Winny におけるバッファオーバーフローの脆弱性
開発者による修正方法は公表されていませんので、回避方法は「Winny利用の中止」となります。
そろそろWinnyはやめといた方がいいと思います。
(参考情報)
■Winny Remote Buffer Overflow Vulnerability(eEye, 4/21)
http://www.eeye.com/html/research/advisories/AD20060421.html
■Winny(ウィニー)の安全上の問題箇所(脆弱性)の公表について(IPAセキュリティセンター, 4/21)
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74294680_winny.html
■Winny におけるバッファオーバーフローの脆弱性(IPAセキュリティセンター, 4/21)
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74294680_winny.html
■Winny におけるバッファオーバーフローの脆弱性(JVN#74294680)(Vendor Status Notes JP, 4/21)
http://jvn.jp/jp/JVN%2374294680/index.html
カテゴリー: 情報セキュリティ
つまりantinnyに感染しなくても、winnyが動作しているとリモートで操作される可能性があるということですよね。ここまでやってくれると逆にみんな使わなくなるから問題が早く収束するかも。。。。テレビ、ネット、新聞で繰り返し告知してほしい。winnyも修正しないで放置したままにしておいたほうがいいかも。。。それでも流出データが見たい人は自己責任でというところでしょうか。
Winnyサヨナラ
Winnyにおけるバッファオーバーフローの脆弱性
http://motivate.jp/archives/2006/04/_winny.html
開…
Winnyにバッファオーバーフローの脆弱性
情報処理推進機構が、「Winny」にバッファオーバーフローの脆弱性が存在すると警
Winnyに脆弱性だそうです
私は基本的にWinny自体が悪だとは思っていません。政府の言うようにWinnyの使用を中止することが根本的な漏洩対策だとは思っていないのが本音です。(最近では…
今回の件大多数のユーザがWinny使用をやめるキッカケには成りえないかと思われます。
鵜飼氏が件のバッファオーバーフローの詳細な実証コードをリークでもしない限りは。
もしリークされて被害の報告が多数出るという最悪の結果を経ても効果が薄いかもしれません。
現にもっと単純な原因による個人情報の流出という最悪の結果を目にしてもWinnyの使用は止まっていませんから。
結局はWinnyの使用によるリスクがひとつ増えただけという認識で終わり忘れ去られるでしょう。
#実際の被害が出るという事態になった際に本業のセキュリティベンダが対策のFWシグネチャ等を出さずに
#「解決法はWinnyの利用中止」などと無様な無能ぶりを晒すのかどうかというのも見ものではあります。
確かに金子氏はセキュリティホールは考えにくいといっています。一方、ITProSecurityの4/22の記事では米eEye Digital Security社のセキュリティホール発見者の記事が載っています。いずれにしても「winny利用中止」を喚起することは悪いことではないと思います。これ以上の被害の拡大を防ぐにはみんながwinnyを使用しなくなること以上の解決策はないのですから。
Winny問題を【複雑】にしているのは、
Winnyネットワークに自らの機密情報が【漏洩しているかどうか】を
【確認する手段】が、【Winnyを導入する事でしかない】
という点にあると考えます。
> 今回の件大多数のユーザがWinny使用をやめるキッカケには成りえないかと思われます。
こう言う時こそマスコミの出番でしょう。
今までは「Winnyを使ってるユーザのうち、ダウンロードした変なプログラムを
実行しちゃうようなバカ」が漏洩を起こしてたわけですが、これからは
「注意深くWinnyを使ってるユーザ」でも漏洩を起こす可能性があるわけです。
今でもWinny使ってる殆どのユーザは、自分は注意深く使ってるから大丈夫だと
思ってるでしょうから、それでも危ないぞってマスコミが煽れば大体の人間は
やめそうなもんですが。
>今回の件大多数のユーザがWinny使用をやめるキッカケには成りえないかと思われます。
これまでWinny使用を煽ってきた「自称識者」の活動が多少なりとも収まるだけでも効果はあるかと。
セキュリティホールメモの続報記事より
http://www.st.ryukoku.ac.jp/~kjm/security/memo/?12031139
>eEye は任意コードの実行が可能であることを確認してるんじゃん!! しかも can be exploited easily だそうですよ
この体たらくですから、金子氏信者も少し頭を冷やしてほしいところ。
ただ、これで「Share移行」を煽るような愚かな行為は止めて欲しいですね。同じことの繰り返しになる可能性大ですから。
国家レベルの機密が漏れている以上、同じ問題が起こるとなれば同種のソフトウェアを丸ごと禁じる悪法が出来てしまうことにもつながりかねません。
