ホーム > 情報セキュリティ > Winny等匿名P2Pファイル共有ソフトの規制と情報漏えいに対する恒常的な対策について

Winny等匿名P2Pファイル共有ソフトの規制と情報漏えいに対する恒常的な対策について

様々なコメントをいただきありがとうございました。コメントでいくつか質問や問題提起がありましたので、新たなエントリーという形で個人的な考えを書いてみます。もちろんまだまだ不十分な内容でもありますのでご意見をいただければと思います。

なお「とにかくWinnyの規制には反対!」という方は「ISPによるWinny規制が良くない理由をちゃんと考えよう」というエントリーがありますのでそちらにコメントをお願いします。(こちらのエントリーへ同種コメントがあった場合削除することがあります。またコメントを書く前に一度過去のエントリーのコメント欄を良くご確認ください。既出のコメント内容等については削除する場合があります。)

[注意]あくまで重要情報の漏洩・拡散の防止の観点で書いています。著作権保護等に関する議論は対象外です。[注意]

■以前からP2Pネットワークへの情報漏洩の問題があったにも関わらず有効な対応策が取られていない理由

おそらく組織や団体の管理者やセキュリティ担当者の多くがWinnyを使用しておらず、また漏洩情報の実情に接する機会も少なかったために事態の重大さに気づくのが遅れたのではないでしょうか?昨年後半から官庁等からの漏洩事故発表が増加し広く問題が認知されるようになったのではないかと思います。私自身も事故の存在は知りつつも昨年後半までセキュリティの課題としてそれほど大きく考えていませんでした。当時の認識のイメージとしては現在の山田オルタナティブのような状態でしょうか。

■Winnyを規制しても結局いたちごっこになるのでは?

「いたちごっこ」でも良いのではないかと思います。情報セキュリティ分野において「いたちごっこ」は最も効率的なアプローチの一つだと思います。ウィルス対策ソフト、修正パッチの適用等セキュリティ対策の多くは「いたちごっこ」です。かつて情報セキュリティ対策自体が「いたちごっこ」だから行っても無駄ということを言われていた時期がありました。ある対策が有効であれば「いたちごっこ」であれなんであれ対策を行うべきでしょう。100%の安全を求めるあまりに目の前のリスクを見逃してはいけないと思います。

Winny上に情報漏えいをしてしまった多くの企業団体はセキュリティ対策を怠っていたのでしょうか?全てではないにせよ多くの企業は多額の対策費用を投じて自社のネットワークを保護していたはずです。それらの投資の大半は、ハイスキルな侵入者を想定した高度なセキュリティ機器やサービスなどに使われていたと思われます。周囲で発生しているWinnyからの情報漏えいというリスクを認識できずに、当時考えられていた本質的なセキュリティ対策を優先してきた結果ではないでしょうか?「いたちごっこ」を恐れるあまりに脅威とリスクの変化に対応できていなかったともいえるでしょう。

またWinnyのない世界で同様のリスクが本当に発生するのかという点を見極めなければなりません。Winnyと同種の他のソフトウェアの違いは、ウィルスが原因の一つであるにしろ実際に多大な被害が発生しているということです。また、被害の程度についてもいまだに過去の漏洩事故のデータがダウンロードできる状態にあるなどWinny以外で発生している漏洩事故とも性質が大きく異なります。一つの仮説としてWinnyのプログラムはこの手の漏洩を引き起こす攻撃に対し比較的脆弱だったということが考えられます。国内外の同種の他のソフトで現在Winny上で発生しているような問題がそれほど発生していないのは、Winnyは漏洩事故を起こしやすい仕様または実装だったことも原因の一つではないでしょうか。もちろん技術的には任意ファイルの実行によりあらゆる操作が可能ですが、Upフォルダやその内容の設定を煩雑にすることにより攻撃の手間を増やすなどしてウィルス製作者に対する障壁を高くするなどの対策は可能と思われます。このような対策により現在発生しているような情報漏えいの発生確率をいくらか低くできる可能性があります。今後、更なる検証が必要ですが、なぜWinnyでこれだけ多くの事故が発生し、なぜ他のプログラムでは少ないのか。なぜ海外で同種の事故が発生していないのかなどについてもう少し掘り下げる必要があるように思います。

■恒常的な対策はどうするのか?

