アスキービジネス

ホーム > アスキービジネス > セキュリティ

緊急特集 Winny禁止では何も解決しない! 情報漏洩を止めろ!

セミナーレポート Winny開発者の金子勇氏も登場

今すぐできる情報漏えい対策3/3

Winny開発者以外でもパッチは作れる
ぜひ誰か作ってほしい

Winnyの開発者である金子勇氏
Winnyの開発者である金子勇氏

 セミナーの後半には、Winnyの開発者である金子勇氏が「Winny開発者にできること」と題した講演を行なった。現在の同氏の立場では、Winnyのバージョンアップが著作権法違反の幇助行為に見なされているので対策がとれないとしながらも、Winny開発者という視点から情報漏えい対策の手法を解説した。

 それによると、Winnyによる情報漏えい対策を起こすウイルスは、ファイルをアップロードするフォルダ(アップフォルダ)を指定する「Upfolder.txt」を書き換えてしまうケースがほとんどだという。Upfolder.txtを書き換えることで、ユーザーが意図しないフォルダが共有され、情報漏えいが発生する。つまり、Upfolder.txtを容易に変更できるところが本質的な問題である。

 こうしたウイルスへの対策として、金子氏は3つの方法を提示した。まず1つ目が、「Winnyのバージョンアップ」である。冒頭で述べた「幇助行為」になるので、現時点ではこの方法は無理だとしながらも、開発者本人として具体的なプランを説明した。まず、従来のウイルスに対しては、Upfolder.txtの名前を変えるだけで対策が可能だ。もちろん、この方法は指定するファイル名を変更するだけで新種のウイルスが発生してしまうので、あわせてアップフォルダの設定を暗号化したり、アップフォルダの設定が変更された場合に警告を出すといった対策を提示した。

 一方、現実的な方法として挙げたのが、「外部プログラムで対処」という方法だ。外部プログラムで、Upfolder.txtを書き換えた場合に警告を出すだけでも効果はあるという。また金子氏によると「最近はさまざまなセキュリティ対策ベンダーからWinny自体を消去するソフトが出ているようだが、これはあまり意味がないと考えています」と話した。ユーザーが自発的にWinnyを導入しているので、使いたい人はこうしたソフトを外してでもソフトを利用するからだ。もちろん、誰しも自分の情報が漏えいすることは避けたいので、Upfolder.txtを監視するプログラムを常駐させるだけで大きな効果が得られるという。

 さらに3つ目の方法として「Winnyにパッチを適用する」ことを挙げた。実際、先日発見されたWinnyのバッファーオーバーフローに関する脆弱性に対して、パッチを作成したユーザーがいることを指摘。もちろん、将来的にはパッチを装ったウイルスが発生する可能性を危惧しながらも、開発者以外が可能な方法として「ぜひ誰かに作ってほしい」と呼びかけていた。

 また、金子氏は最後に「Winnyを最後にバージョンアップしたのは2年半以上前。そもそも、これだけ使われているソフトが長期間放置されているのが問題」と語った。なお、世間ではWinnyが「包丁」や「拳銃」といった例えをされることがあるが、金子氏はこれに対して非常に違和感を持っているという。同氏によると、Winnyは「巨大な情報共有ストレージ」であり、例えとしては「ネットワーク上の電子図書館」がしっくりくるという。また、当然のことながら「Winnyはウイルスではない」ことを強調し、ウイルス対策の重要性を説いていた。

ファイル共有ソフトに関する
法整備が追いついていない現状を指摘

Winny弁護団事務局長である弁護士の壇俊光氏
Winny弁護団事務局長である弁護士の壇俊光氏

 最後に、Winny弁護団事務局長として約2年間弁護活動を行なっている弁護士の壇俊光氏が「情報漏えい対策と法律について」と題した講演を行なった。

 まずは、Winnyによる情報漏えいに対する法整備が追いついていないことを指摘。2004年3月30日に北海道警察で発生した情報漏えいに対する国家賠償請求訴訟に対して、札幌地裁と高裁の判断が異なることを例に挙げて説明した。同事件は、北海道警察の巡査が持つ私用パソコンがAntinnyに感染し、捜査情報が漏えいした事件である。同事件に対し2005年4月28日、札幌地裁では30万円の損害を認める判決を下している。一方、札幌高裁の判決では地裁における敗訴が取り消された。主な理由として、情報流出当時にAitinnyのウイルス定義ファイルがなく、ウイルスによる情報漏えいを予見できなかったことが挙げられている。こうした異なる判決の例を見ながら、壇氏は情報漏えい関連の法解釈の難しさについて語った。

 さらに、企業が情報漏えい対策のために、社員のWinnyによる通信を監視することは合法かという問題についても言及。2001年12月3日、社内メールの私的利用を監視するためのモニタリングをしていた事件に対し、東京地裁により合法という判決が下っている例を挙げ、同じくWinnyの私的利用を監視は適法になる可能性が高いとした。ただし、就業規則などで「モニタリングをしている」ということを明記するべきというアドバイスも付け加えていた。

 また、壇氏は最後に「Winnyの開発、公開、利用、管理、それぞれに解決されていない法的な問題があります。手錠による解決は愚の骨頂です」と締めくくった。

セミナーの内容をまとめた
書籍を刊行予定!

 当日のセミナーの内容を一冊にまとめた書籍を現在制作中! 企業の情報システム担当者であれば、ぜひとも知っておきたい知識が満載です。詳細が決まり次第、アスキービジネスのWebページでお知らせします。

前ページ <<  1 | 2 | 3 >> 次ページ

winnyトップへ戻る「Winny禁止では何も解決しない! 情報漏えいを止めろ!」のトップへ戻る

戻る
アスキービジネスのおすすめ

セキュリティ・レビュー 【アスキービジネス 新刊ムック】
セキュリティ・プロのための技術専門誌
「セキュリティ・レビュー」誕生!

SaaS【ASCII.jp SaaS・ASP】
効果的な導入から使いこなしまで
SaaSのすべてがここでわかる!

登録は無料!今すぐ登録する方はこちらから 利用者登録がお済みの方はこちらからログインできます
最新ニュース

| ASCII.jp | デジもの | Mac/iPod | 自作PC | 科学技術 | ゲーム・ホビー | 話題 | 情報システム | ビジネス |

| 価格比較 | Microsoft | キャリア | SaaS・ASP | VPN | SHARP | Panaspot | 富士通 | 住まい情報局 |

| EPSON DIRECT | Wireless Gate | アキバ | ムービーフラッシュ | SpeedGun | デジタル用語辞典 | Blogmag | アスキー365 |

サイトポリシー | プライバシーポリシー | 運営会社 | お問い合わせ

Copyright (C) 2005-2008 ASCII MEDIA WORKS. All rights reserved.