2006年03月16日(木) 17時02分

相次ぐ情報流出、真の問題は「Winny」だけではない（ITmediaエンタープライズ）

　2月に明るみになった海上自衛隊の機密情報流出をきっかけに、P2P型ファイル共有ソフト「Winny」を経由して感染を広めるウイルス「Antinny」をはじめ、暴露型ウイルスによる情報流出が問題視されている。

　Antinnyウイルスが世の中に登場したのは2003年のこと。その後いくつかの亜種が登場し、2004年3月には、Antinny.Gへの感染により京都府警の捜査情報がWinnyネットワーク上に流出するという事件が発生していた。また、2005年夏には、重要インフラである原子力発電所関連の情報が相次いでWinnyネットワーク上に流出するという事件が起こったことも記憶に新しい。

　つまり、Antinnyウイルス自体も、それが引き起こす情報流出も、決して新しい事件ではない。たまたま、自衛隊という組織の機密情報が流出したために大きく警鐘が鳴らされているが、実際には数年前から、さまざまな個人情報や機密情報がWinny上を流れていると考えるべきだろう。

　Winnyネットワークの監視を行っているネットエージェントの代表取締役社長、杉浦隆幸氏によると、今では「Winnyネットワークの成分の1％以上がウイルス」という。その上、過去数年にわたって流出事件が報じられているにもかかわらず、なぜ人はAntinnyに感染してしまうのか。

　理由は簡単だ。ユーザーがウイルスファイル本体を開いてしまうからだ。たとえウイルス対策ソフトが警告を出そうと、ユーザーがそれを無視すれば意味はない。しかもAntinnyおよび暴露ウイルスの多くは、ソーシャルエンジニアリング的な手法を用い、人間の心理やあからさまな欲望を突くようなファイル名が付いていることが多い。

　ひとたびAntinnyに感染すると、PC内のさまざまなファイルや送受信メールなどがWinnyの公開フォルダにアップロードされる。いったん公開されたデータを回収するのは困難だ。流出が話題になればなるほどそのデータを検索するユーザーが増え、ますます収束から程遠い状態になってしまう。

●目先の現象だけにとらわれるべきではない

　事態が深刻化していることを踏まえ、セキュリティベンダーのほか、情報処理推進機構（IPA）やTelecom-ISACなど幾つかの組織がAntinnyおよび情報暴露型のウイルスに対し注意を呼びかけた。さらに3月15日には、安倍晋三内閣官房長官が国民に向け、「Winnyを使わないで」と呼びかけるまでにいたっている。

　当面のリスクを抑えるという意味合いならば、Winnyの利用禁止は一定の効果があるだろう。しかし複数のセキュリティ専門家は、ただWinnyという現象だけに注目していては、情報流出に対する根本的な対策にならないと指摘する。

　そもそも、Winnyの利用だけを禁止しても、「ファイル共有ソフトはWinnyだけではない」（インターネット セキュリティ システムズのCTO、高橋正和氏）。ラックのセキュリティプランニングサービス部担当部長、新井悠氏も「ファイル交換ソフトはほかにもたくさんある」とし、たとえWinnyを禁止したとしても、今度は別のツールが利用されるだけだろうと述べた。

　また、インターネットのアップローダやメールを利用して感染し、Winnyに頼らず情報を公開してしまうウイルスも複数報告されている。

　新井氏は、Antinnyの特質について「Webからダウンロードしてくる悪意あるファイルと根本的には変わらない」という。ただ、Winnyにいったん流出したファイルは回収が非常に困難という特徴がある。したがって、もともと素地があったところに「Winnyのインフラが悪用されたということではないか」と指摘した。

　一連の流出事件を受け、Winnyの利用禁止や私用PCの持ち込み禁止といった手立てが取り沙汰されている。それも悪いことではないが、「まるで、『ここの交差点で事故が起こりましたから、ここでは気をつけましょう』と言っているようなもの。環境の変化に対する分析を加えることなく対策しているように見える。ヒステリックな対策に終始しており、継続的なステップが考えられていない」（高橋氏）

　高橋氏はさらに、一連の対応について「今、目の前で起こっている重大な事故だけを防ごうとしているように見える。しかし『ハインリヒの法則』のように、その背後にはいくつもの小さな事故が起こっているのではないか。事件の背後にフォーカスを当てないと根本的な対策は打てない」と述べた。

●情報の「持ち出し方」に問題

　では、背後にある根本的な問題とは何か。

　1つには、インターネットを利用する以上、ウイルス（マルウェア）というリスクを抱えているのだということに対する認識不足が挙げられるだろう。インターネットやWinny上にあるファイルは、必ずしも自分が望むものばかりではなく、害を及ぼすものも多い。目の前にあるファイルを開くかどうか、最終的に「中身を判断するのはユーザー」（新井氏）だが、Winnyに限らず出所の不確かなファイルを安易に開くことの危険性は常に頭に入れておくべきだ。

　そしてもう1つ、企業や組織の情報管理体制のずさんさも挙げられるだろう。

　報道されたほとんどのケースでは、社内のPCではなく、自宅などにある私用PCを使っていてAntinnyに感染し、そこからさまざまな情報が流出した。つまり、本来ならば持ち帰るべきでない「機密情報」「個人情報」が、さまざまな手段で私用PCの中に保存されているというわけだ。