個人的にはGyaOなどの無料ブロードバンドコンテンツが受け皿として発展することを願っています。Winnyのヘビーユーザの不埒な欲望を満たすには力不足ですが、安全性も同時に求める大半のユーザにとってはぴったりのコンテンツではないかと。
週刊誌は相変わらず、winny流出情報を載せてwinny使用を煽っているようだ。ネタ元はいつも同じネットに詳しいライターさんのようだ。winnyの脆弱性が明らかになったので欠陥ソフトを配布している個人、団体は摘発してもよいのではないか。雑誌の付録につけて販売している出版社には雑誌の回収命令を出し、ダウンロードサイトを立ち上げている個人にはサイトの閉鎖を命令する。たとえば自殺サイトを立ち上げている個人やスパムメール配布サイトを立ち上げている法人にはサイトの閉鎖命令がだせるのと同じ理屈が成り立つように思う。
具体的な方法が明かされていないからなんとも言えないのですが
・実際に実行できる任意のコードが危険なものであるか
・実際に危険なコードがWinnyを利用しているユーザに来るかどうか
で、ユーザにもよると思いますが、WinnyのユーザがWinnyの使用をやめる/別のソフトに乗り換えるには、Winnyに利用価値がなくなる必要があるかと。
他のソフトよりWinnyが便利で、Winny上にユーザの求めるファイルがある限りは、Winnyをやめるという決断に繋がりにくいかもしれない。
>自己責任でというところでしょうか
最初から全て自己責任の問題ですね >touchstoneさん
発言撤回します。winnyに関しては自己責任の範囲を超えて、他人・社会にも迷惑かけている。防衛庁・警察や皇室の情報まで漏れてしまい、本来秘密であるべきことまで不特定多数にアクセス可能になってしまっている。しかもいったん漏洩してしまうとだれにも制御できない。バッファオーバーフローの可能性もある脆弱性のあるソフトウェアだ。したがって「winnyは使用してはいけない」が結論。(自己責任だからといっても消費者金融がTVCMをバンバン流して無知な人にお金を貸して、借りた人が悪いとは言い切れないのと一緒。社会問題になってしまうと自己責任だからいいじゃないか、といえなくなってくる。)
こういう時こそ、公共広告機構「AC」の出番じゃなかろうか
と思ったりするわけです。
にしても、「AC」のサイトにはメアド無しだし。
賛助会員募集のページに事務局のFAX番号が記載されてるので
そこに依頼するといいかもしれません。
激しく横道にそれますが、消費者金融の例の場合、「借りるのが悪い」のではなくて「借りたのに返さないのは悪い」で、問題となったのは「取立ての仕方が悪い」じゃないですかね?
Winnyの場合、「Winnyを使わない方が良い」はセキュリティという観点上、現時点では真であるとは思いますが、「Winnyを使ってはいけない」は真ではない。で、その使用の過程で発生した問題は、基本的に自己責任で解決するべきだと思います。
ただし、Winnyの場合は自己責任で解決できないことが発生しがちであるというのは事実であり、それに対して法律的に調整が必要というのが先のエントリーのコメントでいろいろとやりとりされていた話。
その上で「Winnyは使ってはいけない」という結論になるかと。
>blacklightさん
>同種のソフトウェアを丸ごと禁じる悪法
私はそれもありかなと思います
少なくともwinnyやshareのような管理不可能かつ自動拡散機能つきで、匿名性の高い物については。線引きが難しいって言うのもあるんでしょうけど、脆弱性の有無にかかわらず、この種のソフトウェアが構築するネットワーク自体が危険すぎるように思います
著作権の問題も無視されるべきではありませんし、この種のソフトウェアにおける匿名性は著作権侵害行為がしやすくなるだけでなく、意図的な、流出情報の2次放流や情報流出に見せかけての人権侵害行為なども助長してしまいます
フランス下院で可決されたようなデジタル著作権法案を日本でもやってしまえればいいんですが、日本のユーザーはおそらくフランスのそれよりもはるかにヘビーな使い方をしていると思われ、楽しみを奪われたユーザーが既存の流出情報をばら撒いたり、今までピックアップされていなかった流出者を匿名掲示板で祭り上げたりなど過激な行為に転じる恐れもあります
実現は難しいんでしょうが、流出情報の2次公開やダウンロードなど(できれば所持も:奈良の児ポ条例のように)を法律で禁止できるようにした上で、上記のフランスのように(これは厳しすぎる気もしますが)著作権法を見直していくのが、一番きれいに収まる方法だと思います
無い頭で一生懸命考えました。ここの趣旨と違うようなら削除してください。駄文失礼しました
誰も指摘してないっぽいけど・・・
ハック版のWinny2pは対応済みだったりする件。
あと、同種のソフトウェアを禁止する法をとか言ってる人々はそれによる技術開発の劇的な遅れを計算に入れているのでしょうか?
分散系のシステムが全部封印される可能性をはらんじゃうんですが。
>あと、同種のソフトウェアを禁止する法をとか
>言ってる人々はそれによる技術開発の劇的な
>遅れを計算に入れているのでしょうか?
多分入れてないので詳しく説明してください。
誰も理解していないと思います。
>分散系のシステムが全部封印される可能性を
>はらんじゃうんですが。
誰もそんなことは望んでいないし、単純にそうならないようにすれば良いのでは?
>らぃさん
>技術開発の劇的な遅れ
具体的にどう劇的な遅れが生じるのでしょうか?
