Winny被害、収まる気配なし一体なぜ? Winny/Share経由の情報漏えいが絶えない訳
なぜP2Pソフト経由の情報漏えいはいまだ減らないのか? 何度も繰り返されるこの疑問に、果たして答えはあるのか。流出する原因を根本から見直し、今、できる対策を考える。
2009年も“漏えい祭り”継続となるのか?
2009年1月5日、情報処理推進機構(IPA)の職員が自宅に持ち帰った業務情報がファイル共有ソフト(P2Pソフト)経由で流出した(参考記事)。流出ファイル数は1万6000件以上。加えて、同職員が前の勤務先で扱った西武百貨店の従業員情報も流出した。このほか1月8日、日本アイ・ビー・エムのシステム開発委託先からWinny/Shareネットワークを通じて神奈川県県立高校生など約11万人分の個人情報が漏えいした事件が発覚した。委託先企業の社員が業務で使っていた個人のPCにWinnyをインストール、暴露ウイルスに感染したのが原因だ。また9日には環境省で収集した小学校21校の児童情報1342人分が流出した。2009年年明け早々、P2Pソフト経由の流出事故が明るみに出たものだけで3件も発生している。
これまで幾度となくマスコミに取り上げられ、総務省などからも勧告が出されているにもかかわらず、なぜP2P型ファイル交換ソフトでの情報漏えい事件はやまないのだろうか。例えば「Winny」だ。2002年5月から無料配布され、爆発的に利用ノード数を伸ばしたWinnyは、配布当初よりソフトや音楽コンテンツなどの違法交換が問題視されてきた。その後、暴露ウイルスに感染したPCから業務データの漏えい事件が多発、2006年12月には開発者が有罪判決を受けた(参考記事)。
こうした状況を重くみたセキュリティベンダーは、Winny対策ツールの提供を開始。シマンテックやアンラボなど各種ウイルス対策ベンダーではWinny検出ツールを無償公開し、ヤマハやフォーティネットなどゲートウェイ製品ベンダーはWinnyの通信を検出および遮断するファームウェアを配布した。企業側でも社員にWinnyなどの使用禁止を勧告するなど、ポリシー面からの抑制を図った。
それでもなお、事件は発生している。特に昨今の金融不安から、より安く、より簡単に欲しいコンテンツを手に入れたいという欲求は増しており、「2008年よりも(同様の事件が)数としては増える可能性もある」と、Winny対策などで知られるネットエージェント代表取締役社長の杉浦隆幸氏は警告する。
「おすそ分け」の精神も善しあし
Winnyによる被害はなぜ減らないのか。大本には、WinnyやShareなどのP2Pネットワークと暴露ウイルスの存在がある。Winnyは基本的にデータをダウンロードした瞬間からアップロードを開始する。「日本では高品質の常時接続環境が低額で手に入る。だから1ファイルを取得するのに時間がかかっても気にしない人が多い。また、隣人からリンゴをもらったらミカンをお返しするという“おすそ分け”の文化も手伝って、手持ちのデータをアップロードすることに抵抗がない」(ディアイティ、セキュリティサービス事業部 副事業部長の河野省二氏)
海外の場合、情報のやりとりには金銭が絡みやすいため、発信側と受信側が明確に分かれるケースが多い。また、プラスαのサービスに対してチップを払う習慣もあることから、「1つのデータがダウンロードされるまでじっと待つよりも、多少支払ってでも100倍のスピードで複数ファイルを一気に取得できる方を選ぶ」(河野氏)傾向が強い。昨今発生している情報流出のケースは、日本特有といってもよい。
さらには、自宅に仕事を持ち帰らざるを得ない現状と、Winny/Shareへの認識不足も漏えい事故発生に拍車を掛けている。
まず仕事を持ち帰る点について。例えば金曜夕方に発生した仕事を月曜朝までに処理しなければならず、経費削減により残業が禁止されている場合、どうするか。自宅に持ち帰らざるを得ないと回答する人は少なくないだろう。本来は就業時間内に仕事を終えるのが理想だが、そうも言えない現実がある。
