者は自社情報が漏れないかヒヤヒヤで、一旦漏れれば取り返しがつかないわけですから、そんな悠長なことは言ってられないでしょう。
現実的なリスクの大きさや対策コストを前提にした対策が必要で、ファイアウォールの導入やウィルス対策ソフトを導入したらPCの管理やユーザの意識が希薄になるから導入しない方がいいなんていう人はまずいないですよね。そもそも全員がセキュリティをきちんと管理できるならファイアウォールもウィルス対策ソフトも不要なはず。
どうなるか分からない今後のユーザの啓蒙のためにすでに被害に遭った方、これから被害に遭う方を犠牲(見せしめ)になってもらうなどというのはあまりにも残酷だし、被害者の多くは対策の実施者とは関係のない方だったりします。とても大きな漏洩リスクを抱える誰もコントロールできない情報拡散プラットフォームを維持しようというのはとてもリスキーだと思います。
実装面に関しては議論の余地があるかと思います。技術的には帯域が大きくなったとしてもセグメントを分割して対応することは可能でしょう。コスト的に見合うかなど別の面で検討が必要になりそうですが。一旦環境を構築してしまえばwinny+antinny以外の問題が現れたとしてもIDSやウィルスのパターンの更新と同じであまり大した問題ではないように思います。
初めましてtakと申します。
CMUJいちど観光に(?)行ってみたいなと思っておりますが、結構遠いので・・・
いろいろ意見が出ているようですが、現実的な具体策を提示し、それが実現可能でかつ、効果がありそうなら否定する理由は全くないと思います。なぜそれがダメなのか理由が分かりません。武田先生は前提をちゃんと示した上で議論しているので、個人的には何ら否定する部分はありません。
否定しておられる、あるいは違和感なりを感じておられる方は、前提を飛ばしているんじゃないかな、と思いますが、どうでしょう。
人的な対策が必要であることは誰も否定していないし、皆さんが根本的な問題だと認識しているハズですよね。
おかしくないですか?交通事故起こすから、警察や自動車会社は考慮すべき。と、見受けられる。
takさん、hageさんコメントありがとうございます。
takさんのおっしゃるとおり「人的な対策が必要で~根本的な問題」はそのとおり皆認識できてると思います。
hageさんの「おかしくないですか?」は、「(ISPで規制するのは)おかしくないですか?」ということでしょうか?それとも「(ISPで規制することに反対するのは)おかしくないですか?」という意味でしょうか?
いずれにしろ、「交通事故起こすから、警察や自動車会社は考慮すべき。」と一般に認識されているのと同様に
「漏洩事故起こすから、ISPやベンダーは考慮すべき。」と考えるべきですよね。
あ。違和感の正体がわかった。
たけださんが言っていることは
「暴走族を取り締まるために、とりあえず一時的に全国の公道で二輪を通行禁止にしよう」
ってことなんすよ。
対しておいらは「それじゃみんな四つ輪に乗るよ」って言ってる。
で、たぶん事故も珍も一時的にしか減らない。
公共交通機関しか走っていない道路にするならそれでいいだろうけど、そこに突然暴走車が現れたら?ってのが、Port80だけを使ったファイル共有の例。
ただ、漏洩して流通している情報を食い止める方策としては、Winnyネットワークを麻痺させるという試みはアリだとは思う。全ISPとまでいかなくても、いわゆる大手が全て追従してくれたらかなり効果があると思う。
ただ、何らかの強制力がないと抜ける奴が出てくるとは思う。見境のない厨房に少し割高の回線を提供してやればペイしそうだし、そうなると商売優先でってことがあるかもしれないから。
となると、法規制?
