武田圭史

これまでもイベントや研究会等でご協力いただいている杉浦さんのネットエージェント社が「Winnyファイル拡散防止サービス」を開始した。同社はこれまでもその高度な技術力をベースにWinny, Shareの調査サービスなどユニークなサービスを提供している。同社のWebページによれば

「ネットエージェントは自社で開発したWinnyファイル拡散防止システムを利用し、Winnyネットワーク上に流出した漏えいファイルの拡散を防止します。」

(Winnyファイル拡散防止サービス, ネットエージェント)

というサービスだそうだ。
Winnyなどの匿名P2Pネットワークにおける検索情報のポイゾニングに関しては、私の同僚が2005年の２月頃からeDonkey、FastTrack、Gnutellaを対象に実験を行いその効果について確認をしている。また、偽キーデータと偽ファイルの挿入によるポイゾニングをWinnyの情報漏えい事故後の被害局限に応用することについてはが私自身が2006年３月頃から各所で提案し、その実際の効果の検証は2006年7月に機能を制限したWinny互換クライアントを利用し実施している。この際偽ファイルの配布と偽キーデータ配布の２つのアプローチを検証し、キーデータによるポイゾニングはキーデータを発信し続ける限りは有効だが、２次拡散効果が期待できる偽ファイル配布方式に比べると効率が悪いことを確認している。

今回同社のページに「Winnyファイル拡散防止システム　(特許出願中)」との記載があり、このような情報セキュリティ対策技術に関して特許出願がなされたことに少し驚いた。

この出願がどういった狙いで行われているのかは直接確認しないとわからないが、営利企業の立場からすれば取得の可能性がある特許については早々に出願しておきたいという考えは理解できなくはない。私も企業の経営者の立場にあれば同じことを考えるかもしれない。これまで情報セキュリティに関する技術情報は他の技術領域に比べれば、早期に公開されることが多く一旦公開された内容については特許の対象とはならないために、あまり特許の問題を目にする機会は少なかったように思う。

今後、様々な企業がセキュリティ対策について特許を出願しその権利を行使するような時代が来るとなると、情報セキュリティ対策の普及や研究活動にも制約が及んでくることになるかもしれない。例えばある「特定の」（2/15追記）ウィルスを検知・駆除するための技術について特許出願が行われ、他の企業がそのウィルスを検知・駆除するために「同じ手法を使わざるを得ない状況が生まれた場合に」（2/15追記）特許使用料を支払わなければならないというような事態が起こるのだろうか？(あるいは実際に起こっている？)また、そういった事態がありうるとするとそれを逆手にとり、自分で作ったウィルスを検出・駆除するためには自分が権利を保有する特許を使用せざるを得ないというような状況を意図的に作り出し、ウィルスベンダー各社から使用料をせしめるなどという輩も出てくるかもしれない。

私は情報セキュリティ企業が情報セキュリティ対策や関連するサービスによって儲けてはいけないとは思わない。情報セキュリティ技術者は全てボランティアというような状態は結果的に社会にとってはマイナスだろう。きちんとした企業が優秀な人材を集め、質の高い価値のある製品、サービスを提供しそれに対して十分な対価を得られる環境が整備されるべきだ。特に国内の情報セキュリティ企業の活動が産業として成熟し国際的にも競争力を高めていくことは、国家としても重要な課題だと考えている。とはいうものの情報セキュリティにおいて積極的に特許の取得や権利の行使が行われるとなると、各種対策の実現や研究活動の制約が多くなりあまり望ましい状態ではないようにも感じる。
情報セキュリティ技術についても他の技術領域と同様に特許の仕組みを積極的に活用すべきなのだろうか？あるいは社会、企業の両方にとってメリットのあるなんらかのルールや枠組みが必要なのだろうか？

（参考情報）
■「Winnyファイル拡散防止サービス」提供開始（ネットエージェント, 2/13）
http://www.onepointwall.jp/press/20070213.txt

■Content Availability, Pollution and Poisoning in File Sharing PeertoPeer Networks（Nicolas Christin et.al.）
http://p2pecon.berkeley.edu/pub/CWC-EC05.pdf

■偽装ファイルによるWinny漏洩情報の隠蔽(武田圭史, 06/03/28)
http://motivate.jp/archives/2006/03/winny_4.html
■Winny流出には「P2Pネットワークポイゾニング」が有効 (InternetWatch, 06/03/27)
http://internet.watch.impress.co.jp/cda/event/2006/03/27/11378.html

（2/15　追記）昔に似たような話があったなと思い検索したら以下のような情報を発見した。
■平成１７年度特許流通支援チャート・不正アクセス侵入検知防御技術(工業所有権情報・研修館, 2006年3月)
http://www.ryutu.ncipi.go.jp/chart/H17/denki31/frame.htm