実はこの「仕事お持ち帰り」の習慣は、被害拡大の原因でもある。例えばIPAの流出事件を見ると、流出元となった社員が以前勤務していたデータも流出した。同社員は西武百貨店が2000年にシステム開発を依頼した委託先に勤めており、その時持ち帰った6296人の従業員情報が今回、併せて流れたのだ。結果論ではあるが、仕事を持ち帰る習慣がなければ被害を避けられたかもしれない。「自宅に持ち帰ること自体が漏えいだと、個人も会社も認識していない」(杉浦氏)ので、まかり通ってしまう。
Winny/Shareへの認識不足もある。ディアイティは2008年9月に「トラブル相談室」を開設した。Winnyなどの危険性と対策などを相談する無料窓口で、「暴露ウイルス体験ツール」(画面1)でどのように情報が流出するかを見せ、対応策として「情報漏えいトラブル初期対応ガイドブック」を配布している。「Winnyトラブル相談室は、情報漏えいセミナーなどを実施する中で気付いたあることをきっかけに設置した」とディアイティ セキュリティサービス事業部 事業部長の青嶋信仁氏は話す。“あること”とは、Winny使用禁止令を出す経営層がそもそもWinnyの危険性を十分に理解できていないことだ。
「Winnyという単語やそれ自体が漏えいにかかわることを知っていても、ソフトを使用したことがないので、どのように流出するのか、どのファイルが流出するのか実質は知らない。漏えいしたときの苦労も、おのずと想像がつきにくくなる」(青嶋氏)
暴露ウイルスは、PC内のデータを根こそぎ持って行く。過去にやりとりして、すっかり存在を忘れていたファイルすら洗い出してネットワーク上にさらし始める。さらに流出源の個人情報も付加することを忘れない。Winnyネットワークを24時間体制で監視しているネットエージェント 広報担当部長の中山貴禎氏は「ウイルス感染でアップロードされたデータには、その人物のアカウント名や地域情報などが含まれている場合もある。写真などは言うまでもなく、Webブラウザのお気に入りリストも名前付きで持って行かれ、趣味・嗜好(しこう)も含めて公開されることを考えると相当に恥ずかしい」と忠告する。
さらには「掲示板やSNSで話題になれば、Winnyネットワークへ取りに行く人が増え、さらにダウンロード/アップロードが繰り返されて被害も拡大する」(ディアイティ 情報セキュリティ研究所主任研究員、永田弘康氏)。企業にとっても個人にとっても、痛みが伴う。
企業対策のヒントは「データ回収」
では、対策方法はあるのだろうか。自宅PCも関係してくることから、企業と個人両面での対策が必要となる(図1)。
図1●Winny対策の概要まず企業対策としては、主に次の3つが考えられる。
- データのコピーを無駄に作らず、適宜削除する
- 成果物を管理するのではなく業務の視点で管理する
- 漏えい後の対策手順を明文化する
1つは、データのコピーを不用意に作らないことだ。コピーがあらゆるところに存在するからリスクが増える。それでもコピーを作って自宅に持ち帰る必要があるのなら、セキュリティ対策が施されたノートPCを用意するか、自宅PC内の業務データを「回収」するソリューションを導入すべきだろう。例えば、ディアイティの「FileChaser」やネットエージェントの「Winny特別調査員2」(画面2)のように、PC内の機密データを一覧表示して削除できるようにしたり、会社の指定サーバへアップロードした後に削除したりするソリューションがある。「ここ1年くらいで(データを回収するという)対策を取る企業が増えた」と杉浦が語るように、有効対策の1つとなっている。
2つ目は、業務の視点でデータを管理することだ。多くの企業は成果物だけを管理しており、業務を管理していないと河野氏は指摘する。「成果物だけを見ていると、データは最後に手渡された人物のところにだけ存在することになる。しかし、複数人を経由して送信されていれば、経路すべてにコピーが残っていることになる。業務を管理できれば、誰が誰にデータを渡したかが明確になり、複数個所に存在することも把握できる」(河野氏)