こういった主張をされている方が、所謂擁護派には多いようですが、そこら辺を説明されていないように思います
無知な私には、(擁護派の好きな例え話をさせてもらうと)「麻薬を規制すると、この先もっと革新的ですばらしい使用法が見つかる可能性を捨てることになる。だから規制はだめだ」というレベルの話にしか思えません
現状これだけの被害が、著作権の面でも情報流出の面でも出ているのに、将来のあるか分からない発展のためにこれを放置しておくことを推奨している人が多数いることに驚くばかりです
被害の拡大を防ぐ上で、ユーザー数を減少させネットワークの縮小を行うことは有効だと思います。そこで、流出問題で焦点から外されていた著作権の問題も絡めて、著作権法の改正(それに伴う弊害も考え、法律で外堀を埋めていく形)など法律で規制していくことが、実現性を無視すれば最良の手段なんじゃないかと考えたまでです。情報流出の問題だけで対応するよりも、いたちごっこになりにくかったりして良いと思うんですが
エントリの論題とずれてしまいました。すみません
らぃさん
>ハック版のWinny2pは対応済み
こうしたことが簡単にでき、本当に安全性が確保されているのなら、裁判で弁護側が
「被告の独創性、開発能力は世界的にも驚異」
と言い切ったことは大嘘になっちゃいますね。
世界レベルで驚異的な開発能力を持つはずの開発者が存在を認めようとしなかった欠陥が、国内の一市民レベルの開発能力ですぐに見つかりそれほど時間もかからずに修正できてしまうなんておかしな話でしょう。
>それによる技術開発の劇的な遅れを計算に入れているのでしょうか?
上記のように、開発が遅れているどころか止まっているはずのソフトウェアすら別のところで開発が進んじゃっている現状があるのですから、現実とは矛盾した主張ということになりますね。
>分散系のシステムが全部封印される可能性をはらんじゃうんですが。
そのような立法のしかたをしなければ済む話ですね。
匿名P2Pを法で禁止したとて、非匿名の分散システムであるskypeやGyaOなどは問題なく使えるわけで、話を広げるにしてもちょっと無理がありすぎます。
もっともメール問題を起こしてしまうような国会議員たち・PSE問題を起こしてしまう官僚たちに任せてしまったら、まともな条文が書けずにそこまで封印されかねないという話ならわかりますけど。
だめだ。winnyのノード数は逆に増えているようです。ネットエージェント社の4/25の「winnyノード数の推移公表」の記事を参照してください。
とりあえず、匿名性に関しては町村さんところの過去ログをあさるのをお勧め。
http://matimura.cocolog-nifty.com/matimulog/
あと、あの有名人のPDFとか
http://www.nic.ad.jp/ja/materials/iw/2003/main/ipmeeting/panel-takagi.pdf
分散ファイルシステムに関してはカナリ常識に感じてたんで唖然としましたが・・・
どの変を勧めればいいやら・・・
口述すると「Localストレージの有限性に対し、分散型共有ストレージの容量の非有限性」とか、「ファイル共有の有用性」とかの話になると思いますが・・・
http://mikilab.doshisha.ac.jp/dia/research/report/2005/0702/006/report20050702006.html
とかか?
ちょこっとぐぐって見るだけでも以外に資料があるもので。
Winnyでの一番の問題は「削除の搭載」に至る前に更新が止まったことじゃないかな。
削除は分散共有では結構ややこしく(実ファイルの保持場所が複数、かつ、作成者以外の端末に実ファイルが有る)感じるんですが、トリップをつけることで作成者が特定できる以上、同じくトリップ付けの削除命令が流れればそれで済むはずなんですよね(削除リストの共有化)
おそらく、作成の工程的に考えても削除機能の搭載は後回しで作成されたのだと思う(自分が作っても削除機能はずいぶん後に作ると思う)ので、やっぱ悪は京都府警、とかって結論にたどり着いてぐるぐる。
>blacklightさん
つコロンブスの卵
開発技能と発見された穴をふさぐ技能は違うものですし。
ちなみに修正が入ったのは4/24。
あと、日本の(日本以外はしらんし)法律は基本的に拡大解釈が好きなようなので、立法趣旨が何でアレ、変な判例が出たらどうなるやら。
某所ではこんなのこともありますし。
http://d.hatena.ne.jp/okumuraosaka/20060323/1143116163
分散ファイルシステム上に違法ファイルが存在した場合、共同正犯を取られない、という確固たる保証もないのですよね。
>こうしたことが簡単にでき、本当に安全性が確保されているのなら、裁判で弁護側が
>「被告の独創性、開発能力は世界的にも驚異」
>と言い切ったことは大嘘になっちゃいますね。
実行形式になっているとはいえ、プログラムの流れをトレース・解析することは可能ですし、x86の知識とPG/SEを本業としていれば比較的難しい話ではありません。ただし非常に時間がかかりますが・・・(汗
この場合、弁護側の「世界的に驚異」というのは、発案から実装→配布に至るまでのスパンが短かったことが当てはまるのでは?
あと、前に上がっていた違法化案は異常としか言いようがない。
特定のソフトウェアを名指しで禁止するのは(意味が薄れるが)アリとして、その機能(アルゴリズム)を禁止にするとなると線引きが非常に曖昧かつ法案化後、拡大解釈される恐れがあるんじゃないかな。
トピ違いでスマンが、違法化案を言うのなら「何を違法化したいのか」を言ったほうがいいんじゃないか?
