株式会社アスキーは5月2日、企業の情報セキュリティ担当者を対象にした情報漏えい対策セミナー「止めるぞ!情報漏えい」を 東京・秋葉原のダイビル秋葉原コンベンションホールで開催した。
昨今増加しているファイル共有ソフトユーザーによる情報漏えい問題に関して、Winny開発者の金子勇氏やWinny弁護団事務局長の壇俊光弁護士、およびセキュリティ関連ベンダーなどが約半日講演。情報漏えい対策の最前線の状況について説明が行われた。
主催者したアスキーのネットワークマガジン編集部・中野克平氏は、「わずか1カ月で準備したが、満員の盛況。企業の情報システム担当者の関心の高さを感じた」と語る。
|
金子勇氏
|
講演の後半のセッションに登場したWinny開発者の金子勇氏は、「Winny開発者にできること」として、Winnyユーザーによる企業や個人の情報漏えい対策について言及。そのなかで、「Winny利用者の情報漏えいを防ぐのは比較的容易だ」とし、その具体的な手法について説明した。
Winnyに感染するウイルスの特徴は、WinnyのアップフォルダであるUpfolder.txtを書き換えているケースがほとんどだという。
Upfolder.txtは、初期段階では存在せず、ユーザーがWinnyを利用して、ファイルを公開した際に初めて作成される。通常であれば、設定ファルダ内のファイルのみを公開し、アップフォルダ内のサブフォルダや隠しファイルは公開されない。だが、標準の状態でもWindowsの隠しフォルダやシステム属性ファイルは公開される仕組みとなっている。「隠しフォルダが公開されるようになっていた点では見落としがあった」と金子氏は語る。
このUpfolder.txtを書き換えたり、隠しファルダを追加するようなウイルスが登場したことによって、パソコンに蓄積されていた情報が漏えいするということになる。
金子氏は、重要な情報を持ち出さないこと、企業で利用しているパソコンと私物のパソコンとを共有しないこと、重要情報の暗号化を行うこと、ウイルスに感染しないための対策を施すことなどを前提として、さらに、Winny側での対策を行うことを提案。「とくに、アップフォルダ周辺の対策を行うことが必要」とした。
その具体的な対策として、3つの方法があるとする。
ひとつはWinnyのアップデートによる対応だ。Upfolder.txtの名前を変更し、現行のWinny向けの情報漏えい型ウイルスをすべて動作させなくする一方、今後、発生する新たなウイルスに対応するために、アップフォルダ設定を暗号化すると同時に、アップフォルダが設定変更された場合にはそれを検知して警告を発するというように改良を加える。また、隠しフォルダやシステム属性ファイルは公開対象としない形に改良を加えるというものだ。
金子氏は、「これが一番確実で簡単な方法」とするものの、現在、金子氏は、Winnyに関して著作権法違反幇助で起訴されており公判中。そのなかで、Winnyのバージョンアップを繰り返したことが、幇助起訴理由のひとつとされており、金子氏自らがこれをバージョンアップすることはできない状態にある。その結果、Winnyは、2003年11月以降、2年半もバージョンアップされていないままだ。
「第三者の方がバージョンアップしていただくのもいいが、私が開発したものでないと多くのユーザーはバージョンアップ版をインストールしてくれないだろう」というのも事実。事実上、バージョンアップ版の開発および普及は難しいといっていい。
2つめは、外部プログラムでの対応方法だ。Upfolder.txtそのものを書き換えたり、勝手に隠しファルダを追加したりといった場合に警告を発するという監視プログラムを導入するというものだ。
「アンチウイルスソフトやスパイウェア対策ソフトでこうした対策をするのが最適だが、いまは、Winnyそのものを検知して、Winnyを消去するという方向に動いている」と皮肉った。
3つめは、Winnyに対するパッチでの対策だ。「情報漏えい対策以外にも、パッファオーバーフローの問題があり、脆弱性対策は必要。パッチで早急に対応する必要がある。これはWinny開発者以外でも開発が可能であり、ぜひ、誰かに作ってほしい」と語る。ただし、その一方で、「すでにパッチを開発している人もいるが、パッチと名乗りながら、実はウイルスだという例もあり、利用者は気をつけてほしい」とした。
最後に、金子氏は、「すでに漏えいしてしまった情報は消せない。しかし、今後の新たな漏えいを止めることは容易である。早急に対策をしてほしい」と呼びかけた。
|
Winny弁護団事務局長の壇俊光弁護士
|
また、Winny弁護団事務局長の壇弁護士からは、「Winnyそのものが悪いというように言われているが、Winnyには著作権侵害を助長させるための機能は実装されていない。世の中では、誤解されている例が少なくない」と前置きし、「Winnyユーザーは、複雑な設定をし、TCP/IPに関する高度な知識を有しているが、セキュリティに関する基礎知識を習得しないという傾向がある。画像ファイルのなかに不自然なテキストファイルがあるという暴露ウイルスの簡単な偽装すら見抜けない。Winnyは勝手にインストールされるのではなく、ユーザーの意志でインストールされたもの。それを排除するのではなく、Winnyを利用する環境でも、適切なセキュリティ対策を施すことを考えてほしい。逆にWinnyを使わなくても、ネットワーク上に情報が漏えいするウイルスも出ている。Winnyを使わなければ安全ということは、すでに成り立たない」などとした。また、Winnyの開発、公開、利用、管理などにおいて、解決されていない法的問題が存在し、法整備が追いついていないことも指摘した。
( 大河原 克行 )
2006/05/08 08:59
|