P2Pファイル共有ソフト「Winny」を開発した金子勇氏が2日、アスキーが主催した「情報漏えい対策セミナー」で講演し、Winnyを介した情報漏洩ウイルスへの対策を解説した。セミナーでは金子氏のほか、Winny弁護団の事務局長を務める壇俊光弁護士による講演や、ベンダー各社による情報漏洩対策製品の紹介などが行なわれた。
● Winnyは2年以上放置されており、早急な対策が必要
|
Winny開発者の金子勇氏
|
セミナーの後半に登場した金子氏は、Winnyを開発したことが著作権法違反の幇助にあたるとして起訴され、講演の前日にあたる1日にも京都地方裁判所で公判が行なわれている。金子氏は、こうした状況のためWinnyに関わる開発行為が現状では困難となっているが、開発者からの視点として情報漏洩ウイルスに対する対策を解説した。
金子氏は、情報漏洩ウイルスへの対策は「技術的には容易」と説明。現在のWinnyの問題点について、アップロードフォルダを指定する設定ファイル“Upfolder.txt”がウイルスによって書き換えられてしまうことと説明した。Upfolder.txtは単純なテキストファイルで書き換えも容易だが、「このように悪用されることは開発当時は予見できなかった」と語った。
また、WinnyではWindowsの隠しファイルは公開しない設定となっているが、アップロードフォルダに隠しフォルダを指定することは可能となっている。金子氏は「これは見落としだった」として、開発者のミスであったことを認めた。情報漏洩ウイルスの多くはこれを悪用し、標準ではユーザーからは見えない隠しフォルダをアップロードフォルダに設定しているため、ユーザーも意図しないファイルが公開されていることに気付きにくくなっているという。
金子氏は、こうした問題点に対して「一番確実な対策はWinnyをバージョンアップすること」と説明。最も単純な対策として考えられるのは「Upfolder.txtという設定ファイルの名前を変更する」という方法で、さらに隠しフォルダやシステム属性ファイルを公開対象としないように変更することで、現状のウイルスについてはすべて対処できると語った。また、これだけではウイルスの作者もすぐに変更に追従してくるため、根本的にはアップロードフォルダの設定の暗号化や、アップロードフォルダの設定が変更された場合にWinnyの側で警告を表示することなどが有効であるとした。
ただし、現状では金子氏がWinnyのバージョンアップを行なうことは困難な状況にある。このため、次善の策としては外部プログラムによる対処や、Winnyへのパッチによる対策が考えられると説明。外部プログラムについては、Upfolder.txtの書き換えや、Upfolder.txtで指示されたフォルダを監視する手法などを挙げた。
また、これらの修正はそれほど大掛かりなものではないため、開発者でなくてもパッチによる修正が簡単に行なえるとして、「誰かにパッチを作ってほしいと思っている」と説明。4月21日にはWinnyにバッファオーバーフローの脆弱性が存在することが指摘されており、「いずれにしてもパッチなどによる対策が必要な状況。Winnyは2年以上もアップデートが行なわれていない状態で、これほど長期の放置は論外」と語り、早急に対策すべきであるという認識を示した。
● Winnyの開発や管理には未解決の法的問題
|
Winny弁護団事務局長の壇俊光弁護士
|
Winny弁護団事務局長の壇弁護士は、ウイルスによる情報漏洩問題を法的な側面から解説した。壇氏は情報漏洩ウイルスについては、「山田ウイルスのようにWinnyネットワークを介さずに情報を漏洩させるものや、他のソフトをターゲットにしたものもあり、Winnyを使わなければ安全というのは誤り」と述べた。
法的な問題としては、情報漏洩ウイルスに感染した人にどのような法的責任があるかを解説。壇氏は、北海道警察の巡査がウイルスに感染し、捜査資料が漏洩したことに対して損害賠償を求めた裁判を挙げた。この裁判では、一審(札幌地裁)では「情報漏洩の可能性があることは予見できた」としたのに対し、二審(札幌高裁)では「問題のウイルスは感染の5日前に発見されたもので、予見可能性は無かった」という異なる判断が下されている。壇氏は「この事件を前提にしても、現在ではこれだけ話題になっているのに、ウイルスに対する予見性が認められないという人はおそらくいない」として、適切なセキュリティ対策を施していない場合には、情報漏洩による責任は免れないだろうという見解を示した。
また、ウイルスに感染した人が、さらに他の人にウイルスを感染させてしまった場合の責任については、ウイルスに対する適切な対策を行なっていなかったということで過失が認められる可能性が高いが、感染させてしまった相手もまた適切なウイルス対策を行なっていなかったと考えられ、過失相殺が認められるのではないかとした。
Winnyの利用に対する監視・制限については、社内LANなどで私的利用の監視を行なう場合については適法になる可能性が高いが、承諾書を徴収して監視を行なうことを就業規則に明記することが望ましいと指摘。一方で、第三者がパケットを取得してどのようなデータが流通しているかを監視することは、通信の秘密を侵すこととなり不法行為・刑事処罰の対象となる可能性が高いとした。
壇氏は「Winnyの開発、公開、利用、管理等にはそれぞれ解決されていない法的な問題が存在する。これらの問題は入り組んでおり、法整備が追いついていないのが現状。技術の価値を踏まえた立法的な解決が望ましく、手錠をはめても解決しない」と語り、講演を締めくくった。
関連情報
■URL
アスキー「情報漏えい対策セミナー」
http://ascii-business.com/abiz/20060502seminar/
関連記事:本誌記事に見る“Winny流出”
http://internet.watch.impress.co.jp/static/index/2006/03/10/
■関連記事
・ Winnyにバッファオーバーフローの脆弱性、回避策は「Winny利用の中止」(2006/04/21)
・ Winnyによる道警の捜査情報漏洩事件など、2005年のIT関連判決を振り返る(2005/12/05)
( 三柳英樹 )
2006/05/08 12:29
- ページの先頭へ-
|