らぃさん
回答ありがとうございます。
残念ながらなぜ分散ファイルシステムの技術発展において「匿名性」や「放流ファイルの制御不可能性」が必要かという点が明確ではありません。なぜ「SkeedCast」などでは駄目なのでしょう?おそらくそういった技術を違法化すべきと考えている人は少ないかと思います。
技術の発展のために多くの人が迷惑を蒙ってもよいというのは技術者の独りよがりでしょう。学術研究用ネットワークや実験環境の中で行えばよいのでは?
科学技術の発展のために毒ガスを市中でばら撒く必要はないのと同じことだと思います。
人に迷惑がかからないのであれば自由にやれば良いと思いますが、結果として迷惑をしている人がいるのであれば、どうすれば人に迷惑をかけないで同じことができるかを考えるのが良識ある人の考えることではないでしょうか?
ポイントは
・なぜ匿名かつ放流後の制御不能である必要があるのか?
・なぜ(実験用ネットワークではなく)一般のインターネット上でそれを行う必要があるのか?
・なぜ人に迷惑をかけてもそれらを使い続ける必要があるのか?
であり、ぜひこれらについて明快な回答をいただけたらと思います。
1.匿名性の確保に関してはそのユーザーのプライバシーの保護目的です。
匿名性が確保できていなければ、そのユーザーの嗜好など、ユーザーの実生活へのダメージが発生する可能性が排除できません。
で、放流ファイルの制御ですが、削除性は負荷すべきだと思いますが、分散ファイルシステムでのファイルの保持性を考えると放流ユーザー以外による削除を排除する必要も出てくるわけで、そことの兼ね合いのために実装が後回しになっていたものと考えています。
#実際、削除は可能、とか発言してたはずですし。
2.β版の展開の形態には
1.閉じたネットワークに許可制で参加
2.無差別に参加可能
とあると思いますが、作成宣言が2chで行われた過程を見る限り、閉じたネットワークでβテストするほうが不自然だと思われます。
3.迷惑を掛けても~ですが、ぶっちゃけ、迷惑を掛けてる人は自業自得の面が大きいです。
もっといえば、トロイを踏んで、かつ、それが検出されない状況にあるPCならばbotに感染している可能性の否定は難しいと思います。
となると、Winnyは比較的関係ないと考えます。
迷惑を掛けても、と仰られるのであれば、ウィルス感染の危険のある状態でのインターネット接続全般に対して言うべきであり、Winnyを単体で取り上げるものではないと考えます。
っていうか、世の中、セキュリティーホール情報のでまくってるapachのバージョンでの運営webサイトが多々ある状態で迷惑を掛けても~という質問をWinny単体P2P技術のみに向けて言う意義がわかんないですね。
まぁ、Winny解説本でWindowsFireWallの停止を呼びかけてるのは笑わせてもらいましたが→高木さんとこの記事参照
>匿名性が確保できていなければ、そのユーザーの
>嗜好など、ユーザーの実生活へのダメージが発生
>する可能性が排除できません。
どういう利用シーンを想定しているのか教えていただけますか?
>放流ファイルの制御ですが、(中略)
>兼ね合いのために実装が後回しになっていた
>ものと考えています。
中途半端な技術を使い続けることによって実害が発生しているのは明らかなので即刻利用を中止すべきではないでしょうか?
制御機能付の他の「SkeedCast」を使った方がよっぽど良いのでは?
>作成宣言が2chで行われた過程を見る限り、
>閉じたネットワークでβテストするほうが
>不自然だと思われます。
作成宣言が2chで行われた過程とは何でしょうか?
技術開発のためであれば「作成宣言が2ch」で行われることが不自然では?また、これは一般のインターネットで実験が行うことを正当化する理由にはなり得ませんよね。
>3.迷惑を掛けても~ですが、ぶっちゃけ、
>迷惑を掛けてる人は自業自得の面が大きいです。
迷惑を受ける人は全国民です。漏洩してしまった人は過失による加害者といえるでしょう。恩恵を受けているのは一部のWinnyユーザです。バランスが悪いと思いませんか?
性犯罪被害者の情報が警察官の自宅から漏洩したとして、その性犯罪被害者に対して自業自得と言えますか?
今後あなたや家族のセンシティブな情報が市役所や企業から漏洩したとして、それは自業自得ということでしょうか?(Winnyの利用を支持している点で自業自得ですが。)
漏洩した原発の内部情報が攻撃に利用され放射能におかされた個人も自業自得といえるのでしょうか?
Winnyの恩恵を受けていない一般の人にとって自分の情報が第三者から漏洩され犯罪に巻き込まれたり、衆人の目に好奇の目にさらされたり、テロやハイジャックなどのリスクが増加するというのは自業自得でもないし迷惑以外のなにものでもないかと思います。
官公庁の漏洩した情報の後始末は我々の支払う税金で賄われるということも認識しておく必要があるでしょう。
またそういったリスクの存在のために社会全般を通じて電子データの活用が制約されるデメリットも小さくないと思われます。
「被害者は漏洩者ではないこと」「Winnyネットワークへの情報漏洩が他の情報漏洩とは性質が異なること」ということは再三書いていますがご理解いただけないでしょうか?