　金銭目的で故意に、あるいは好奇心からといった理由での持ち帰りは論外だが、問題は「どうしても仕事が間に合わないからデータを持ち帰って家で作業する」というケースだ。

　「『PCは持ち出すな、しかしオフィスは閉める、納期には間に合わせろ』といった矛盾したことを求めるから治外法権が生じる。持ち出すことが悪いのではなく、持ち出し方が悪い」（高橋氏）。持ち込みPCや情報の持ち出しがないと仕事にならない状況を改善するか、あるいはPCの持ち込みを前提とし、仮に紛失や盗難に遭ったとしても大丈夫なように、暗号化などの対策を考えていくのがあるべき姿ではないかという。

　とはいえ、流出が明らかになった企業や組織の発表を見ると、個人情報保護の一環として「私用PCの持ち込みは禁止」「個人情報の持ち出しは禁止」といったポリシーやルールを定めているところが多い。しかし、そのポリシーは徹底されているだろうか。「情報を持ち出さないように決めることは簡単だが、実際に行うのはかなり難しいことが多いようだ」とネットエージェントの杉浦氏はコメントしている。

　ただルールを作るだけ、それを記した紙を回覧するだけでは、周知徹底されたたとは言えない。「データ持ち出しを防ぐルールを定めるだけでなく、人事制度との連携も必要。ルールをきちんと守っている人をしかるべく評価するなど、会社の施策とリンクしなければ問題は解決されない」（新井氏）

●さて、当面の対策は？

　Winnyウイルスによる情報流出事件は、そのドラスティックさゆえに注目を集めているものの、基本的な部分は個人情報漏えい対策や情報セキュリティの基本と変わりない。まずは、組織として情報をどのように取り扱うのかを、実際の業務のあり方とリンクさせながら見直すことが重要だろう。

　その上で、幾つかAntinnyおよび暴露型ウイルスへの留意点をまとめてみよう。

　まず、IPAなどが呼びかけている通り、「問題は他人事ではない」ことを認識すべきと高橋氏は述べた。中には、ウイルス感染と流出するデータとの間に時間的なずれが生じ、「忘れたころに流出が発覚する」ケースもあるため、注意が必要だ。

　個々人レベルではまず、「クリックする前にファイルの種類や拡張子などを確かめることで自己防衛すべき」（新井氏）。その際、二重に拡張子を付けていたり、ファイル名の中に空白文字を入れて見かけを偽装するものも多いため、注意が必要だ。なお、ウイルス対策ソフトによる対策も一定の効果はあるが、すべての亜種に対応できるわけではないため、過信すべきではない。

　また、自宅のPCにWinnyがインストールされているかどうかをチェックすることもポイントという。一連の情報流出事件の中には、家族で共有しているPCに、親が知らないうちに子供が勝手にWinnyをインストールし、ウイルスに感染していたというケースも報じられている。「家族で話し合いをし、Winnyがインストールされていないかを確認すべき」（高橋氏）

　企業や組織としては、Winny経由の場合も含め、いざ情報が外部に流れた場合にどうするのかのシミュレーションを行っておくべきと新井氏は指摘した。そういった事柄を検討していく中で、「経営課題であるという認識ができるのではないか」という。

　また管理者的な視点からは、Active Directoryのポリシーを活用してプロセスを監視し、Winnyを起動させないよう設定したり、シンクライアントを導入するといった方策が考えられるという。市販のセキュリティ対策製品や資産管理ツールを活用するのも1つの手だろう。

　さて、最後に残るのは、自分が被害者となってしまった場合の対策だ。たとえ自社からの情報漏洩をある程度防ぐことはできても、他者から情報が漏洩するリスクを管理できないというリスクが残ると、カーネギーメロン大学日本校教授の武田圭史氏。「すでに漏洩している情報をどうするかという視点も必要」とコメントし、自らが「被害者」となることを防ぐための方策を見出すため、研究会を立ち上げて検討を進めていくとし、その概要を3月24日に開催するセミナーで明らかにするとしている。

種類 　 ベンダー製品名
Winnyウイルスの駆除 　 マイクロソフト 　 悪意のあるソフトウェアの削除ツール
　 トレンドマイクロ 　 ウイルスバスター コーポレートエディション アドバンス版「アドバンス検索ツール」
　 アンラボ 　 「ウィニーウイルス」専用ワクチンソフト
Winnyのインストールを禁止 　 ハンモック 　 Asset View HYPER for Winny対策ソリューション
　 電机本舗 　 PeopleLock&Commander Ver2 SP1
Winnyの通信をブロック 　 ネットエージェント 　 OnePointWall
　 インターネット セキュリティ システムズ 　 シグネチャ「Winny_P2P_Detected」
　 フォーティネット 　 FortiGate（FortiOS 3.0）
　
　

http://www.itmedia.co.jp/enterprise/

http://headlines.yahoo.co.jp/hl?a=20060316-00000077-zdn_ep-sci