ただ、次々と規制の手を広げるやりかただと危険だと思う。Winnyだけで止めておくべきだよ。あとは、警察の監視下で「安全なWinny」を47氏が作るか、ですね。ファイルの削除機能とUpFolderを保護できるWinnyを。
一旦口に出した言葉も「やっぱなし」と言ったところで無くなるわけではありません
一度webサイトにアップロードしたファイルは、そのURIから消滅してもダウンロードした人間がばらまかない保証はありません
その他ありとあらゆる情報はどんな形であれ完全に発信者の希望通りには振る舞いません
そもそも論を用いるなら情報など本来管理できないものなのです
どうもです。たりきさんの言うのでOKだと思います。私は明日二輪で命を落とすかも知れない人を救った方が良いのではと言っているだけ。
新しいタイプの抜け道がでるよという件ですが、実害が大きくなった時点で対応すれば良いのではないでしょうか。あるタイプのウィルスを防いだところでまた新種がでてくるからウィルス対策ソフトをアップデートしても無駄なんて言う人はいないですよね。
完全な情報セキュリティは実現できないから対策を行わないということなんてないですよね。100%は無理でも90%の事故が防げればやらないよりはやった方がよいでしょう。
実害が大きくなれば対応をとるということで、害を及ぼさないような安全なソフトウェアを開発するインセンティブにもなるのではないでしょうか。
必要なのは個人が「危険性を認知する事」や「教育」であると思います。「規制」ではないはず。害が出たら対策というのは後手後手になってしまう。
たりきさんの例えを借りるなら、P2Pソフト全体を二輪車に例えたときに、現状道交法に触れない程度に改造された二輪車で、その利用者の9割方が暴走運転を認識なく繰り返している状態で、さらに事故も急増中といったところではないでしょうか。
暴走により道路を占拠されることを許さないのは道路の管理者たるISPとして当然のことでしょうし、事故対策に警察にあたる機関が乗り出すのも当然のことでしょう。
将来的に他の改造の仕方が制限される可能性があるからって、今事故が多発している現状を放置している理由にはならないでしょうね。
これは個人に対する対策とは別に検討されるべきことです。
少なくともWinnyは自分が送信する(している)ものの実態が何であるかを把握できない、すなわち各自での管理が出来ないように設計されたソフトウェアです。
P2P全体を二輪車に設定したら、Winnyは「大型スクーター」相当ってところですかねえ。
たけださんも事後対策だけで考えているわけじゃなくて、(おいらも読みそこねていたけど)実際にはたぶん「今、漏れてる情報による二次被害(セカンドレイプ)を防ぐ」ってことで、アプローチするポイントは違うけど事後対策ではなさそうです。
二次被害を防ぐために、とりあえず緊急対策としてネットワークを止めさせるか、あるいはネットワークに情報が漏洩しないよう対策することで今後の被害を食い止めるか。着眼点が違うだけで言い分は大差なさそうです。
ただ、ウイルス対策と比較するなら、「ウイルスが蔓延しているインターネットを停止させよう」という案に匹敵するので、むしろWinnyにDRM対応させるとか、コンテンツマネジメントができるようにしたほうがいいように思います。
Winnyが提示したモデルは、潰すには勿体無いですよ。
巷で起きている事件etc
winny使わなければいいことですよね。
すべて。
winny+ウイルスが原因とわかっていることだし’使わない’ この一言に尽きるとおもうんですが。
そもそも情報を外に出しちゃいけない所
(個人も企業も国も)
で使うこと自体が問題。
ソフト側の不具合だとしても、責任は使用者にあるはずですね。winnyの場合。
ウイルスに対して知識のなさも問題だと。
いくら 一般に 広がっているからとはいえ、(インターネットという世界が。)
キケンに対する処置を知らない 状態を
使えなくする=問題の解決
と、するならばどんなに規制を引いても結局は同じだと。
ちょっと読んで思ったことを書いてみました。
勘違いしてるかもしれません。
ただニュース等で見るたびにこう思います。
失礼します。
情報流失の観点から行けば、ネットワークだけではなく
USBメモリ等のデバイスやノートパソコンなど移動できるものも
含まれてきます。
んで、それを保護する責務はISPではなく該当の情報を管理する会社に責務があると思うんですよ。
タミさんが自宅で仕事は出来ないとおっしゃっていますが
会社側からしてみると管理外である自宅PCに持ち込まれた時点で
結構問題だと思ったりするんです。
Winny等のP2Pこれこれではなく、電子ファイル等の資産を
会社としてどう管理するかが課題ではないのでしょうか。
大手企業のレベルでは、HDD暗号化やUSBデバイス接続制限、
SMS、JP1等のデスクトップ管理などの導入が進んでいます。
WinnyやShareなどのP2Pトラフィックを制限するのは
また違った観点だと思うんですがいかがでしょう
なぜ他社の情報管理対策に自社の資金を投入しなくてはいけないのか
ISPとしては微妙な気がするんですがどうでしょう?
