武田圭史

■政府、ウィニー対策ソフトを開発へ　実用化は不透明(Asahi.com, 4/27)
http://www.asahi.com/national/update/0426/TKY200604260404.html

開発するのは、ウィンドウズなどの基本ソフト（ＯＳ）に近い性質を持ったバーチャルマシン（ＶＭ）と呼ばれるソフト。パソコン内部のデータ全体の動きや、外部とのデータのやりとりを監視する。異常な動きを察知すると、ウィニーなどの問題ソフトを自動停止させる。政府は「新種のウイルスにも柔軟に対応できる」としている。

つまり政府が「安全にウィニーを使用するためのソフト（ＶＭ）」を開発するという認識で良いのだろうか？

何を「異常」と定義しそれをユーザがどう指定するかというところがポイントになりそうだ。通常のファイル共有操作とウィルスによるファイル共有操作をどう定義するのか、またこの文面からは意図的な放流と再放流についての対策は考慮されていないようなので、根本的な対策にはなり得ないような気がする。

そもそも設定が必要となるのであれば、市販されているシステムコール監視やデバイス監視による情報漏洩対策ツールを改変すれば同様の機能を実現することは可能であり、安全にウィニー（のようなソフト）を使用するという目的以外にＶＭを使う必要はないように思うがどうだろうか。

開発者による修正方法は公表されていませんので、回避方法は「Winny利用の中止」となります。

そろそろWinnyはやめといた方がいいと思います。

（参考情報）
■Winny Remote Buffer Overflow Vulnerability(eEye, 4/21)
http://www.eeye.com/html/research/advisories/AD20060421.html

■Winny（ウィニー）の安全上の問題箇所（脆弱性）の公表について(IPAセキュリティセンター, 4/21)
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74294680_winny.html

■Winny におけるバッファオーバーフローの脆弱性(IPAセキュリティセンター, 4/21)
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74294680_winny.html

■Winny におけるバッファオーバーフローの脆弱性(JVN#74294680)(Vendor Status Notes JP, 4/21)
http://jvn.jp/jp/JVN%2374294680/index.html

Winnyに次いで国内でメジャーになりつつある匿名P2Pファイル共有ソフトShareネットワークにローカルディスク内の情報を放流する新しいタイプのウィルスが出現している模様。ウィルスベンダーの対応の遅れにより被害を拡大中か。

もはや従来のWinnyだけではなくShareを含めたあらゆる匿名P2Pファイル共有ソフトの使用について再度注意喚起を行う必要がありそうだ。

　「匿名P2Pネットワークにおける情報漏洩対策を考える」をテーマに５月１５日（秋葉原）と１７日（神戸）にカーネギーメロン大学日本校オープンカンファレンスを開催します。今回はWinny情報漏洩対策の最前線でご活躍中のeEye Digital Security 鵜飼裕司さんとネットエージェントの杉浦隆幸さんをゲストスピーカーにお招きし、Winnyネットワークの検出や監視技術の詳細についてご講演いただきます。また、その後フリーディスカッションや交流の時間も持ちたいと考えています。今回は会場費等必要経費の一部とするために参加費をいただくことになりました。ご理解ご協力をお願いいたします。
　参加申し込みは下記ウェブサイトにて受け付けております。席に限りがありますので早めにお申し込みください。

■開催概要
カーネギーメロン大学日本校オープンカンファレンス
－ 匿名P2Pネットワークにおける情報漏洩対策を考える －

[参加申込]
http://cmuj.jp/cmuj_oc/index.html

講演１「匿名P2Pネットワークでの情報漏洩事故と今後の対応」
武田圭史（カーネギーメロン大学日本校）

講演２「Winnyネットワーク可視化システムと情報漏洩対応策スキーム」
鵜飼裕司氏（eEye Digital Security）

講演３「Winnyネットワークへの情報漏洩の伝播と、漏洩後の対策」
杉浦隆幸氏（ネットエージェント）

BoF（フリーディスカッション）

（東京会場）
日　時　２００６年５月１５日(月)　１３:３０～１８：００
会　場　秋葉原コンベンションホール（JR秋葉原駅徒歩1分）
参加費　一般 5,000円学生 2,500円