散々あちこちで書かれている組織・個人のセキュリティ対策を確実にする。情報の持ち出し管理を徹底する。不用意なクリックを防止する。十分な注意喚起を行う。ウィルス対策ソフトを使用し更新する。Winnyを使うマシンで重要ファイルを扱わない・・・等等は当然として、ここではWinny上での情報漏えいは他の一般的な情報漏えい事故とは大きく性質が異なるという観点でその対策を記述します。

恒常的な対策として、実際に問題が起こったプログラムの使用を規制しつづけるというのはアリかと思います。Shareにユーザが移行したとして問題が起こればShareを規制するということを続けます。これによりプログラム開発者に同種の問題を引き起こさなくするような安全なプログラムを開発する動機付けになるかと思います。

現在想定されている匿名P2Pファイル共有の仕様では作為的であれ事故であれ他人の人権を侵害するような悪質なファイルが漏洩してしまうとその回収が困難で拡散を続けます。情報セキュリティの観点からは、こういったネットワークの存在自体が大きな脅威となります。つまり匿名ファイル共有という仕様が脅威でありそれを社会としてどこまで許容できるのか、すべきなのかについて、様々な観点から議論を行う必要があるように思います。

その他恒常的な対策の選択枝の一つとしては、未成年の喫煙、無免許での自動車運転、幼児ポルノなどが禁じられているのと同様に、結果的に著しく社会に害を与える危険な使い方が可能なソフトウェアについては、本来の目的がどうであれ使用条件を制限するなどの法的規制もあり得るかと思います。

もっともこういった規制は市民の自由を奪うことになるので、ある程度情報管理が可能な匿名P2Pファイル共有ソフトウェアに移行するなど、利用者、開発者のモラルによって規制に発展しないよう自制するに越したことはないかと思います。

おそらくこのような話を書くとすぐに著作権保護の話と混同されてしまうのですが、ここでは純粋に情報漏えいの防止と被害者の救済という視点で書いていますのでその点ご理解をお願いします。

[注意]あくまで重要情報の漏洩・拡散の防止の観点で書いています。著作権保護等に関する議論は対象外です。[注意]

カテゴリー: 情報セキュリティ タグ:
  1. blacklight
    2006 年 4 月 5 日 09:40 | #1

    インターネットの利用にも免許がいるのではないかという議論が先日終焉を迎えたパソコン通信の時代にもありました。
    匿名P2P使用に関して免許制度導入というのを考えたことがありますが、結局免許を持った人どうしのやり取りになり、かつ無免許利用者の取り締まり必要性を考えると登録なども必要になって匿名ではなくなってしまうんですよね。

    >ある程度情報管理可能な匿名P2P

    個人的には、匿名性と情報管理可能性は、完全には両立できないものではないかと感じています。

    匿名掲示板として知られている2chすらも完全に匿名ではありません。これを匿名であるとする幻想をもたらしているのは、問題が起きてもかなり度が過ぎたレベルまで放置してしまう特異な管理ポリシーによるものでしょう。結果、2chの生み出した文化には無責任という弊害が付属しています。

    Winnyも同じで、やり取りされるファイルに対する責任を誰も取らないことを前提として得体の知れない人と得体の知れないファイルをやり取りするためのものであるわけで、私のHNにinspireされたと思われる方も同意された通り、そんなものを欲しがること自体実に馬鹿げたことです。

    この無責任という点の大元は、個人的には2chよりも、事実上唯一の著作権管理団体たるJASRACにあると考えています。
    CDでもカラオケでも著作権料を徴収しておきながら、アーティスト・作曲者・映画製作者などの著作権者への還元内容をまったく明示せず、どんぶり勘定で済ませてしまっている。
    これでは音楽や映像を楽しむ側も、対価として払うべきものを払うという概念が根付きません。

    ここをきちんとして、各個人が楽しんだ分の対価をどれだけ払っているかという点を把握できるようにするところが、個人のリテラシー向上の原点になると思います。

    一見まったく関係ないよう話をしているように見えるかもしれませんが、漏洩する情報も動画・音楽ファイルも暴露ウイルスも、PC上の一ファイルである点は共通です。
    一人一人が一つ一つのファイルを責任を持って扱うようにすることこそが、根本的かつ恒常的な対策であるように思います。
    それが結果として情報漏洩の対策にも著作権保護にもなるでしょう。

  2. alviss
    2006 年 4 月 5 日 10:01 | #2

    お答えありがとうございます。

    いたちごっこになるというアプローチはしかたないと思っています。
    それはどんな対策を行ったとしてもその穴をかいくぐる人達が出てきますから。
    なので、今後のワークフローありきでWinnyを規制するって説明の方がなんでWinny規制なんだ、他にもP2Pあるじゃんかという堂々巡りの話にならないと思いましたので、こういったコメントをつけさせて頂きました。

    であれば、このウィルスに対してシグネチャに追加するという内容のように、こういった事例であればこう対応するというワークフローを形成することが重要かと思います。

    それを行うことにより発生しえるデメリットの代替手案を考えることができ、不安に思う方々へもアプローチできるのではないかと思います。
    #規制する。とだけ言ってもその際にどういったデメリットが発生するのか、またその被害を被る人への救済案が対策の進展に繋がるのではないでしょうか