国が法制で規制かければしかたありませんが
まともな管理もやってない会社の責任を追及せずに
税金使われるのってなんか嫌じゃありません?
ISPがソリューションとして企業に提供するのなら
異論はないのですが。
皆さん自己責任っていう方が多いのですが、例えばどれだけ気をつけていても、皆さんが漏洩して欲しくない情報って第三者からも漏洩することがあり得ますよね。
自分がサービスを受けているプロバイダから自分の情報が漏れることもありますし、その他契約先、友人など思いもしないところから情報が漏れることがある。また納税者や国民として漏らして欲しくない行政やら安全に関わる情報って漏らされても結局市民が被害を受けるだけということにならないでしょうか?
必ずしも「漏らしている人(対策する人)=被害者」ではないという点をどうすかを考えなければならないと思うのです。
もちろんそこは損害賠償でというのは一つのアプローチではありますが。取り返しのつかないことが起こってからでは遅いのですよね。
ISP 側で制御、理想的ですね。
DoS 攻撃も一番効果的な対処は送信元が詐称されたパケットは送出しない、と ISP 側が出来ればいいんですよね。
けれどこれには2つの問題があります。
・電気通信事業法にある「事前検閲の禁止」
ISP であればわかると思いますが、NTT局社内に機器を設置する際「帯域制限装置」と名称を付けると許可がおりません。対処するなら一番根元でやるのが効果的ですがそれが禁止された場合、自社でやることになりますが果たしてこれが合法なのかを考慮する必要がありますね。殆どの ISP は絞っているだけで塞いではいないと思いますよ。
・機器の価格
中規模用のロードバランサーの価格だけでも(客先に)驚かれるのに ISP の帯域に耐えられるだけのものとなると軽く8桁になりますよね。国が配ってくれるならいいんですが義務付けられたら廃業するところ続出でしょう。国が配るとなったら機器欲しさに ISP 事業立ち上げるところも出てくるでしょうね。僕も立ち上げます(笑)。
他にも ISP は通常、多重化(BGP,OSPFなど)しているのでその末端全部に付けないといけないとか、障害が起こった際の問題の切り分けの難しさ、など色々考えられます。
>「(ISP側での対処は)決して難しいことではないだろう。」
この部分について今後更なる考察が行われる事を期待しています。
初めてコメントします。
ISPがそういった対応をすることによって、ISPを非難する材料を作ることにはなりえませんか?
「Winny使ってたら情報漏えいしちゃったよ、どうしてくれんだ>プロバイダ」という流れができてしまうんじゃないかと。
ISPがWinnyに特化したセキュリティサービスを提供するというのであれば、そのサービスを受けている人から申告が出た場合は対応しなければいけないと思うのですが、そういうわけではないので、あまり積極的にISPが取り組むとは思えないのですが。
社会貢献としてWinny対策を実施してくれるISPが増えてくれれば良いなぁというのは理解できます。
ただ、メリットを考え自宅で仕事するのは、就業規則的に問題がなければ良いと思いますが、それによって発生するデメリットは自分で受け止めるべきだと思いますし、ウィルスの問題はISPではなくエンドユーザレベルでなんとかする代物だと思います。
今日も、宮城県の小学校から児童の情報が流出するという事故が報じられたようです。自己責任でという場合、漏洩された児童やその保護者はこの漏洩を防ぐために何をすればよかったのでしょうか。
自分の身の回りの全ての関係者に都度Winnyの危険性をそれぞれの人が説いてまわるのがベストの答えでしょうか。また漏れてしまった情報はどう収束させれば良いでしょうか。損害賠償だけでは解決できない問題もあるのではと思います。
■児童700人分の情報ネットに流出 宮城、教員のPC(朝日新聞, 2/28)
http://www.asahi.com/national/update/0228/TKY200602280166.html
まだ、コメント入れていいでしょうか、、なんか、一つの掲示板みたいになってきてますが・・
私はセキュリティ推進の立場で企業のセキュリティ対策を進めてきましたが、媒体制御ソフトやメールの添付監視ソフトを入れても、事故はなくなりません。仕事まじめなのか、自宅で仕事をしてしまいます。企業で自宅PCの制御は労組や利益供与面でなかなか進みません。子供がwinnyやっていたというケースもあります。
半年で数十件の流出発見対処をしてきましたが、流出元のメンタルフォローも大変です。家族や友人を巻き込んで一生びくびくしながら生きていくことになります。