（神戸会場）
日　時　２００６年５月１７日(水)　１３:３０～１８：００
会　場　カーネギーメロン大学日本校（JR神戸駅徒歩5分）
参加費　一般 2,000円学生 1,000円

現在の匿名Ｐ２Ｐファイル共有ソフトを介した情報漏えいが続くとなると、我々の生き方も時代に合わせたものに変えていかざるを得ない。現在あらゆる情報が匿名Ｐ２Ｐファイル共有ソフト上に漏洩される危険をはらんでいる。自己に関する情報で他人が持っているものはどれだけ自分が気をつけても守ることはできない。またどれだけ各自が情報漏えい対策をとったところで限界はあり、意図的な情報漏えいを防止することはできない。

最近の漏洩事故事例が示すように学校の成績、年収、犯罪被害歴、購入履歴、宗教などおよそ個人に関して最もセンシティブな情報が本人に何の落ち度がなかったとしても突如として世界中の誰でもがダウンロードできる状態となる。またそういった情報は、いつまでも消えることなく、一生引きずって生きていかなければならなくなる。一度の失敗や不注意で自分に不利な情報を生み出してしまうと、（たとえ漏洩しなかったとしても）その情報がその人の一生を左右し、失敗が許されない世界となるだろう。

少し前まで人類は匿名Ｐ２Ｐファイル共有のない社会に生きてきたが、今後も匿名Ｐ２Ｐファイル共有ソフトが利用され続けるとすると、自分や周囲の人を守るためには生き方や生活の仕方を変える必要がある。もはや中途半端な隠し事は通用しない。全ての情報は公開されるという前提で生きていかなければならない。その一方で秘密にしなければならない情報は徹底的に保護することになるだろう。もはや他人を信用して気軽にアンケートや各種フォームを埋めることはできないし、自分に関する情報が電子化されることについては特に神経質にならざるを得ない。企業や官庁等組織の情報については公開不可能な全ての情報について全アクセスを監視し情報の持ち出しについても完全な管理が必要となるだろう。自分の情報を電子化されない権利のようなものも保証する必要があるのではないだろうか？

これではかなり窮屈な世の中になってしまう。また経済効率からいっても無駄が多くなるのではないかと思う。電子化された情報はいつ漏洩されるかわからないので情報は全て紙で管理しようという時代に逆行する動きも出てくるかもしれない。

一方現状においては、漏洩事故の本当の被害者（漏らされた情報の本人）については十分な補償を受けることもなく、結果的には泣き寝入りとなるケースが多いのではないかと思われる。

情報発信者の特定を防ぐ匿名技術が一般市民の匿名性を奪う結果になるとは皮肉なものだ。社会全体がここまで犠牲を払ってでも匿名Ｐ２Ｐファイル共有というものを、受け入れていく必要があるのだろうか。

（もし上記が理解できなければ、ぜひ一度様々な漏洩事故の被害者の気持ちになって考えてみてください。）

注）本文中「匿名Ｐ２Ｐファイル共有ソフト」は「流通情報の管理不可能な匿名P2P技術のうち情報が消失しにくいもの」という意味で使用しています。

Winnyと他のファイル共有ネットワークは実質的に接続されており、Winny上に流出した情報は他のファイル共有ネットワークへも流出しているようだ。特にニュース等にとりあげられ話題性の高い情報ほど早く流出する傾向があると思われる。

現時点におけるWinnyの規制は新たな被害の発生防止という点において一定の効果が期待されるものの、被害者の救済という観点からは匿名ファイル共有ネットワークが現在の仕様で利用されつづける限りファイルの消去には大変なコストと労力がかかることになるだろう。今後、開発者による対策機能の実装、漏洩情報が流出しつづける匿名P2Pファイル共有ソフトウェア使用に対するプロバイダによる規制や法的規制、民事訴訟による抑止等さらに踏み込んだ対策の検討が必要と思われる。