    何々をやります。って言っただけで
    デメリット、またそれの対応のアプローチを説明出来ないのではそりゃ非難轟々になるのはしかたないかと

    たぶんそれを詰めようとエントリを書かれたのかもしれませんが、あまりにも説明がなさすぎるように見えます。

    ちなみに対策の遅れの一文にある
    >おそらく組織や団体の管理者やセキュリティ担当者の多くがWinnyを使用しておらず

    実際にセキュリティ担当者が使っているという例を結構見ます。
    いくつかのニュースでもセキュリティ担当だったという表現が用いられてる話もあったと思います。
    自分が使っているからとして大々的に非難する人が少かったのもこのような事態に発展している一面もあるのかと。

    多くの企業のセキュリティ部署は、受動的に動く性質が結構あります。
    #=言われない限りやらないことが多い

  3. keiji
    2006 年 4 月 5 日 10:22 | #3

    blacklightさんコメントありがとうございます。

    2ch風匿名likeP2Pファイル共有ネットワークというのは一つの方法としてはありそうですね。
    なぜかインターネットは匿名だとか自由だとか思っている人が多いですね。技術的には可能ですが通常の利用をしている限りはそうでもないにも関わらず・・・。

    alvissさん、コメントありがとうございます。
    >今後のワークフロー
    についてはこれまでもずっと書いているように同様の問題が発生したら規制をするの繰り返しで良いのではないでしょうか?

    >どういったデメリットが発生するのか
    1 心情的に規制が嫌だと感じる人がいる。
    2 違法にファイルをやり取りする場が減る
    以外のデメリットがわかりません。

    この点については「ISPによるWinny規制が良くない理由をちゃんと考えよう」というエントリーを用意していますので、意見のある方はそちらにお願いします。
    http://motivate.jp/archives/2006/04/ispwinny.html

    >(規制によって)被害を被る人への救済案
    上記1については、漏洩事故の被害者の心情とのバランスかと思います。私個人は漏洩事故被害者の事故情報が漏れ続けるのは嫌だという心情を尊重するべきと思います。もうちょっとわかりやすく説明していく必要がありそうですが。
    2については推奨はできませんが方法としては漏洩事故対策の施されたソフトウェアの使用、WinMXやBitTorrentなど匿名性と拡散が緩やかなソフトの利用などが考えられます。

  4. alviss
    2006 年 4 月 5 日 13:29 | #4

    >>今後のワークフロー
    >についてはこれまでもずっと書いているように同様の問題が発生し>たら規制をするの繰り返しで良いのではないでしょうか?

    その場合、ISPにとっては管理部門を置かなくてはなりませんし
    どう管理していくか、またどのレベルの問題で規制をするのかを
    明確にしなくてはなりません。その判断は誰がするのか
    その費用、管理はISP独自で負担するのでしょうか?
    結果それはユーザーへの料金設定へも影響すると思います。

    全体ユーザーの数%しか満たないユーザーのせいで
    そうなるのはいたしかたないということなのですかね
    #大規模ISPならどうとでもなるかもしれませんが、小規模のISPにとってはその負担が経営悪化を招く恐れもありますけど

    政府が団体の設立、またIPAが管理するなどをお考えでしょうか?
    それでも補助などない限り、ISPの費用負担は避けられないとは思いますが・・・。
    そのあたりのISPに対する費用対策はどうするのでしょうか
    管理~運用を含めた管理面、費用面まで含めてのワークフローかと思います。

  5. keiji
    2006 年 4 月 5 日 16:14 | #5

    自ら規制を率先しているISPもあるわけでそれぞれの事情があるでしょうから、ISPの当事者でもない私がここでいくらフローを書いたところで仕方がないような気もします。
    小規模のISPの方はどうなんでしょうね?

  6. んあ
    2006 年 4 月 6 日 09:55 | #6

    ソフトウェアという「道具」に責任を求めるのではなく
    情報流出という「結果」に対して責任を求めるべきではないでしょうか?

    これだけ多くの事例が報告されながらまともに処罰されたという例は聞きません。
    個人情報保護法とはいったい何なのでしょう?