とりあえず、SkeedCastに関して。
なんか勘違いされているようですが、SkeedCastは分散型WEBサーバーシステム、といった方がいいものです。
業者側で指定したファイルを複数のサーバーに保管し、ユーザーがブラウザを会したシステムでアクセスしたときに複数のサーバーからファイルを取得する、というシステムで、P2Pシステムの部分は業者←→サーバー間であり、実際のユーザーにはP2Pのシステムとは関係のないブラウジングと同じモノです。
#この辺はWinny=P2Pとかって思ってる人には理解不能でしょうけど。
あとはちょっと待ってください・・・
>匿名の利用シーン
P2Pに限ったものではありませんが、すべてにおいて、です。
インターネットを使用するに置いて、ユーザーの動きをトレースするようなことを可能にすることは排除しなければなりません。
#企業サーバーを除く
>中途半端な~
だから、β版ソフトだってば。
β版ソフトの利用はユーザーに一任、でしょう?
また、すでに公式の配布サイトは消滅していることから、(現在使用している人間を糾弾するのに使用を中止すべき、というのは同意ですが)それは製作者は関係の無いことですし、どーしろと。
制御機能付きソフト、があるのならそっちのがいいでしょうね。
削除機能と淘汰機能はほしいところ。
2chを勘違いされてませんか?
あそこでは(板によりますが)常に新しい技術議論がありますし、新しい発想のソフト開発案もよく出てますよ?
インターネットを実験で使うことを正当化できないのであれば、そちらで全βネットワークソフトの使用の中断を訴えてくださいな。
β版でのMMOなんかも中止すべきですよね?
#要するにβで外に出すことは一般的なんですが。内部試作はαですし。
>迷惑云々
まず、視点が違いますね。
私の視点ではWinny関係なく、漏洩や流出は起こってます。
ぶっちゃけ、InternetにつながったPCを使っている以上、漏洩の危険性はあるのに、ウィルス対策はしていない、WindowsUpdateはしていない、MicroSoftの月例パッチ情報も見ていない、ではお話になりませんわ。
また、漏洩リストに載っていた人の迷惑は、漏洩した輩に向くべきでしょう?この点は自業自得でわかってもらえるかと。
#自業自得の自=漏洩者、であってリストにのってた人ではないです。
>漏洩者は被害者ではない。
私、被害者言ってないですよ・・・
漏洩者=加害者です。
まともな知識、対策なしにネットワークにつないでる時点でアウトですから。
何度も言いますが、Winny関係無しに、トロイ踏んで漏洩するような奴はbot飼って漏洩してるはずだ。
いまどきのbotはP2P機能ぐらいもってますから。
だから、ここの議論なんかを見てると、究極的にはWindowsの使用禁止、というより、Internetの使用禁止まで行かないと解決に至らない内容だと思うんですけどね?
横槍失礼します
>インターネットを使用するに置いて~
正気で言っているんでしょうか?犯罪予告が行われたり、それこそP2P型ファイル交換ソフトウェアで著作物のアップロードによる著作権侵害が多発していますが、このようなユーザーの動きもトレースされるべきでは無いんでしょうか?例えばwinnyのようなソフトウェアを利用する際に、ユーザー登録という形で「匿名性」を失わせたとして、具体的にどのような弊害がでるんでしょうか?説明してくれませんか?
>漏洩リストに載っていた人の迷惑は~
らぃさんがしきりに主張されている「匿名性」によって、13万人分もの詳細な個人情報が流出したのにもかかわらず流出元が特定できていないんですが、この場合被害者はどこに責任を問えばいいんでしょうか?どこが保障してくれるんですかね?また、北海道では民事で訴えた被害者が負けてますね。完全に泣き寝入りです。自分の情報が流れていることを知らない人も多数いるはずですが、その方たちは保障を求めるなどもってのほかで、知らず知らずのうちに実害にあってしまいますね。それでも尚「流出させたユーザーの責任」ですか?
winnyや同様のネットワークにおける流出の特殊性については理解されていないようなので諦めますが
>究極的には~
誰も究極的に完全解決できるなんて思っていませんよ。目の前に次々と被害が発生している。その被害を最小限に食い止め、この先に同じようなことが起こらないよう(弊害もきちんと考えた上で)対策を行っていく必要があるんじゃないか という目線でここでの議論がされているんだと思っているんですが、違うんですかね?
返信内容を書いている間に随分話が進んだみたいですが、とりあえず書いた分をアップしておきます。
>開発技能と発見された穴をふさぐ技能は違うものですし。
ええと、これってどんなお笑いのネタですか?
開発者の脆弱性発見能力が問題なのではなくて、元々セキュリティに対しての開発者の関心が薄かったことが根本でしょう。
共通鍵方式を使うのに、肝心な鍵の受け渡しについての安全性がほとんど考慮されていない作りになっているなんて、基本からなっていないレベルの脆弱性もありますし。
この観点で言えば、Winnyはβ版どころか初期のα版レベルの出来ですよ。
まともな開発者なら、開発開始の第一段階からセキュリティに配慮した実装をするものですよ。実験的に試作するにしても危険とわかっているものを公開などしないでしょう。
これを公開してしまうレベルの開発者に「世界的に脅威な」なんて形容をするのは、それこそ大多数のWeb開発者を馬鹿にした話です。
さらに本来実験的なネットワークなのに多くの人を呼び込んでしまったこととで起こした二重のモラルハザードが、現在の問題を引き起こしているのです。
また、ハック版と呼ばれているものは、脆弱性の詳細が公開されていないのに、どうして「対応済み」なんて断言できるのでしょう?