最後に、事後対策の手順をはっきりさせておくことも重要だ。ディアイティでは、Winnyトラブル相談室の一環として「情報漏えいトラブル初期対応ガイドブック」を配布している。ガイドブックでは情報漏えいが発生したときに取るべき対策がストーリー形式で分かりやすく解説されており、何をすべきか整理するのに役立つだろう。もちろん、不用意に自分たちだけで解決しようとせずに専門家に相談することも検討したい。状況を確認しようとWinnyを起動すれば、さらにデータは流出し、ウイルス対策ソフトでウイルスを削除すれば証拠が消える。2009年「情報漏えい初期対応ガイド」を発表したネットエージェントは、「どのような被害が発生し得るかが整理されていない状態で下手に何かをしようとすると、逆に事態は悪化することが多い。対処は1分、1秒でも早く実施する必要があるものの、うかつに自分たちだけで何とかしようとしない方がいい」(杉浦氏)と訴える。
専門家がいるからこそ、二次被害の拡大も防げる。Winnyはファイルを分割しながらダウンロードすることから、ナローバンドのユーザーやあまりネット接続しないユーザーが数カ月後にファイルを全取得した結果、回収したはずのデータが再度流出することもある。「Winny調査サービス」を提供するネットエージェントでは、「企業によっては毎週Winnyネットワークをモニタリングしてリポートを提出してほしいという依頼もある」という。
個人対策は「整理整頓」から
では、個人対策はどうか。
- Winnyを使用しない
- 業務データは削除すること
- 日本の事情に合ったウイルス対策ソフトを導入すること
1つ目は言うまでもないが、家族共有のPCである場合、徹底するのは難しいかもしれない。その場合でも、暴露ウイルス体験ツールなどで被害を家族に実感させたり、持ち帰った情報は用件終了後直ちに削除したりするなど、何らかの対策はできるだろう。「ある案件で、契約社員が情報を流出させたことに対して500万円の損害賠償を払わせたケースがある」(杉浦氏)。自宅PCでの利用とはいえ、事態によっては重い処分を覚悟しなければならない。
2つ目は、持ち帰った業務データを過去のものも含めて削除することだ。さらには、自分のPC内にあるデータを整理することもお勧めする。データを整理整頓すれば、リスクは一気に軽減する。
ウイルス対策ソフトの選択についても意識したい。特に海外製の無料あるいは非常に安価なソフトなどは、日本の事情が考慮されていないケースが少なくない。「検体を報告しても、日本の独特な部分を把握しきれていないせいもあってか会話がうまく通じなかったりすることも」(中山氏)あり、こうした部分での対応が不十分だ。業務データを守るだけでなく、自分自身を守る意味でも、製品選びは慎重に行った方が安心だ。
以下に企業や個人で利用できるWinny/Share対策製品の一部を紹介する(表1)。ここではウイルス対策ソフトは除外し、P2Pソフトを検知したり自宅PC内の業務データを回収したりする製品をピックアップした。
| 製品名 | 提供元 | タイプ | 内容 |
|---|---|---|---|
| Winny対策@PTOP | OKINET | サービス | 専門コンサルタントによるセキュリティ教育、調査ツールの1年間提供、調査ツール利用トレーニングの実施、メールサポートなど |
| Winny検知サービス | セコム | サービス | 検知プログラムをクライアントPCなどにインストールし、Winnyを検知したら即削除・起動制限などを行うオンラインサービス |
| ファイル流出監視サービス | ディアイティ | サービス | Winnyネットワーク上に流出したファイルを収集して内容を確認、検知した際のメール通知や調査支援などを実施。オプションで拡散状況リポートも行う |
| Winny調査サービス Share調査サービス LimeWire/Cabos調査サービス |
ネットエージェント | サービス | 「Winny調査サービス」は、独自のWinny検知システムをベースにWinnyネットワークを観測、ファイルの流出経路や流出元を特定するサービス。拡散防止のコンサルティングなども実施。同様にShareやLimeWire/Cabosでもサービスを提供中 |
| P-Pointer | KLab | ソフトウェア | USBメモリに格納されたP-Pointer実行ファイルを自宅PCなどで実行すると、自動で業務関連ファイルや個人情報ファイルを検索、削除する。監査内容はUSBメモリ内に保存され、管理者は回収して確認できる |