  7. keiji
    2006 年 4 月 6 日 10:36 | #7

    道具に責任は求めてないですよ。
    事故防止と被害軽減の方策を模索しているのだと思います。

  8. touchstone
    2006 年 4 月 8 日 14:44 | #8

    各アンチウィルスソフトメーカーのサイトにてP2Pファイル交換ソフトへの対応状況を調べました。(もちろん各社暴露ウィルスには対応済みです)

    【トレンドマイクロ】ウイルスバスターコーポレートエディション アドバンスに移行すればwinnyの発見、駆除まで対応しているようです。
    【マカフィー】winnyの発見、駆除を今後対応する予定
    【シマンテック】社員教育にて対応するすることを提案
    【キングソフト】winny起動時に警告を表示、許可か禁止を選択できる。駆除はしていないようです。

    トレンドは法人版だけに対応している、キングソフトは個人に対応している。このあたりメーカーがどれくらい日本市場に力を入れているか試金石になっているようだ。マカフィー、シマンテックはおそらく米国主導なので対応が遅れているのだろう。P2Pファイル交換ソフトを駆除しろと技術者を説得しなければならないからだ。こうしてみると今後の日本のインターネットインフラの脆弱性を垣間見るようだ。アンチウィルス、セキュリティ対策は外国企業頼みという現状が浮き彫りになった。

  9. 2006 年 4 月 11 日 04:44 | #9

    他人の「重要情報の漏洩・拡散の防止」につき合う義務はあるのか?

    Winnyを利用したウィルスなどによる情報漏洩については、武田圭史氏が、積極的に規制推進の議論を行っている。武田氏の議論は、「個人のプライバシーの暴露」よりは、…

  10. 2006 年 4 月 11 日 17:09 | #10

    カーネギーメロン大学の武田教授が「P2P型情報漏洩対策研究会」開催

    カーネギーメロン大学の武田教授が主催する「P2P型情報漏洩対策研究会」の第一回が開催されたようです。

    武田教授は、ご自分のブログでもWinnyに対する対策につ…

  11. touchstone
    2006 年 4 月 14 日 12:17 | #11

    トレンドマイクロがwinny駆除に積極的に動いているのは評価したい。メイドインジャパンのアンチウィルスソフトメーカーがなければ、各社一覧にしてwinny検地・駆除に対応しているアンチウィルスソフトはここですと定期的に表示して競争させ、開発を促すのがいいだろう。そしてそれをみた消費者が値段も手ごろでサービスがよく、必要なセキリティを確保しているメーカーを選択すればよい。現状ではメーカーを競争させて必要なソフトを入手するしかないのだから。日本社会のセキュリティ向上に役立たないメーカーは市場に生き残れないようにしてしまおう。

  12. sashenka
    2006 年 4 月 14 日 12:55 | #12

    Winny のネットワークを壊滅させる。これ以外に無いでしょう。 Winny なんか無い方がいい。音楽が聞きたければ CD を、過去の TV 番組が見たければ DVD を買えばいい。これまでも重大な被害が出続けて、これからも被害が出るというのに、誰も何もできないのでは、インターネットは国家インフラというより完全な無法地帯となり下がっている。

    具体的には、 Winny を実質的に使い物にならないネットワークにしてしまえば良い。ダミーファイルを、「お宝画像」や「流出ファイル」の千倍とか、一万倍くらい流すのはどうだろう。それも、一見してダミーとわかる内容ではなく、散々時間をかけて中身をチェックしないとダミーだったとわからないような紛らわしい内容なら望ましいが、サイズの大きい無意味データをどんどん流すだけでもいいかもしれない。Winny 擁護派の言う言論の自由と同じ自由でダミーファイルを流す自由もある筈である。

    国家として、Winny を壊滅させる取り組みはできないのだろうか。日本という国は、Winny にすら勝てないというのはおかしい。

  13. touchstone
    2006 年 4 月 14 日 14:31 | #13

    法律で縛るより技術で対抗するのが一番いい。法律は少なければ少ないほどいいのだから。たとえばIPAなどに各社のP2Pファイル共有ソフトへの対処方法を掲示する。日本に参入している
    すべてのメーカーを一覧にして対応状況を評価してしまう。これをやれば各社本気になって対応するだろう。

    しばらくして新たな問題が出ればその問題の対応状況を一覧にして消費者にわかるように掲示する。競争心をあおることで日本のインターネットインフラは必要なセキュリティを早く、安く、確実に入手できるようになる。

  14. kanomi
    2006 年 4 月 14 日 14:42 | #14

    国家がWinnyなり一つのソフトに限定してどうこうしようとする考えは危機感を感じます。
    まずは何故に漏れてなならない情報が漏れるかを考えるべきです。
    それは本来、漏れてはならない情報があってはならない所にあったからなのではないでしょうか?