自殺者が出ない事を願うばかりです。
雑誌を通したUP0版の配布、無料セキュリティ対策ソフトの配布といった従来の対策だけでなく、偽装ファイルによるWINNY麻痺、流出に対する事後対策としての偽装ファイルによる撹乱、といった緊急暫定対処をやりつつ、官民連携本格対処、WINNY改造?、マスコミを通した啓蒙活動をやれればと思います。
はじめまして。
ちょっとコメントを読んでいてだんだんずれてきているような気がするのですが。。。。
結果としての情報漏洩を出口で対応する話をされているように見えますが、本来はPC管理の問題と管理ポリシの範囲外に情報を持ち出す問題の2つの話ですよね。
会社所有だったり、役所所有のPCにWinnyなんか入れてファイル共有する、なんってのは言語道断ですし、やっぱり、ここで論ずるべきは多々行われている「管理されている情報を管理できていないところへ持ち出す/コピーする」って行為の問題なのではないでしょうか。
Winny を ISP が止めるかどうかは単にその ISP のトラフィックデザインの問題っていうとかっこいいですが、経営資源の活用の問題であって、セキュリティに絡めて議論すべきことではないような気がします。
トラフィックについては案の定、IIJ は今度は GAO のトラフィックに噛み付き出しています。これは違法なトラフィックでもなく、情報漏洩も引き起こしていませんよ。
Antiny が問題、と言うことであれば、inline 型ウィルス対策をエンドユーザ承認の上で ISP がサービスとして展開すればいいのではないかと思います。(これは検閲にはならないですよね)
タミさん度々のコメントありがとうございます。
こういう実体験に基づく話は説得力がありますね。それにしても数十件というのは半端ではないようですが・・・。
lunatic_sparcさん
「管理されている情報を管理できていないところへ持ち出す/コピーする」って行為の問題であるというの当然として、それ以外にどのようなアプローチがとれるかということがこのエントリーの主題だと思います。例えば入り口と出口の両方で確認できればより安全ですよね。
Antinnyに対して有効な「inline 型ウィルス対策」のISPでの実現方法について具体的なアイデアをお聞かせいただければ幸いです。
一つの案ですが、ウイルス削除ソフトをウイルスみたいにP2Pで配布してしまうのはどうでしょうか?
意図せずクリックさせるところはウイルスと同様ですが金玉系(Antinny系)のウイルスを削除するという感じです。
法的にはグレーかも知れませんが。(^^;
C3POさんご提案ありがとうございます。
そうですね。このような方法も含め何ができて何ができないかなど考えてみたいと思います。
ちょっと待て!
「欠陥があるソフトが運用されている」のではなく、警察が触るなと言っているからバグフィックスできないだけでこれは警察の責任では?
トラフィックだけを見て制限しろというのは一時凌ぎでは?
そもそも、企業のPCにWinnyが必要か?
逆に、個人のPCなら何故個人PCにそんな重要なデータがあるのか?
論点を履き違えているような気がする。
Anonymous さんコメントどうもありがとうございます。もちろんあるべき論はあるべき論として現実の毎日のように重要な情報が漏洩する現実、すでに漏洩してしまった情報をどうするかという議論も同時平行で進めていく必要があると思いますが、いかがでしょう?
目の前の問題は放っておいてのんびり皆さんが自省するのを待ちますか?
こちらのブログは不慣れなもので再投稿。
まぁ重複になるならお手数ですが削除して下さい。
もしかして禁止ワードで弾かれた?
————————————————–
さてぷららユーザーである私は
http://mpw2.plala.or.jp/freenote/arc/d/datavw/346_dfukpo_ALL.html
という投稿をしてみました。
最近のぷららはWinMXやWinny規制に関して告知が消極的になっている様に感じるからというのが理由ですが稚拙な投稿の為、板違いの指摘も受けました。
現時点のぷららユーザーからは「WinnyのP2P規制」や「ネットバリアベーック」でトバッチリを受けるのが嫌な初心者が多く、セキュリティなど実際に被害に遭わなければ考える事もしない方が相対的にも絶対的にも増加している様に感じます。
そしてセキュリティなんかの話題はウザイ。
ISPでの規制に関して実際問題、どんな法的な根拠で実行させるのですか?
