武田圭史

これまでもイベントや研究会等でご協力いただいている杉浦さんのネットエージェント社が「Winnyファイル拡散防止サービス」を開始した。同社はこれまでもその高度な技術力をベースにWinny, Shareの調査サービスなどユニークなサービスを提供している。同社のWebページによれば

「ネットエージェントは自社で開発したWinnyファイル拡散防止システムを利用し、Winnyネットワーク上に流出した漏えいファイルの拡散を防止します。」

(Winnyファイル拡散防止サービス, ネットエージェント)

というサービスだそうだ。
Winnyなどの匿名P2Pネットワークにおける検索情報のポイゾニングに関しては、私の同僚が2005年の２月頃からeDonkey、FastTrack、Gnutellaを対象に実験を行いその効果について確認をしている。また、偽キーデータと偽ファイルの挿入によるポイゾニングをWinnyの情報漏えい事故後の被害局限に応用することについてはが私自身が2006年３月頃から各所で提案し、その実際の効果の検証は2006年7月に機能を制限したWinny互換クライアントを利用し実施している。この際偽ファイルの配布と偽キーデータ配布の２つのアプローチを検証し、キーデータによるポイゾニングはキーデータを発信し続ける限りは有効だが、２次拡散効果が期待できる偽ファイル配布方式に比べると効率が悪いことを確認している。

今回同社のページに「Winnyファイル拡散防止システム　(特許出願中)」との記載があり、このような情報セキュリティ対策技術に関して特許出願がなされたことに少し驚いた。

この出願がどういった狙いで行われているのかは直接確認しないとわからないが、営利企業の立場からすれば取得の可能性がある特許については早々に出願しておきたいという考えは理解できなくはない。私も企業の経営者の立場にあれば同じことを考えるかもしれない。これまで情報セキュリティに関する技術情報は他の技術領域に比べれば、早期に公開されることが多く一旦公開された内容については特許の対象とはならないために、あまり特許の問題を目にする機会は少なかったように思う。

今後、様々な企業がセキュリティ対策について特許を出願しその権利を行使するような時代が来るとなると、情報セキュリティ対策の普及や研究活動にも制約が及んでくることになるかもしれない。例えばある「特定の」（2/15追記）ウィルスを検知・駆除するための技術について特許出願が行われ、他の企業がそのウィルスを検知・駆除するために「同じ手法を使わざるを得ない状況が生まれた場合に」（2/15追記）特許使用料を支払わなければならないというような事態が起こるのだろうか？(あるいは実際に起こっている？)また、そういった事態がありうるとするとそれを逆手にとり、自分で作ったウィルスを検出・駆除するためには自分が権利を保有する特許を使用せざるを得ないというような状況を意図的に作り出し、ウィルスベンダー各社から使用料をせしめるなどという輩も出てくるかもしれない。

私は情報セキュリティ企業が情報セキュリティ対策や関連するサービスによって儲けてはいけないとは思わない。情報セキュリティ技術者は全てボランティアというような状態は結果的に社会にとってはマイナスだろう。きちんとした企業が優秀な人材を集め、質の高い価値のある製品、サービスを提供しそれに対して十分な対価を得られる環境が整備されるべきだ。特に国内の情報セキュリティ企業の活動が産業として成熟し国際的にも競争力を高めていくことは、国家としても重要な課題だと考えている。とはいうものの情報セキュリティにおいて積極的に特許の取得や権利の行使が行われるとなると、各種対策の実現や研究活動の制約が多くなりあまり望ましい状態ではないようにも感じる。
情報セキュリティ技術についても他の技術領域と同様に特許の仕組みを積極的に活用すべきなのだろうか？あるいは社会、企業の両方にとってメリットのあるなんらかのルールや枠組みが必要なのだろうか？

（参考情報）
■「Winnyファイル拡散防止サービス」提供開始（ネットエージェント, 2/13）
http://www.onepointwall.jp/press/20070213.txt

■Content Availability, Pollution and Poisoning in File Sharing PeertoPeer Networks（Nicolas Christin et.al.）
http://p2pecon.berkeley.edu/pub/CWC-EC05.pdf

■偽装ファイルによるWinny漏洩情報の隠蔽(武田圭史, 06/03/28)
http://motivate.jp/archives/2006/03/winny_4.html
■Winny流出には「P2Pネットワークポイゾニング」が有効 (InternetWatch, 06/03/27)
http://internet.watch.impress.co.jp/cda/event/2006/03/27/11378.html

（2/15　追記）昔に似たような話があったなと思い検索したら以下のような情報を発見した。
■平成１７年度特許流通支援チャート・不正アクセス侵入検知防御技術(工業所有権情報・研修館, 2006年3月)
http://www.ryutu.ncipi.go.jp/chart/H17/denki31/frame.htm

■Intrusion Detection Systems: NIDS Patent(Insecure.org, 2000年5月)
http://seclists.org/ids/2000/May/0056.html

(2/15追記2)
セキュリティホールメモ小島さんの「特定の検知・駆除手法に対して特許が取得されている場合の話やけど・・・」について、「（様々な対象に適用可能な一般的な）特定の手法ではなく」「特定のウィルス」について例えば通常考え得る方法の特許を先行取得することで他のベンダーが同様の手法で検知することを妨害しうるかという疑問だったので、若干の補足を追記した。