    個人のPCに何をインストールしようが何に使おうが個人の勝手です。その結果、PCが乗っ取られようと情報が漏洩しようとそれは本来、そのPCの所有者のみに被害が限定されるはずです。
    そこにその所有者以外の情報があること自体が問題なのでは無いでしょうか?
    自宅のPCあるいは私物のPCで作業する事が無ければこれほど大きな問題にはならなかったと思います。IT先進国を謳いながら、そこに予算を掛けてこなかった国家および企業に問題がある様に感じます。
    そういえば、個人情報保護法は何の為に作られたのでしょう?こういった事が起らないようにする為の法律だったと思うのですが、機能してないように感じるのは私だけでしょうか?

  15. keiji
    2006 年 4 月 14 日 15:14 | #15

    個人情報保護法をもっと機能するようにする。
    少なくとも漏洩された被害者が泣き寝入りしなくていいような環境を作る必要はありますね。

    意図的に個人の人権を侵害するような情報がWinnyネットワークに漏洩された場合はどうでしょうか?
    誰が漏らしたかもわからなければ賠償を請求する先もありませんね。

  16. 2006 年 4 月 14 日 16:36 | #16

    ビラにより意図的に侵害するのは昔からありますが……

    個人情報の保護には「集めた情報を保護すること」の他に「不必要に情報を集めないこと」が必要です。

    役所のような情報を集めなければならないところには十二分な管理を、個人レベルでは情報をある程度渡さなくてもなんとかなる努力が必要だったはずです。

    住基ネットとの関連でこの法律が捉えられたのがそもそもの不幸なのかもしれませんが、前者の担保のみが強調されて、後者の努力が十分になされていると思えません。

    漏洩されたら泣き寝入りというのは、昔からそうですが、もちろん、無視できない問題です。

    漏洩されている情報がないかを、機械的にチェックする方法がまず必要だと思います。その後、その情報を隠す、または意味のない物にするようにすれば良いのではないでしょうか?

  17. 2006 年 4 月 14 日 17:16 | #17

    あてずっぽうの意見なので、思い当るところがないなら無視してください。

    私は、「新しい通知システム」を導入する前に、Nシステムなどを使った際の記録を公開したり、検索やパターン認識などに使うプログラムをオープンソース化したり、令状などのある程度の期間をおいた電子公開などが先に必要だと思います。

    もちろん、「知る権利」が必要だ!といいたいわけですが、それだけでなく、外国とかにその情報がツツヌケになっていても、今は確かめようがないですし、もうちょっと民の力を信頼して欲しいですね。

    的外れな解答ならお許しください。

  18. sashenka
    2006 年 4 月 14 日 18:10 | #18

    Winny 壊滅のための具体案

    ・ 5~10人程の精鋭チームを結成する。給与は国が負担する。
    ・ Winny のネットワークに「これでもか、これでもか!」というほどにダミーファイルを流し込み続ける。
    ・ 掲示板等を監視し、人権侵害や企業・国家の機密漏洩事件を察知したら、該当するファイルの検索要求に関し、偽の情報を流してファイルの入手を困難にする。
    ・ Winny を規制するプロバイダには税的優遇措置を取る。

    電子メールに例えれば、迷惑メールが毎日何千通も来てフィルタもできなければ、そのアドレスは使い物にならないというのと似た状況を作り出すのです。そして Winny が廃れ share その他が普及したら、今度はそれを壊滅させればいいのです。

  19. 匿名
    2006 年 4 月 14 日 18:47 | #19

    やはり根本的な解決法は
    情報漏えいを起こした側への厳罰でしょう
    情報漏洩を起こした側も被害者であるかのような
    現在の対応では今後の対応にも支障が出かねません

    他人の手に渡るとマズい情報を扱っているという
    自覚の無さが全ての元凶です
    劇薬物を扱う際のような慎重さが必要かと思います

    情報漏えいを起こした側が職を失う
    若しくは人生が破滅するレベルの厳罰があれば

    不必要な情報など最初から集めない・扱わない等の
    劇薬物を扱う際のような慎重さが期待できるでしょう
    結果として日常意茶飯事のような漏洩は無くなるでしょう

    むしろWinnyによる漏洩は情報管理の不備の自覚の無さ
    を世に知らしめたという功績が大だと感じます

  20. Atwight
    2006 年 4 月 14 日 23:01 | #20

    初めまして、こちらで行われている議論を読ませて頂きながら、私自身の知識不足等もあり十分理解できていないところも多々あるかとは思いますが、素人的な意見として投稿させて頂きます。
    (不適切な内容であれば、武田様どうぞ削除下さい。)

    一つ目に、現在漏洩している情報の拡散防止についてですが、「Winnyによる情報漏洩」と言う記述を色々なサイトでも見かけるのですが、漏洩してしまった情報の温床になっているのは事実かもしれません。

    しかし、根本的に情報漏洩を発生させているのは、Winnyを利用して情報漏洩を発生させるウイルスそのものではないのか?と言う単純な疑問は残しつつ、確かに現在既に漏洩してしまい、Winnyネットワーク上に存在している各種情報を消し去ることは出来ないのは既に世間的にも知られ始めている事実だと思います。