| Winny検知プログラム(個人向け) | セコム | ソフトウェア | セコムトラストシステムズのサービスセンターから検知プログラムがインストールされたPCに対してP2Pソフトの有無を検証、発見時には起動制限や無効化を行う。法人向けサービスもある |
| P2PChaser | ディアイティ | ソフトウェア | P2Pソフトの有無を確認して自動削除、検査結果や削除履歴についてクライアント情報と共にリポートを作成 |
| FileChaser | 実行ファイルを起動し、管理者が設定したキーワードや属性に一致するファイルを検出。圧縮ファイルからメール添付ファイルまで、さまざまな形式に対応。エンタープライズ版とスタンダード版およびUSBメモリ版がある | ||
| Winny特別調査員2 | ネットエージェント | ソフトウェア | CD-ROMをセットすると業務関連ファイルを検出し、会社で用意した回収専用サーバなどへファイルをアップロード、検出したファイルはファイル復旧ソフトでも復活できないよう完全削除する。評価版の貸し出しも可能 |
| Winny Lock | セキュアデザイン | ハードウェア | Winny LockがインストールされたUSBメモリを自宅PCなどに挿入すると、自動でP2Pソフトの検索・停止を実行。安全が確認されてから初めてUSBメモリ内のデータへのアクセスを許可する。指紋認証機能を搭載、ファイルも暗号化する |
サービスについては、セコムの「Winny検知サービス」のようにP2Pソフトを検知して即座に起動を中止するソリューションと、ネットエージェントの「Winny調査サービス」やディアイティの「ファイル流出監視サービス」のように流出状況の監視や流出ファイルの回収などを含めたソリューションの2タイプがある。流出事件発生の確率は企業規模に比例する。特に社員数の多い企業、関連会社を含めて対策を図りたい企業であれば、リスク対策の一環としてこうしたサービスは効果的だろう。
自宅PC内の業務データを回収するのであれば、「Winny特別調査員2」(ネットエージェント)や「FileChaser」(ディアイティ)、「P-Pointer」(KLab)などがある。業務データの棚卸しという点でも、PC内の業務関連データを一覧表示して会社サーバなどにアップロード、その後に徹底削除する(Winny特別調査員2)、改ざんの有無をチェックできる形式で削除リポートを作成する(FileChaser)、社内の個人情報ファイルを把握するのに活用する(P-Pointer)など、機能はさまざまだ。
またセキュアデザインの「Winny Lock」は、USBメモリ型のWinny対策というユニークなソリューションだ。自宅PCや持ち出しPCにUSBメモリを接続したとき、そこにP2Pソフトが動作していると、動作停止するまでUSBメモリ内の保存データへアクセスできない。データも暗号化されるので、紛失した場合でも安心だという。
有効な対策製品は出そろっている。2009年こそ、Winny/Shareによる情報漏えいに歯止めをかけたい。
関連記事
- Winnyウイルスが企業に与える被害と対策の現状
- WinnyユーザーのPCがゾンビPCに変わる日
- 年末年始のWinnyノード数、前年比で2割減――ネットエージェント調べ
- Winnyウイルスの現状を知ろう
- EDコントライブ、外へのデータコピーをブロックするUSBメモリ
- IPA職員の情報流出は1万6000件 「Winny」「Share」でわいせつ画像など入手(ITmedia News)
- IPA職員に停職3カ月の懲戒処分 「Winny」「Share」情報流出で(ITmedia News)
- Winny利用の果て――家族崩壊した銀行マンの悲劇(ITmedia エンタープライズ)
- ファイル共有ソフトの利用で犯罪者になる可能性も(ITmedia エンタープライズ)
- 「Winnyを使うかぎり漏えいはなくならない」、IPAが改めて危険性訴え(ITmedia エンタープライズ)
この記事を読んだ人にお薦めのホワイトペーパー
この記事を読んだ人にお薦めの関連記事
ITmediaはアイティメディア株式会社の登録商標です。