情報漏洩で?
数%に満たないWinny使用者の為に完全な規制を実施するとしても、誤認識で使用者とされて回線切断される可能性があるなら他のISPに乗り換えると思います。
そんなリスクがあるのにプロバイダが法的根拠なしに早期実現できますか。
実際にぷららでの投稿でネットゲームが出来ないとかメッセンジャーが動作しないと言うのがあります。
但し、使用回線や該当するゲームなど聞くと沈黙するものが多いです。
個人的には環境を明示しないこの手の投稿はP2P使用者の憂さ晴らしとみています。
それでも閲覧は可能な掲示板ですから打撃は少なからずある筈です。
そして言いたいのは、セキュリティに関わる研究者の方々に関しては何故具体的な対処などを示さないのだろう?
例えば「Winny」に限定すればローカルドライブをwinny.exeをキーワードに検索すれば簡単に存在するか分かる筈です。
研究機関の人間が一言書くだけで随分違ってくるのではないでしょうか?
どこの馬の骨か分からない私が書くよりは影響力が圧倒的に大きいと思いますがね。
「Winny」自体が山田オルタウイルスが話題になり、企業向けバスターが「Winny」検出機能がついたと発表されたので「Winny」の実行ファイルはスパイウエアの様に特殊な隠蔽をするのかと思い不本意ながら「Winny」をダウンロードしてみて初めて知りました。
基本的にはwinny.exe winny.iniがあれば動作するんですね。
まぁリネームして動作出来るかもしれないけど、それなら親とか管理者が簡便にチェックできるツールの配布もセキュリティ機関・研究者の責任の範疇と思います。
ちょっと大きな書店に行くと「Winny」などのP2Pの解説本が非常に多いですね。
「悪用厳禁」なんて煽っているのだからマスコミの責任も非常に大きいですね。
そもそも「Winny」作者が道義的責任を感じるなら、まず配布禁止使用禁止を宣言すべきでしょうね。
新規の雑誌やNETでの配布を禁止するだけでもネット初心者は入手困難になりますから。
そうすりゃ「winny」を使うこと自体が違法行為になる筈だけどね。
私はWinnyのトラフィックを完全排除してその分快適な接続環境が確保されているようなISPがあるならば、乗り換えを検討するのに十分な魅力だと思いますね。
それがサービスとして明確に謳われているならば、違法でもないし法的根拠が必要とも思われません。
制限も中身次第で見方を変えれば魅力的なサービスになりえます。
何の事はない、ノートンの保護者機能が予め設定されているようなものです。Winnyではなく接続先制限ということであれば、既に存在するサービスでもあります。
現状無制限で提供されているサービスとは別立てあるいはオプションである必要はあるでしょうけどね。
「ウチは社長がセキュリティ・ホールだから…」
という冗談めいた実話はよく聞きますが、
弊社の場合は「監査役が…」ですのでコトは重大です。
それはともかく、脆弱性への対処に関しては、防犯と同様に、
犯人を作らせない
つまり、精神的、もしくは技術的に【弱いヒト】を犯人に【させない】
…という概念が必要なのではないでしょうか。
1.
技術がそれを補えるのであれば、可能な限り、対処療法的に適用する。
2.
技術で補いきれないものは、可能な限り、モラルや、
より正しいと思われる運用方法の策定と周知徹底でカバーする。
この2点間で、【お互いに補完し合う】ことが、
【被害】を【最小限に抑える】うえで肝要になると考えます。
皆さん貴重なコメントありがとうございます。参考にさせていただきます。
なかなかこの問題の本質を理解いただくのが難しいですね。早く研究会を開催して問題の正しい理解やあるべきアプローチを議論できればと思います。
現在企画を進めておりますのでもうしばらくお待ちしてください。
ウィルスを作成してばら撒くことは、貯水湖に毒を撒いたり、通貨を偽造するのと同じくらい重い罪があると思う。
Antinnyを作成したのは日本人または日本の事情に詳しい外国人なのではないだろうか。なぜならwinnyは日本ぐらいでしか使われていないから。犯人は特定できないのだろうか。(これもWINNYに熟知して匿名性を悪用している)
対策として一番簡単なのはPCをMACに変えればいいのでは。