セキュリティ対策の心得、基礎の基礎5カ条

番外編:P2Pファイル共有ソフトに潜む脅威


 昨今の不正プログラムは「Webからの脅威」と言われるように、不正なWebサイトからダウンロードされるものが多くを占めています。その一方で、「Winny」や「Share」などのP2Pファイル共有ネットワーク経由で流通している、未知の不正プログラムもまだ存在しています。

 金銭(もしくは金銭に替わる情報の詐取)を主な目的として、感染コンピューター上で静かに動作し続け、連続的に不正プログラムをダウンロードさせる「Webからの脅威」に見られる攻撃手法とは若干異なり、P2P経由の不正プログラムは、悪質ないたずらの意味合いが強いように見受けられます。

 しかし、P2Pファイル共有ネットワーク経由で侵入する不正プログラムの多くは、ユーザーのプライベート情報をネットワーク上にばら撒いたり、感染コンピューター上の実行可能形式ファイルを次々に上書きしてシステムクラッシュを引き起こすなど、感染時のユーザーへの影響は甚大です。

 今回は、「セキュリティ対策の基礎の基礎」の番外編として、P2Pファイル共有ネットワークに潜む脅威について解説します。

 P2Pファイル共有といえば、「Winny」ネットワーク上への情報漏えい事故が相次いだことを受け、2006年3月15日に当時の内閣官房長官が注意喚起を行ったことを記憶されている方もいらっしゃるかと思います。残念ながら、現在でもP2Pファイル共有による顧客情報等の漏えい事故は後を絶たないようです。

 ネットエージェントが1月13日に発表した調査結果によると、2009年10月の時点で、国内最大のP2Pファイル共有ネットワークである「Winny」を使用しているユーザーは、1日平均25万人強だそうです。

 その数は減少傾向にあるものの、いまだに多くのユーザーがWinnyでファイル共有を行っていることになります。WinnyをはじめとしたP2Pファイル共有ソフトを使用する危険性としては、以下の2点に大別できると考えています。

1)P2Pネットワーク内に流通する不正プログラムへの感染
2)著作物のダウンロード、アップロードによる違法行為

1)P2Pネットワーク内に流通する不正プログラムへの感染

 日立製作所が2008年12月に発表した調査結果によると、Winnyネットワーク上に流通するファイルの5%が不正プログラムであると言われています。つまり、無作為に20個のファイルをダウンロードすると、そのうち1つは不正プログラムであるという計算になります。

 P2Pファイル共有をターゲットにした不正プログラムの代表としては、「WORM_ANTINNY」ファミリーが挙げられます。「WORM_ANTINNY」は暴露ウイルスとも呼ばれ、感染コンピューター上の画像ファイル、メールファイル、ドキュメントファイルなどを圧縮ファイルにして、WinnyなどのP2Pファイル共有ネットワーク上に漏えいさせるものです。

 また、感染コンピューター自体がWebサーバーとして機能し、コンピューター上のファイルを外部からダウンロード可能な状態にするものも存在します。感染ユーザーのコンピューターから、組織の機密情報が漏えいする事故の原因のひとつに、この「WORM_ANTINNY」ファミリーへの感染が挙げられます。

 ファイル共有ネットワーク上に流通している「WORM_ANTINNY」のファイルは、ファイル名、アイコン、拡張子が偽装されていることから、ユーザーが不正プログラムだと認識しないでダウンロードし、実行してしまうケースが後を断ちません。

図1 Winnyネットワークから収集された「WORM_ANTINNY」のファイル(感染ユーザーの画像ファイルとともに圧縮されている)

 アイコンを偽装することにより、ユーザーに実行を促す不正プログラムとしては、最近では、感染するとコンピューター内のファイルを次々に書き換え、コンピューターが正常に動作しなくなる不正プログラム「TROJ_TACO」ファミリー(通称「タコ・イカウイルス」)も確認されています。

 タコ・イカウイルスはこの名称が表すように、正規のファイルを次々と同じファイル名のタコやイカなどの魚介類の画像で上書きするものです。書き換えられたファイルはバックアップ(とっていた場合)から復旧するよりほかは回復の手段がなく、復旧できない場合はOSの再インストールも余儀なくされます。