対応した方は元々脆弱性を知っていたということかな?
にもかかわらず開発者は脆弱性の存在を認識していなかったと?
おかしな話ですね。なぜ「対応済み」を鵜呑みにできるのか、実に不思議です。
>実行形式になっているとはいえ、プログラムの流れをトレース・解析することは可能
そういうことではなくて、「世界的に驚異な」能力を持つ開発者が指摘されてなお重要性に気がつかなかった脆弱性が、eEyeではわずか2日で見つかり、さらに別の人が開発したパッチで直ってしまうというのは論理的に整合性が取れないのです。よっておかしいのは「」で囲った部分だろうということです。
>「何を違法化したいのか」を言ったほうがいいんじゃないか?
手法は違法化でもなんでもいいですが、まず第一に管理不能性を取り除く必要があるでしょう。次に放流者の責任を明確にするために、匿名性の緩和も必要でしょう。
>作成宣言が2chで行われた過程を見る限り、閉じたネットワークでβテストするほうが不自然
自然か不自然かなんてどうでもいい話です。
問題発生の原点ですから、こんな理由は真っ先に棄却されるだけですね。
どういうわけか、こんな感じで2chを神格化して考えている人は実に多いですね。
>迷惑を掛けてる人は自業自得の面が大きい
これも散々言われ尽くしていることですが、迷惑をかけている人は問題ではなくて、Winnyとは関係ないところで迷惑を被っている人の存在が問題なのです。
そして迷惑をかけている人を大量生産しているのはWinnyネットワーカーですから、これをピンポイントで止めるのに最も有効なのはWinnyネットワークを止めることということになります。それで困るのは加害者たるWinnyユーザしかいませんから、何の問題もないでしょう。
>セキュリティーホール情報のでまくってるapachのバージョンでの運営webサイトが多々ある
バージョンだけで他社の運営するWebサイトの脆弱性が判断できるんですか。なるほど。
バージョンを上げずにベンダーの独自パッチで対応しているWebサイトも多々あるんですけどね。そういったサイトは、磐石なのかどうかは別として、脅威に対する担保はきちんと取っています。
Winnyの無責任ユーザと一緒にしないでください。
>Winny単体P2P技術のみに向けて言う意義がわかんないですね。
これも散々言い尽くされていると思いますが、技術そのものを否定する意見なんてどこにも出てきていないですよ。話を捻じ曲げないでくださいね。
問題は技術を悪用する行為であって、社会問題を起こしている以上、スケープゴートとして取り上げられる意義は十分にあるでしょう。
>究極的には
Winnyの使用中止では済まない話ですか? >らぃさん
正気ですよ。
犯罪者を追うために、犯罪者で無いものも犠牲になれ、と仰ってるわけですが、そっちの方が私には正気ですか?と聞きたいですが?
なんか「流出させたユーザー」、の定義が食い違ってませんか?
私の言うところの「流出させたユーザー」はWinny使ってて、かつ、ウィルス食ったりして流出させたユーザー、なわけですが、こういうのも自業自得って言いませんか?
#流出元が~ですが、どっかの企業がノードをおって行けば流出元を特定できる、って強気で言ってましたが、本当ですかね。
で、被害者=情報が流出した人、であっても、Winnyは関係ないですね。
卒業文集の名簿で被害にあってる人を知ってますが、卒業文集をやめるべきだとか言いませんしね。
究極的、の位置を間違ったかな・・・
Windowsを無防備状態で使うことの危険さを誰か警告してくれんものかなー
MicroSoftが抗ウィルスソフトを標準でつければ良いのかもしれませんが、また独占禁止法関連ではじかれるんでしょうし・・・
windowsの使用禁止は究極的でもなんでもなく、情報流出を食い止めるのであれば、無防備なWindowsの使用の禁止は必要不可欠だと思いますよ?
ユーザーの意識がどこまで向上するのか、によるかもしれませんけど。
>究極的には
Winnyの使用中止では済まない話ですか? >らぃさん
>Arainさん
すまないです。
流出、という観点で語るのであれば、ですけど。
著作権法違反云々でも、まぁ、Winnyを禁止することはいたちごっこの一部でしかない、という意味では意味がありますが、長期的にみるとたいした意味をもたないですね。
Winnyのような共有システムがあたりまえになれば、著作権法の意味と意義が変化するでしょうから、意味は持ちそうですが・・・
っていうか、ファイル共有が一般的になったところでCD売上は増えてたりしますから相関関係を見直すべきなのかもしれないですね、著作権周りに関しては。
Winnyは被害が大きいから、という観点で見られてるのであれば、私はもーなんにも言うことないですね。
それは単純に、Winnyの持つ共有システムでのファイル流通が優れていたから、でしかないですから。
流出そのものを潰すのであれば、流通能力の小さなメールシステムも潰さないといけませんね。
メールシステムは現状のものは昔々に作られたものだけあって、匿名どころか騙ることすら可能ですから。
迷惑だからやめないといけませんよね?