    これらの拡散を防止する。と言う観点で見ればISP等の民間事業者による規制は有効な対策になりえる可能性を持っていると私は考えています。

    ただし、実施するには特定のISP事業者だけが行ったとしても、恒久的な対策にはなり得ないのではないかと言う懸念事項が残ります。

    国が漏れたら困る情報?や、個人に不利益を与える情報が存在するわけですから、きちんとした手続きを踏んで、国の政策として規制するのが良いと思います。
    それまでの繋ぎの軽減策として、各ISP事業者が規制を行うのであれば、それは今の情勢を見ていればやむをえないことと思います。

    二つ目に、新たな情報流出の防止についてですが、こちらは大きく二つのやり方あると思います。

    一つ目のやり方としては、よく言われるような情報管理を徹底せよと言った企業向けの規制。
    情報管理義務みたいなもの?

    もう一つのやり方は、個人に対するウイルス対策ソフト導入の義務化みたいなもの。
    ※あくまで例にすぎません。

    (ここでは故意、悪意による情報漏洩は想定していません、予めご了承下さい。)

    最初に「情報漏洩のそもそもの理由はウイルス」の様な記述をさせて頂いたのに関連しています。

    企業の情報であれば、企業の持ち物な訳ですから、きちんと管理しなさいと言って、それを義務化しても良いと考えます。

    情報漏洩を発生させてしまったら、それは企業内における情報管理が不十分であったと言う過失であると私は考えていますので、こういう結論になっています。

    個人に対しては、前述ではウイルス対策ソフト導入義務化と言っていますが、どこまでやるのかは別問題として、インターネットを安全に使う上で、最近は当たり前?とも言われているウイルス対策を薦める、もしくは義務として規制してしまうのがいいのではないかな?と考えています。
    導入する個人が、自身を保護するメリットにもなる訳ですから。
    (経済的な負担が掛かるのもありますし、どうやって確認するんだよ?と言う疑問もありますが・・・

    いずれにせよ、規制としてしまうなら、罰則も置かなければならないとは思います。
    どなたかの投稿でもありましたが、業務上過失情報漏洩?みたいなものがあれば良いのかな?と考えました。
    で、故意に関しては明らかな悪意が含まれるものだと思いますので、それはそれで刑罰化するとか・・・

    著作権云々もありますが、それもWinnyに故意で流せば著作権法違反な訳ですし、第三者に不利益を与える様な情報漏洩も同じようにと考えるわけです。

    情報セキュリティと言うカテゴリーに属するお仕事をされている方々には、情報管理?ウイルス対策?当たり前、ネチケットだよ。
    と言われる様なことかもしれませんが、それが出来ない、必要性を理解していないから、現在の様な状況があるのでないでしょうか?
    特にウイルス対策を個人に対して義務化するだけで、大きな効果が期待できるのでは無いかなぁ・・・と、個人的に考えてはいます。

    当然、義務化したからといって、全て守りきれるとは考えていません。
    新種のウイルスはわんさか登場するわけですし・・・

    このような感じで対策を実施すれば、Winnyに拘らないで対策をうてるのではないかなぁ・・・と考えています。

    長文になってしまい申し訳ありません。
    日本語的にも変なところがあるとは思いますが、そのあたりはご容赦下さい。

  21. 2006 年 4 月 15 日 10:08 | #21

    以前、別の記事にトラックバックした記事に書いていたのですが、こちらの記事にコメントした以上、他の方との議論のために私が必要だと思う対策も書かせてください。

    私は、ウィルスとスパイウェアの合法化が必要だと思っています。

    もちろん、どのようなウィルスやスパイウェアも許されるのは間違っていますが、回復可能な障害・不便を強要するウィルス。メールやファイルの漏洩はおこさないが、ファイル名ではなくファイルIDのみは、特定のサイトや 192.168.*.1 などに送信するスパイウェア。は認めるようにすれば良いと思います。

    そこで、法律上の「不正アクセス行為」の定義に「破壊と個人情報収集を目的とするもの」という目的要件を(ただし、目的がないことの立証責任を被告側に)課し、そうでないものはグレーにすることを、一例として私は提案します。

    つまり、電子的に有害な「ウィルス」に対するユーザーの技術的「抗体」を作るための、害を弱めたウィルスすなわち、今のコンピュータ用語よりも原義に近いネットワーク・「ワクチン」を認める、ということです。