様々なコメントをいただきありがとうございました。コメントでいくつか質問や問題提起がありましたので、新たなエントリーという形で個人的な考えを書いてみます。もちろんまだまだ不十分な内容でもありますのでご意見をいただければと思います。

なお「とにかくWinnyの規制には反対！」という方は「ISPによるWinny規制が良くない理由をちゃんと考えよう」というエントリーがありますのでそちらにコメントをお願いします。（こちらのエントリーへ同種コメントがあった場合削除することがあります。またコメントを書く前に一度過去のエントリーのコメント欄を良くご確認ください。既出のコメント内容等については削除する場合があります。）

[注意]あくまで重要情報の漏洩・拡散の防止の観点で書いています。著作権保護等に関する議論は対象外です。[注意]

■以前からP2Pネットワークへの情報漏洩の問題があったにも関わらず有効な対応策が取られていない理由

おそらく組織や団体の管理者やセキュリティ担当者の多くがWinnyを使用しておらず、また漏洩情報の実情に接する機会も少なかったために事態の重大さに気づくのが遅れたのではないでしょうか？昨年後半から官庁等からの漏洩事故発表が増加し広く問題が認知されるようになったのではないかと思います。私自身も事故の存在は知りつつも昨年後半までセキュリティの課題としてそれほど大きく考えていませんでした。当時の認識のイメージとしては現在の山田オルタナティブのような状態でしょうか。

■Winnyを規制しても結局いたちごっこになるのでは？

「いたちごっこ」でも良いのではないかと思います。情報セキュリティ分野において「いたちごっこ」は最も効率的なアプローチの一つだと思います。ウィルス対策ソフト、修正パッチの適用等セキュリティ対策の多くは「いたちごっこ」です。かつて情報セキュリティ対策自体が「いたちごっこ」だから行っても無駄ということを言われていた時期がありました。ある対策が有効であれば「いたちごっこ」であれなんであれ対策を行うべきでしょう。１００％の安全を求めるあまりに目の前のリスクを見逃してはいけないと思います。

Winny上に情報漏えいをしてしまった多くの企業団体はセキュリティ対策を怠っていたのでしょうか？全てではないにせよ多くの企業は多額の対策費用を投じて自社のネットワークを保護していたはずです。それらの投資の大半は、ハイスキルな侵入者を想定した高度なセキュリティ機器やサービスなどに使われていたと思われます。周囲で発生しているWinnyからの情報漏えいというリスクを認識できずに、当時考えられていた本質的なセキュリティ対策を優先してきた結果ではないでしょうか？「いたちごっこ」を恐れるあまりに脅威とリスクの変化に対応できていなかったともいえるでしょう。

またWinnyのない世界で同様のリスクが本当に発生するのかという点を見極めなければなりません。Winnyと同種の他のソフトウェアの違いは、ウィルスが原因の一つであるにしろ実際に多大な被害が発生しているということです。また、被害の程度についてもいまだに過去の漏洩事故のデータがダウンロードできる状態にあるなどWinny以外で発生している漏洩事故とも性質が大きく異なります。一つの仮説としてWinnyのプログラムはこの手の漏洩を引き起こす攻撃に対し比較的脆弱だったということが考えられます。国内外の同種の他のソフトで現在Winny上で発生しているような問題がそれほど発生していないのは、Winnyは漏洩事故を起こしやすい仕様または実装だったことも原因の一つではないでしょうか。もちろん技術的には任意ファイルの実行によりあらゆる操作が可能ですが、Upフォルダやその内容の設定を煩雑にすることにより攻撃の手間を増やすなどしてウィルス製作者に対する障壁を高くするなどの対策は可能と思われます。このような対策により現在発生しているような情報漏えいの発生確率をいくらか低くできる可能性があります。今後、更なる検証が必要ですが、なぜWinnyでこれだけ多くの事故が発生し、なぜ他のプログラムでは少ないのか。なぜ海外で同種の事故が発生していないのかなどについてもう少し掘り下げる必要があるように思います。

