一体なぜ？ Winny／Share経由の情報漏えいが絶えない訳：Winny被害、収まる気配なし

なぜP2Pソフト経由の情報漏えいはいまだ減らないのか？　何度も繰り返されるこの疑問に、果たして答えはあるのか。流出する原因を根本から見直し、今、できる対策を考える。

[木村 真]

2009年も“漏えい祭り”継続となるのか？

　2009年1月5日、情報処理推進機構（IPA）の職員が自宅に持ち帰った業務情報がファイル共有ソフト（P2Pソフト）経由で流出した（参考記事）。流出ファイル数は1万6000件以上。加えて、同職員が前の勤務先で扱った西武百貨店の従業員情報も流出した。このほか1月8日、日本アイ・ビー・エムのシステム開発委託先からWinny／Shareネットワークを通じて神奈川県県立高校生など約11万人分の個人情報が漏えいした事件が発覚した。委託先企業の社員が業務で使っていた個人のPCにWinnyをインストール、暴露ウイルスに感染したのが原因だ。また9日には環境省で収集した小学校21校の児童情報1342人分が流出した。2009年年明け早々、P2Pソフト経由の流出事故が明るみに出たものだけで3件も発生している。

　これまで幾度となくマスコミに取り上げられ、総務省などからも勧告が出されているにもかかわらず、なぜP2P型ファイル交換ソフトでの情報漏えい事件はやまないのだろうか。例えば「Winny」だ。2002年5月から無料配布され、爆発的に利用ノード数を伸ばしたWinnyは、配布当初よりソフトや音楽コンテンツなどの違法交換が問題視されてきた。その後、暴露ウイルスに感染したPCから業務データの漏えい事件が多発、2006年12月には開発者が有罪判決を受けた（参考記事）。

　こうした状況を重くみたセキュリティベンダーは、Winny対策ツールの提供を開始。シマンテックやアンラボなど各種ウイルス対策ベンダーではWinny検出ツールを無償公開し、ヤマハやフォーティネットなどゲートウェイ製品ベンダーはWinnyの通信を検出および遮断するファームウェアを配布した。企業側でも社員にWinnyなどの使用禁止を勧告するなど、ポリシー面からの抑制を図った。

　それでもなお、事件は発生している。特に昨今の金融不安から、より安く、より簡単に欲しいコンテンツを手に入れたいという欲求は増しており、「2008年よりも（同様の事件が）数としては増える可能性もある」と、Winny対策などで知られるネットエージェント代表取締役社長の杉浦隆幸氏は警告する。

「おすそ分け」の精神も善しあし

　Winnyによる被害はなぜ減らないのか。大本には、WinnyやShareなどのP2Pネットワークと暴露ウイルスの存在がある。Winnyは基本的にデータをダウンロードした瞬間からアップロードを開始する。「日本では高品質の常時接続環境が低額で手に入る。だから1ファイルを取得するのに時間がかかっても気にしない人が多い。また、隣人からリンゴをもらったらミカンをお返しするという“おすそ分け”の文化も手伝って、手持ちのデータをアップロードすることに抵抗がない」（ディアイティ、セキュリティサービス事業部 副事業部長の河野省二氏）

　海外の場合、情報のやりとりには金銭が絡みやすいため、発信側と受信側が明確に分かれるケースが多い。また、プラスαのサービスに対してチップを払う習慣もあることから、「1つのデータがダウンロードされるまでじっと待つよりも、多少支払ってでも100倍のスピードで複数ファイルを一気に取得できる方を選ぶ」（河野氏）傾向が強い。昨今発生している情報流出のケースは、日本特有といってもよい。

　さらには、自宅に仕事を持ち帰らざるを得ない現状と、Winny／Shareへの認識不足も漏えい事故発生に拍車を掛けている。

　まず仕事を持ち帰る点について。例えば金曜夕方に発生した仕事を月曜朝までに処理しなければならず、経費削減により残業が禁止されている場合、どうするか。自宅に持ち帰らざるを得ないと回答する人は少なくないだろう。本来は就業時間内に仕事を終えるのが理想だが、そうも言えない現実がある。

　実はこの「仕事お持ち帰り」の習慣は、被害拡大の原因でもある。例えばIPAの流出事件を見ると、流出元となった社員が以前勤務していたデータも流出した。同社員は西武百貨店が2000年にシステム開発を依頼した委託先に勤めており、その時持ち帰った6296人の従業員情報が今回、併せて流れたのだ。結果論ではあるが、仕事を持ち帰る習慣がなければ被害を避けられたかもしれない。「自宅に持ち帰ること自体が漏えいだと、個人も会社も認識していない」（杉浦氏）ので、まかり通ってしまう。

　Winny／Shareへの認識不足もある。ディアイティは2008年9月に「トラブル相談室」を開設した。Winnyなどの危険性と対策などを相談する無料窓口で、「暴露ウイルス体験ツール」（画面1）でどのように情報が流出するかを見せ、対応策として「情報漏えいトラブル初期対応ガイドブック」を配布している。「Winnyトラブル相談室は、情報漏えいセミナーなどを実施する中で気付いたあることをきっかけに設置した」とディアイティ セキュリティサービス事業部 事業部長の青嶋信仁氏は話す。“あること”とは、Winny使用禁止令を出す経営層がそもそもWinnyの危険性を十分に理解できていないことだ。

　「Winnyという単語やそれ自体が漏えいにかかわることを知っていても、ソフトを使用したことがないので、どのように流出するのか、どのファイルが流出するのか実質は知らない。漏えいしたときの苦労も、おのずと想像がつきにくくなる」（青嶋氏）

画面1●暴露ウイルス体験ツールの画面例《クリックで拡大》

　暴露ウイルスは、PC内のデータを根こそぎ持って行く。過去にやりとりして、すっかり存在を忘れていたファイルすら洗い出してネットワーク上にさらし始める。さらに流出源の個人情報も付加することを忘れない。Winnyネットワークを24時間体制で監視しているネットエージェント 広報担当部長の中山貴禎氏は「ウイルス感染でアップロードされたデータには、その人物のアカウント名や地域情報などが含まれている場合もある。写真などは言うまでもなく、Webブラウザのお気に入りリストも名前付きで持って行かれ、趣味・嗜好（しこう）も含めて公開されることを考えると相当に恥ずかしい」と忠告する。

　さらには「掲示板やSNSで話題になれば、Winnyネットワークへ取りに行く人が増え、さらにダウンロード／アップロードが繰り返されて被害も拡大する」（ディアイティ 情報セキュリティ研究所主任研究員、永田弘康氏）。企業にとっても個人にとっても、痛みが伴う。

会員登録（無料）が必要です

邯壹″繧定ｪｭ繧€

関連ホワイトペーパー

ウイルス | P2P | USBメモリ | 情報漏洩 | IPA（情報処理推進機構） | 暗号化 | 指紋認証 | 情報流出 | セキュリティ対策