    そして、漏洩情報や Antinny などのファイル名、ファイルサイズを偽装してこのような「ワクチン」を大量散布すれば良いと思います。

    その意味では田んぼで、害虫の発生を抑えるために他の虫の発生に目をつぶる感じですかね。

  22. sashenka
    2006 年 4 月 15 日 13:56 | #22

    道路交通法があるから警察の取締りなんか要らない、みんなで交通ルールを守れば事故は起きない、みたいな、現実に起きている事を一切無視した空想論が多いですね。

    自分の個人情報やプライバシー写真や機密情報が、不注意な友人や同僚のウイルス感染によって流出させられるまで Winny 問題の被害の深刻さが理解できないというのでは、単に「自分の事しか考えられない人間」に過ぎない。まっとうな人間は、ニュース報道を見て、被害者 (勘違いしている人もいるようだが、被害者=加害者、ではない。一人の不注意で、大勢の人間が多大な迷惑を被る。人生を狂わされた人もいる) に同情する事ができ、このような事件が繰り返されるのを何とかしたいと思うはずである。

    Winny は規制する必要など無い。潰せばいいだけの話。元々 Winny のネットワークは、著作権など何とも思わない連中によるコンテンツが大半かと思うが、そのような「ゴミ」にウイルス感染によって漏洩した写真やデータまでもが流れ、そのゴミ溜めから獲物を夢中になって探す連中が居て社会を揺るがす問題になっているのだから、ゴミ溜めはゴミ溜めらしく、ゴミファイルで溢れさせてやればいいのである。もはや「獲物」や「お宝」が本当のゴミの山に埋もれて手に入らないと解れば、大半の Winny ユーザーは興味を失い、自発的に去っていくであろう。それでもゴミ屋敷で暮らしたいという連中は、自由にすればいい。

  23. 2006 年 4 月 15 日 16:48 | #23

    道路交通法があって、警察も取り締まりをして、様々な技術で監視しているはずなのに、違反もあれば事故もありますね。

    Winny に関してはトリップも解析されているようですし、本来なら崩壊しててしかるべきなんですが……

    ゴミ屋敷も住めばミヤコということなんでしょうか。

  24. 2006 年 4 月 15 日 18:28 | #24

    > 現実に起きている事を一切無視した空想論が多いですね。

    私へのご批判なのかわからなかったのですが……

    よくジョークとして、「ウィルス対策会社がウィルスばらまいてんじゃないか?」ってのがありますよね?

    逆に言えば、ウィルスをまくことが合法ならウィルスまいたほうがウィルス対策会社はおいしい仕事ができるわけです。

    ただ、企業イメージというものもありますから、それだけで「合法ウィルス」が出て来ない可能性もあります。

    そのときは優遇税制ではなく、はじめは、これまで漏洩事件を起こした省庁の予算の中から、ウィルス対策会社にウィルスを作ってもらい、すべての省庁のうちパソコンが感染した役人の数に応じ、上限を設けて、省庁の予算の中からウィルス対策会社にお金が入るようにすれば良いと思います。

    ウィルス対策会社が作った対策ソフトがウィルスにひっかっかたときは、マイナス査定してもいいですし、はじめのウィルス会社ではない会社も、登録だけして「賞金」を目あてに参入できるようにすればいいでしょう。

    重要なことは、ウィルスをしかける範囲を省庁内だけでなく、社会全体にすること、でも、収入が入ってくるのは役人のパソコンが感染したときだけにすべきです。

    役人でない人が感染しても、たまたま「合法ウィルス」だったからマシになるわけですし。責任はウィルス対策会社ではなくそのような政策をした政府にあるわけですし。

    そういう意味でやってはならないのは、「合法ウィルス」を作ったあと、それを許可する法律を作ることですかね。これは逆にしておかないとイイワケできません。

    だから、何はさておきネットワーク・ワクチン合法化はやっておくべきだと思います。

    夢想的すぎます?

  25. 匿名
    2006 年 4 月 16 日 04:08 | #25

    >>ゴミ屋敷も住めばミヤコ

    他人にとっては散らかり放題にしか見えない
    部屋とか机から何の苦も無く目的のものを見つけ出す
    変人というか特殊な能力を持った方が稀にいますが

    恐らくwinnyのヘビーユーザーもそういう変人です
    そういう変人に嫌がらせをし続けるのは相当難しいです

  26. らぃ
    2006 年 4 月 17 日 10:57 | #26

    さっと読んでみましたが、情報の漏洩と流出がごっちゃになってませんか?
    この問題の本質は漏洩だと思いますが、漏洩はWinnyとは関係の無いところで発生しています。
    機密を扱うPCにwinnyを入れているのだとすれば、その時点でお馬鹿なわけですけど、基本的に外部に持ち出された後、流出しているわけです。
    で、この問題を解決するにはP2Pネットワークを破壊したところで無駄です。
    Winny系のウイルスは使用ユーザーの実行により感染しますから、感染の仕方的にはたいしたことのない部類に入るのですが、そのようなウィルスにすら感染するような人にスクリプトで自動実行されてしまうようなウィルスからの感染回避とかを望んでも無駄でしょう?
    つまり、将来的にみれば、馬鹿を駆逐しない限り、もっと強力な流出ウィルスが発生すればもっと悲惨なことになるでしょう。