■恒常的な対策はどうするのか？

散々あちこちで書かれている組織・個人のセキュリティ対策を確実にする。情報の持ち出し管理を徹底する。不用意なクリックを防止する。十分な注意喚起を行う。ウィルス対策ソフトを使用し更新する。Winnyを使うマシンで重要ファイルを扱わない・・・等等は当然として、ここではWinny上での情報漏えいは他の一般的な情報漏えい事故とは大きく性質が異なるという観点でその対策を記述します。

恒常的な対策として、実際に問題が起こったプログラムの使用を規制しつづけるというのはアリかと思います。Shareにユーザが移行したとして問題が起こればShareを規制するということを続けます。これによりプログラム開発者に同種の問題を引き起こさなくするような安全なプログラムを開発する動機付けになるかと思います。

現在想定されている匿名P2Pファイル共有の仕様では作為的であれ事故であれ他人の人権を侵害するような悪質なファイルが漏洩してしまうとその回収が困難で拡散を続けます。情報セキュリティの観点からは、こういったネットワークの存在自体が大きな脅威となります。つまり匿名ファイル共有という仕様が脅威でありそれを社会としてどこまで許容できるのか、すべきなのかについて、様々な観点から議論を行う必要があるように思います。

その他恒常的な対策の選択枝の一つとしては、未成年の喫煙、無免許での自動車運転、幼児ポルノなどが禁じられているのと同様に、結果的に著しく社会に害を与える危険な使い方が可能なソフトウェアについては、本来の目的がどうであれ使用条件を制限するなどの法的規制もあり得るかと思います。

もっともこういった規制は市民の自由を奪うことになるので、ある程度情報管理が可能な匿名P2Pファイル共有ソフトウェアに移行するなど、利用者、開発者のモラルによって規制に発展しないよう自制するに越したことはないかと思います。

おそらくこのような話を書くとすぐに著作権保護の話と混同されてしまうのですが、ここでは純粋に情報漏えいの防止と被害者の救済という視点で書いていますのでその点ご理解をお願いします。

[注意]あくまで重要情報の漏洩・拡散の防止の観点で書いています。著作権保護等に関する議論は対象外です。[注意]

これまでのエントリーで頻発する匿名P2Pネットワーク上への情報漏えい事故のさらなる被害の防止、すでに発生している漏洩事故の被害拡大の抑止のためには実際に事故が発生したプラットフォーム（例えばWinny）の規制もやむを得ないのでは？という考えを書いてきた。

もちろん通信の規制に関する法的、道義、社会的な問題意識もあり、それが最終的な解決策になるとは考えていない。今回規制を否定する合理的な理由を認識するという意味でもエントリーに対するコメントのひとつひとつについて真剣に考えさせていただいた。

残念ながら、今までのところISPによる規制に反対する理由として、発生している被害に対する緊急避難としての規制よりも優先すべき誰が聞いても合理的な考え方を見出すには至っていない。

規制が良くないとする意見の大部分は感情的なものと思われるが、それはそれで規制を良くないとするひとつの重要な理由として考慮しなければならないだろう。

規制しても漏洩事故はなくならない、他のプラットフォームに移行するだけといったような意見も多く見られるが、一時的あるいは少しでも現状の事故の数を減らすことができれば効果はあると言えるため、この議論をここではあらためてとりあげる必要はないと考える。

同様にWinnyというソフトウェア自体の善悪、白黒、著作権保護に関する議論についても本件の趣旨とは直結しないと思われるため、よほどの理由がない限り議論の対象からははずすべきと考えている。あくまでも被害の防止、被害者の救済とISP規制によって発生する問題点について、まずは整理する必要があるだろう。

ということで規制を行うことによる問題点に関する明確な指摘があればぜひコメントをお願いします。