 このように、P2Pファイル共有ソフトを使用することは、ネットワーク上に流通する不正プログラムに感染し、情報漏えい、システムクラッシュなどの危険をはらんでいることを知っておくべきでしょう。

図2 「TROJ_TACO」によって書き換えられたファイル

2)著作物のダウンロード、アップロードによる違法行為

 2010年1月1日より改正著作権法が施行されました。改正前の著作権法でも、著作物を著作権者に無断でP2Pファイル共有ネットワークなどにアップロードする行為は違法とされていましたが、法改正により、P2Pファイル共有ネットワークに違法にアップロードされている映像・音楽の著作物を、違法に配信されていることを知りつつダウンロードする行為も違法となりました。

 「安心・安全インターネット推進協議会」のP2P研究会が2008年9月に発表した調査結果によると、国内で多くのユーザーがいるWinnyおよびShareのネットワーク上に流通するファイルのうち、60%以上が著作権を侵害する可能性があるといわれています。こうしたことからも、P2Pファイル共有ソフトを使用することは、著作権法に違反する行為を行ってしまう危険をはらんでいることを知っておくべきでしょう。

 上記2点の危険を考慮しつつ、P2Pファイル共有ソフト上に潜む脅威に関する基礎の基礎5カ条+1は以下のとおりです。


第1条 著作権を侵害する(可能性のある)ファイルをダウンロードしない
第2条 拡張子の表示設定をし、不審なファイルを見極める
第3条 ウイルス対策製品を導入し、常に最新の状態に保つ
第4条 個人情報や業務情報などのファイルをP2Pファイル共有ソフトが動作するコンピューターに保存しない
第5条 P2Pファイル共有ソフト専用のコンピューターを使用する
+1 P2Pファイル共有ソフトを使用しない

第1条 著作権を侵害する(可能性のある)ファイルをダウンロードしない

 ウイルス感染による情報漏えいと並び、P2Pファイル共有ソフト使用の問題点として挙げられるのが、P2Pファイル共有ネットワーク上に流通しているコンテンツの多くが、他人の著作物であるという点です。

 著作物を権利者に無断でアップロードすることは違法ですが、改正著作権法が施行されたことにより、違法にアップロードされた音楽と映像について、その事実を知りながらダウンロードする行為も違法とされるようになりました。

 また、Winnyが持つキャッシュ機能により、自身がダウンロードしたファイル以外の著作物を他のユーザーがダウンロードするための中継点になっている場合があります。この場合は、著作物を不当に第三者が入手できる環境に置いた罪を問われる可能性もないとは言えません。

 P2Pファイル共有ソフトを使用する際は、この点をよく理解し、著作権を侵害する(可能性のある)ファイルをダウンロードしないようにするとともに、自分のコンピューター上に保存されるキャッシュファイルが著作権を侵害する可能性のあるコンテンツかどうかを常に確認する必要があります。しかし、キャッシュフォルダー内のファイル名は暗号化されているため、そのままでは確認することができず、ユーザーが意図しないまま著作権を侵害するファイルの中継を行ってしまう危険性があります。

 Winnyの通信自体は暗号化されていますが、その暗号化の仕組みはすでに解読されており、通信の中身を監視することも技術的には可能です。ユーザーの匿名性についても、現在複数の組織でネットワークを監視しており、誰がファイルをネットワーク上に流出させているのかについて、正確に把握することができます。他人の著作物を無許諾でP2Pネットワークに流通させたことにより、逮捕者が続々と出ている点からもわかるように、ユーザーの匿名性が確保されているとはいえない状態です。

第2条 拡張子の表示設定をし、不審なファイルを見極める

図3 アイコンおよび拡張子が偽装された不正プログラム

 P2Pファイル共有ネットワークを悪用する不正プログラムの多くが、自身を正当な(魅力的な)ファイルであるように偽り、ユーザーのダウンロードを促します。不正プログラムが自身を正当なファイルに偽る手法としては、拡張子偽装やアイコン偽装などが存在します。