■Intrusion Detection Systems: NIDS Patent(Insecure.org, 2000年5月)
http://seclists.org/ids/2000/May/0056.html

(2/15追記2)
セキュリティホールメモ小島さんの「特定の検知・駆除手法に対して特許が取得されている場合の話やけど・・・」について、「（様々な対象に適用可能な一般的な）特定の手法ではなく」「特定のウィルス」について例えば通常考え得る方法の特許を先行取得することで他のベンダーが同様の手法で検知することを妨害しうるかという疑問だったので、若干の補足を追記した。

ひさびさの更新となりました。

下記のとおりイベントを開催いたしますのでお知らせします。

オフショア化が進む国際的なIT開発の現状、わが国におけるCISO（最高情報セキュリティ責任者）のあり方、最新のプライバシー保護データマイニング研究の動向などをご紹介します。CISOだけでなく企業の経営陣やIT担当者、ソフトウェア開発者、情報セキュリティ研究者まで幅広い方に参加いただければと思います。

■カーネギーメロン大学日本校CISOセミナー（1/29, 東京都千代田区海運クラブ, 通訳有, 参加無料）
http://cmuj.jp/070129CISOseminar/index.html

来る１２月１１日に、CMUピッツバーグ、Dr. Adrian Perrig助教授による「センサーネットワーク保護のための技術」と題した無料セミナーを神戸で開催します。今年７月に開催し好評を博したセミナーの続編であり『セキュアセンサーネットワーク』についてより具体的な技術動向や研究成果について解説します。

詳細は下記ページをご覧ください。

（セミナー概要）
■「センサーネットワーク保護のための技術」（12/11 15:30-17:00, 神戸, 無料, 英語）
http://www.cmuj.jp/061211seminar/index.html

米国やヨーロッパの一部では情報セキュリティは経済学的な問題としてとらえられ、以前から様々な研究活動が行われてきた。日本でも情報セキュリティの投資対効果分析が行われたりすることはあるが、その程度にとどまってしまいそれほど盛り上がっていないように感じられる。

今回、プライバシー情報の取り扱いに関する経済分析の分野で知られ、BlackHatでも過去に講演をしているAlessandro Acquisti氏をＣＭＵピッツバーグより招きプライバシーの経済学に関するセミナーを開催することとなった。プライバシーや個人情報保護の背景にある理論や今後の展開について興味深い話が聞けるだろう。

(関連情報・申込み)
■カーネギーメロン大学日本校・情報セキュリティセミナー（12/4, 神戸市, 無料）
「プライバシーの経済学(The Economics of Privacy)」
http://www.cmuj.jp/061204seminar/index.html

各都道府県（庁）が使用しているWebサイトのアドレスについて整理してみた。

LG.JPドメイン(www.pref.[都道府県名].lg.jp)を主に使用している都道府県は９（１９％）。
地域型ドメイン名(www.pref.[都道府県名].jp)を主に使用している都道府県は３８（８０％）。

LG.JPドメインを主に使用している都道府県のうち地域型ドメイン名で指定してもサイトが見れるようにしてある都道府県は１（２％）、LG.JPへの移転案内等を示しているものは４つ（９％）であった。

一方、地域型ドメイン名を主に使用している都道府県のうち、LG.JPドメイン名で指定してもサイトが見れるようにしてある都道府県は１０(２１%)あり、鳥取県のみがLG.JPドメインでのアクセスについて地域型ドメイン名に誘導する案内が表示されるようになっている（２％）。

各都道府県（庁）のアドレスには一般に「www.pref.[都道府県名].lg.jp」もしくは「www.pref.[都道府県名].jp」が使用されているが、４７都道府県中、兵庫県のみが「web.pref.hyogo.jp」を使用しており、「www.pref.hyogo.jp」でアクセスすると「兵庫県環境局」のWebページが表示される。

○：主なアドレスとして使用
△：使用可能だが主なアドレスではない
×：不使用
※：他アドレスへの誘導案内等を表示

xmlns:x=”urn:schemas-microsoft-com:office:excel”
xmlns=”http://www.w3.org/TR/REC-html40″>

 
（参考情報）

■LG.JPドメイン名(LASDEC)

http://www.lasdec.nippon-net.ne.jp/lgw/sec-domain.htm
■地方公共団体ドメイン名の登録基準の明確化について(JPNIC, 1999)

http://www.nic.ad.jp/ja/topics/1999/19990624-01.html

CMUピッツバーグのCERT/CC SEIからロバート・C・シーコード ( Robert C. Seacord )氏が来日してセキュアプログラミングに関する講演を行います。