FTPシステムもそーですよね?
ウィルスの侵入経路として利用されることもありますし、セキュリティ屋が頭を抱えるところですよね、FTPによるファイル交換システムは。
迷惑だからやめますか?
メールもFTPもぶっちゃけ、Winnyよりも迷惑な実装をしてますが、それは全然指摘されず、WinnyがP2Pがと叩くのは単に現実を知らず、粛々と影で行われているゾンビ化を知らず、安全~♪とか思ってた証拠なのかもしれませんね。
と毒も吐いておく。
続きを。
>SkeedCastは分散型WEBサーバーシステム、といった方がいいものです。
それがどうしたのかな?
武田さんの質問は「なぜSkeedCastではいけないのか」ですよ。
まったく答えになっていませんね。
>β版でのMMOなんかも中止すべきですよね?
>#要するにβで外に出すことは一般的なんですが。内部試作はαですし。
MMOのβテストはそれなりに管理されているでしょう?
SkeedCastはサーバを置いているから別だなんて言いつつMMOを持ち出すのは矛盾していますね。
それに前に書いたとおり、Winnyは肝心なところがα版レベルです。
>ぶっちゃけ、InternetにつながったPCを使っている以上、漏洩の危険性はあるのに、ウィルス対策はしていない、WindowsUpdateはしていない、MicroSoftの月例パッチ情報も見ていない、ではお話になりませんわ。
あなたの定義で話にならないからといって、その人から情報が漏れていいなんて理由にはなりませんね。
>何度も言いますが、Winny関係無しに、トロイ踏んで漏洩するような奴はbot飼って漏洩してるはずだ。
漏洩先が違いますから、Winnyによる漏洩と同列に扱うことは出来ません。
botの漏洩先である経済犯は、カード番号等自分の利益になるもの以外の個人情報なんて気にかけませんから、わざわざ自分の身元が明らかになる危険を冒してまで不正入手した情報を二次流出させるようなことはまずしないでしょう。
また、機密情報が目的の場合も、自分が機密情報を入手することが目的ですから、その価値を高く保つためにもWinnyネットワークのようなところに再放流したりすることはないでしょう。
よってbotによる流出による社会的影響度は、Winnyによるそれよりもはるかに低くなります。個人レベルではより深いダメージを受けますけどね。
いまここで議論しているのは、情報漏洩による社会への影響を無視できるレベルまで抑えるためにどうするべきかということです。
botによる漏洩はまったく異質なもので影響度ははるかに低いのですから、ここに持ち出す意味はまったくありません。
あえてここでコメントすべきことがあるとするなら、今回の脆弱性によってWinnyネットワークが丸ごとbotnetと化す可能性がより一層高くなったということです。
>犯罪者を追うために、犯罪者で無いものも犠牲になれ、と仰ってるわけ
Winnyを使っている状態で著作権を侵害するファイルが放流されれば、それがキャッシュされる可能性があるWinnyユーザは全員犯罪者になりうるでしょう。
まず、問いに答えてはいただけないんでしょうか?
・winnyのようなソフトウェアから匿名性を奪った場合の「具体的な」弊害について
>犯罪者を追うために~
擁護派お得意の例え話は嫌いなんですが
「銃(麻薬)を使った犯罪者を減らすためにそれらを法律で規制するのは、犯罪者でない良識をもってそれらを使用しているものが犠牲になるからだめだ」ということでしょうか?
それと、「流出させたユーザー」の定義に関してですが、私も同じ認識です。ですが、その「自業自得な人」とは別の人が被害を受ける形になっていることが問題だと武田さんもその他の方も散々言っておられますね
>卒業文集~
その卒業文集は、winnyに置ける流出情報のように(winnyを使用しているものなら)「いつでも」「どこでも」「誰でも」悪用可能な状況にあるんでしょうかね?全く次元が違う話じゃないですか?名簿屋で売られている名簿を、どこぞの子供や精神異常者が手に入れ、迷惑電話をかけたり怪文書を送ったりetcできるんでしょうか?それが(犯罪用途を目的として手に入れようとする人間にはもっと凶悪な使われ方をする)容易にできてしまう状態になる(なっている)ことが問題なんだと思うんですが
>winnyは被害が大きいから
ええ、全くもってその通りです。何も言わなくてOKです
その優れた流通システムの弊害が、この問題の最大の難点を生み出すことになりました
Winnyの問題と開発者の問題は別問題です。
開発者に関してはそのうち判決がでるでしょう。
ここで話してるのはWinnyの問題に関してです。
どっちかを守りたいから他方も正当化する必要なんてありません。
なんだか、らぃさんは開発者は悪くないと言いたいが為にWinnyも悪くないと主張しようとしてる様に見えます。
どう言う点が問題だから議論してるのかを理解しようとしない(理解していないふりをしている?)のも
その辺が原因ですか?