 なお、トレンドマイクロのThreat Monitoring Centerで、Winnyネットワークから収集した不正プログラムから無作為に抽出したファイルのうち、拡張子が偽装されていたファイルは19%、アイコンが偽装されていたファイルは76.5%にも上りました。ユーザーの興味を引くファイル名とあいまって、不正プログラムは、自身のダウンロードおよび実行を待ち受けているのです。

 このような、不正プログラムのファイル偽装には、拡張子の表示設定を行い、不審なファイルを見極める必要があります。不審なファイルを見極める手順については、本連載「第1回:不正プログラムとは」で詳しく紹介しておりますので、そちらをご参照ください。

第3条 ウイルス対策製品を導入し、常に最新の状態に保つ

 P2Pファイル共有ネットワークに流通している不正プログラムの多くは、ウイルス対策製品の最新のパターンファイルで検出、削除することが可能です。ユーザーが数十万人いるとはいえ、ネットユーザー全体から見れば限定的なことから、攻撃者のウイルス頒布の手法はWeb経由が主流になっていますが、P2Pファイル共有ネットワーク経由での、未知の不正プログラムも確認されています。

 トレンドマイクロの最新のウイルス対策製品では、ウイルスパターンファイルでの検出に加え、ウイルスの可能性がある不審なファイルを検出する「振る舞い検知機能」「パーソナルファイアウォール機能」「Webレピュテーション機能」などを実装しています。コンピューターをインターネットに接続する以上、ウイルス対策製品の導入は必須であるといえます。

第4条 個人情報や業務情報などのファイルをP2Pファイル共有ソフトが動作するコンピューターに保存しない

 仮にP2Pファイル共有ソフトを使用する場合、常に不正プログラムへの感染、およびそれに伴う情報の漏えいの危険があると考えるべきです。世間を賑わせている組織の情報漏えい事故の多くは、仕事で使用しているデータを不用意にP2Pファイル共有ソフトが動作しているコンピューターに保存したことに原因があるといえるでしょう。P2Pファイル共有ソフトを使用するコンピューター上には、外部に流出しても問題ないデータ以外は保存するべきではありません。

第5条 P2Pファイル共有ソフト専用のコンピューターを使用する

 これまで紹介したとおり、P2Pファイル共有をターゲットにした不正プログラムが数多く確認されています。これらの不正プログラムに感染すると、個人情報の漏えい、システムのクラッシュなど、ユーザーに甚大な被害を及ぼします。また、一度P2Pファイル共有ネットワーク上に流出したデータは、ダウンロードを試みるユーザーがいる限り、半永久的にネットワーク上に存在し続けます。

 ウイルス感染時の影響度を考えた場合、P2Pファイル共有ソフトを使用する場合は、専用のコンピューターを使用し、他の作業には使用しないことです。すなわち、コンピューター上のファイルが流出しても、システムがクラッシュしても、他の作業には影響を及ぼさない環境を準備する必要があります。

+1 P2Pファイル共有ソフトを使用しない

 いかがでしょうか。P2Pファイル共有ソフトを安全に使用するためには、手間とお金がたくさんかかりそうです。そうまでして、P2Pファイル共有ネットワークで共有したいファイルとはどんなものでしょうか。P2Pファイル共有ソフトには、人気の音楽アルバム、映画、コミック、また、本来数万~数十万円もするアプリケーションソフトが、いとも簡単に入手できるという甘い誘惑が存在するかもしれません。しかし、これらはすべて著作物であり、違法にアップロードされたものです。

 また、不正な目的で使用していなくても、不正プログラム感染により、組織の機密情報を漏えいさせてしまうケース、プライベートの写真、動画を漏えいさせてしまうケースなどにより、取り返しのつかない痛手をこうむっているユーザーも多数存在します。

 P2Pファイル共有ソフトを使用することによるリスクを今一度考えていただき、安全なインターネットライフを送っていただければと思います。


関連情報

2010/1/27 06:00


小松 優介
トレンドマイクロ株式会社サポートサービス本部コアテクノロジーサポートグループのThreat Monitoring CenterでSenior Threat Research Engineerを務める。国内のセキュリティ脅威動向の監視・調査のほか、顧客向け分析レポート作成にも携わる。