    っていうか、デスクトップスクリーンショットタイプはずいぶん前からありますし、ネットワークに接続して使用しているだけで感染するタイプのウィルスもあるわけで。
    流出型も今までのは基本的に指定場所への流出だったので対処がされていましたが、感染PC間でP2Pが確立されてしまうようなウィルスが発生しない、とも言い切れません。

    となれば、Winnyをどうこうする、というような方向での議論は無駄ですね、本質的に漏洩段階でつぶす方向に行かないと。
    とりあえず、FDにデータを保存できるような機密管理をしてる会社、役所は考え直した方がいいですね。
    USB許可してるとことかも。

  27. keiji
    2006 年 4 月 17 日 11:12 | #27

    >この問題を解決するにはP2Pネットワークを破壊したところで無駄です。

    何度も書いていますが一つの方法で解決するのではなくて、さまざまな対策を複合的に行わないと危険です。「本質的に漏洩段階でつぶす」のは当然として、ここではさらにその先のそれでも「漏洩」「持出」が発生したらどうするか、あるいは意図的に漏洩された情報をどうするかという前提で、被害軽減のために何ができるかという議論が行われています。また、もともと家庭で保管されている個人的な情報(他人に関する情報を含む)は持出も漏洩もなくても流出します。

    最寄の小・中・高校でメディアの持込や情報の持ち出し制限がきちんと行われていますでしょうか?これまでWinnyへの情報漏えい(流出?)をしてしまった企業を見ても情報管理をかなり徹底していたつもりの企業が少なくありません。「本質的に漏洩段階でつぶす」ことは重要ですが簡単ではないでしょう。

  28. らぃ
    2006 年 4 月 17 日 13:47 | #28

    どうもコメントでWinnyを破壊せよ、な人がいたので混同していた感がありました。

    しかし、今のところほとんどの流出事故は、企業ネットワーク内ではないように見えます。
    つまり、多大な予算を使い、外部との接続点に壁を築き、PCやらストレージディバイスを制限しない(もしくは使用者側が気にもしていない)ことが原因なのだと思います。
    #以前、PC管理をしていたときにHDDが使えないと言われて確認に行ったところ、個人購入のUSBHDDを持ち込まれていて脱力したこともありました。

    あと、上のほうでトレンドマイクロが対応してることを評価、とか言っておられる方が居られますが、トレンドマイクロは社員が流出させてます。
    しかも、抗ウィルスソフトは入れずに。
    さらにそれを一年間隠蔽してました。そういう会社です。

    あと、海外P2Pでも同様のウィルスは多々存在します。
    マイクロソフトの出した悪意の有るツールの駆除ツールで2億台以上のPCにて駆除が確認されてたりしますから。

    あと、最近のボット(スパイウェアの類)にはP2P機能を持つものがあるそうです。
    こっちの方がWinnyよりも問題だと思うんですけどね。

  29. keiji
    2006 年 4 月 17 日 14:12 | #29

    >海外P2Pでも同様のウィルスは多々存在します。

    海外のP2Pネットワークでユーザ情報を積極的に拡散させるようなウィルスの事例をご存知でしたらぜひ名前を教えてください。(P2Pで感染を広げても漏洩を行うものはこれまではあまり無かったと思います。)2億台以上ということですが最近のAlcan.Bは25万件といわれていますからこれとは違うのですよね。

    >最近のボット(スパイウェアの類)にはP2P機能
    >を持つものがあるそうです。こっちの方がWinny
    >よりも問題だと思うんですけどね。

    これも具体的な名称をご存知でしたら教えてください。私はなんだか怖そうなものではなく、毎日実際に被害者が確認されているような脅威に優先的に対処すべきだと思います。

  30. Arain
    2006 年 4 月 18 日 09:40 | #30

    >2億台以上
    「悪意のあるソフトウエアの削除ツール」を実行したPC台数で、まぁ被害とは別の話ですね。

  31. 2009 年 1 月 7 日 21:53 | #31

    ファイル交換ソフトから個人情報が漏れる

    個人/組織のモラルが破綻しているようでは、いくらルールを厳しくしても意味がありません。≫IPA職員がファイル交換ソフトに感染したウイルスによって情報漏洩を…

  1. トラックバックはまだありません。

CAPTCHA