何れにせよ主張にかなり無理があるように思います。
逆にWinnyが悪いから開発者も大した事無いのでは?みたいなblacklightさんの発言もズレてると思いますよ。
どーも議論の論点が食い違ってる気がするんでここらでやめますが・・・
どうも情報漏洩の定義が食い違ってる予感。
以前に議論されてたみたいですが、本来の格納場所から外に出ている以上、二次的防壁をくんでも根本的な解決にはならないし、2次防壁の突破のされかたが使用者が自ら防壁に穴を開けているのだからソフトを問題にされてもなーっというのが私の考えですから・・・
SkeedCastの件。
P2Pが配信者-ユーザーではなく配信者-サーバーなのでまったく違うものですから、代替にはなりません。では回答になりませんか?
個人的には配信用、受信用、でP2Pなら納得いったんですが。P2P型放送局~♪
あと、見つかった脆弱性はバッファオーバーフローで、しかもある関数が引き起こす、と。
つまり受信バッファの制限か?とか、詳細まで調べなくても実物があればだいたいわかるでしょ?
なんかあったら私のブログ(URLに入れときました)にでも着てください。
多分これ以上ココでエントリから離れた内容を議論するのは迷惑でしょうから。
>どうも情報漏洩の定義が食い違ってる予感。
そもそも誰も「情報漏洩」を防ごうなどという話をしていないのです。おそらくらぃさんだけが「情報漏洩」を防ぐことを考えているので話が混乱しているのかと。
このブログでずっと議論されていたのは「情報漏洩による被害」を社会として許容可能なレベルまで下げることです。
>二次的防壁をくんでも根本的な解決にはなら
>ないし、
ここでは「情報漏洩」の根本的な解決の話はしていないのです。
>SkeedCastの件。P2Pが配信者-ユーザーではなく
>配信者-サーバーなのでまったく違うものですから、
>代替にはなりません。では回答になりませんか?
技術の進歩の話をしていたかと思いますので、技術の進歩のためにWinnyの代替が必要な理由がわかりません。これまでの主張に基づくとするとSkeedCastはWinny作者が本来開発したかった制御可能なP2Pの応用システムですから、欠陥があると開発者自身が認めている開発途上のWinnyを使い続ける理由はないのでは?
>なんかあったら私のブログ(URLに入れときました)
>にでも着てください。
>多分これ以上ココでエントリから離れた内容を議論
>するのは迷惑でしょうから。
迷惑ではないですよ。貴重な意見交換ができいろいろなことがクリアになることが期待されますのでむしろ感謝しています。
補足。
らぃさんのWebサイトを拝見しました。
誤解があるようですが、Winnyが悪いとか良いとかいうのは(少なくとも私にとっては)どうでも良いことです。
Winnyが悪いから制限しようとか使わないようにしようと言っているわけではないですよ。
Winnyを使わないことで被害に遭う人が減るなら、使わなくするあるいは使えなくするというのも制限される権利との兼ね合いではあり得るのではないかという話をしています。
拳銃が「悪い」から日本で利用が制限されているわけではないですよね。自動車が「悪い」から免許を持っていないと運転できないわけではないですよね。
公道での自動車の運転には運転免許を必要とすべきという意見に対して、「自動車は悪くない!」と主張されているのが現在の状況かと思います。
ということなのですがご理解いただけますでしょうか?
なんか長くなりすぎたので最後だけ読んでもらえれば・・・
winnyによる情報漏洩問題
そして、著作物の流通問題
これらはwinnyを含めたP2P、もしくはそれの利用する電子ネットワーク網のネットワーク特性によるところが大きい。
この特性は簡単に言えば各ノードが一律(かつ強め)な情報流通力を有するという事です。
これによって「誰もが」大規模な情報発信を行えるという事が非常に大きなメリットです。
これによってマスメディアの利用可能な一部勢力(例えば政府)の権力の独占度が弱められるわけです。
一方、このようなネットワークは放射的に繋がっていき、フローの集約点を持ちません。そのため、情報の発信者が(旧来のマスコミのように)どの情報を流通させるかを操作できないし、情報流通を担う企業なりに抗議して情報の流通をストップさせる事も困難になります。
実際この種の問題はフラットなネットワークなら常に起こる問題です(例えば小規模集団では噂の流通をコントロールできない)。
結論を言えば、winnyの引き起こした問題とは、ITの飛躍的進歩以前には実現不可能だった大規模なフラットネットワークによる問題であり、winnyの使用中止で解決する問題では無いという事です。
winnyを使用中止にしても同種のネットワークにおいて同様の問題が必ず発生するでしょうし、必要なのはこの種のネットワークとの「付き合い方」を模索する事です。
なんとなくさん
貴重なコメントありがとうございます。
同様のことはWinny以前のインターネットの黎明期にも言われていたことだと思います。
インターネットなどのネットワークの「付き合い方」を模索してきた上で現在の様々な規制が存在するインターネットの社会が存在しているのだと思います。
特定のアプリを規制するというのも「付き合い方」だと思いますし、それ以外のもっと受け入れられやすい付き合い方もあるかと思います。
あなた自身や周りの人の情報が第三者から漏洩される被害を防止する上でどういった「付き合い方」が最適だと思われますか?