（うちのプログラムを除き）なかなかセキュアプログラミングについてきちんと学ぶ機会も少ないかと思いますので、セキュアプログラミング実践的な内容を習得する良い機会ではないかと思います。

もう遅いかもしれませんが、本日中に申し込むと若干お安くなるようです。

今回神戸にも来てもらいたかったのですが、日程が合わず実現できませんでした。

■C/C++ セキュアコーディングセミナーのご案内(JPCERT/CC)
http://www.jpcert.or.jp/seminar.html

本日はeEye Digital Security社鵜飼氏にゲスト講演にお越しいただいた。

セキュリティ・プロフェッショナルのためのリバースエンジニアリング
～脆弱性の発見・攻略手法、パッチ差分解析、バイナリパッチングなどの最新技術動向と実践テクニック～

タイトルが示すとおり非常に興味深いお話をしていただき、ディスカッションの時間も十分とらせていただけたので、参加いただいた方の満足度も非常に高かったようだ。

個人的には、サードパーティーパッチの実情や、Exploitの難読化、非公開脆弱性の秘密裏なパッチ修正など、最新のトピックに関する裏話がいろいろ聞け興味深かった。

特に関西方面ではこういった機会もそれほど多くないと思われるので、今後もこういった形でセミナーを開催できればと思う。

ご参加いただいた皆さんお疲れ様でした。鵜飼さんどうもありがとうございました。

明日午前「情報セキュリティにおける見える化 – JSOX対応からWinny対策まで」と題して日経BPセキュリティソリューションフォーラムでお話します。

参加いただくと昼食がでるようです。

・・・と思ったらすでに満席でした。展示会の方には今からでも申し込めるようです。

■日経BPセキュリティソリューションフォーラム（10/19-20, 東京ビックサイト）
http://ac.nikkeibp.co.jp/nc/sec12/

佐々淳行氏の呼びかけにより今年11月から来年3月にかけて首都大学東京で開かれる総合危機管理講座において情報セキュリティに関する講演を行うこととなった。

この講座、前期約３ヶ月の間だけでも佐々淳行氏を筆頭に郷原信郎氏、日下公人氏、上田愛彦氏、志方俊之氏、小川和久氏、杉田和博氏、宮家邦彦氏、江畑謙介氏と、私以外はなんともまあ豪華な顔ぶれで、後期も含め危機管理の著名人が勢ぞろいだ。

国家戦略から地域や家庭の問題まで幅広く扱っており、政府や自治体、企業の危機管理の実務を担当されている方にぜひご参加いただきたい内容である。私自身、日程が許せば受講者として参加したいぐらいだ。なお募集の枠が限られているので、興味をお持ちの方は早めのお申込みをお勧めする。

P.S. ファイヤー（ア）ウォール云々というのは、まあご愛嬌ということで・・・。

■首都大学東京・オープンユニバーシティ・総合危機管理講座（前期）(11月～1月, 東京晴海, 33,000円)
http://www.ou.tmu.ac.jp/detail?product_id=580

■首都大学東京・オープンユニバーシティ・総合危機管理講座（後期）(1月～3月, 東京飯田橋, 33,000円)
http://www.ou.tmu.ac.jp/detail?product_id=581

今期私が担当しているセキュア・ソフトウェア・エンジニアリングというコースでは、安全なソフトウェアの開発はもちろんのこと、各種脆弱性の解析、不正コードの解析、リバースエンジニアリング、アンチリバースエンジニアリング、コードレビューなどを扱っている。カリキュラムの開発は大変だが、まだ体系化されていない領域でもありやりがいのあるコースである。

今回米eEye社の鵜飼氏が一時帰国されるとのことだったので、カーネギーメロン大学日本校でのゲスト講演をお願いすることにした。米国脆弱性監査の最前線の様子などをうかがうことができそうなので大変楽しみだ。こういう話が国内で聞ける機会はあまりなく、席数も限られているので早めの参加申込みをお勧めする。

鵜飼さんも紹介記事の中で書いているがセキュリティにおける「リバースエンジニアリング」技術は日本では比較的なじみが薄くネガティブな印象を持たれることが少なくない。このような分野のおける様々な知識やノウハウを体系化しセキュリティ分野における重要な技術領域として確立していくべきだろう。

（参考）
■カーネギーメロン大学日本校・ゲスト講演(10/4)
～リバースエンジニアリングによる脆弱性解析の最新技術動向～
「プロフェッショナルのためのリバースエンジニアリング」
http://cmuj.jp/061102seminar/index.html

■セキュリティとリバース・エンジニアリング(ITpro, 10/4)
http://itpro.nikkeibp.co.jp/article/Watcher/20061004/249805/