Winny経由の情報漏えい対策、ソフトウェア開発者にできることは?
アリエル・ネットワークの徳力基彦氏は、ウイルスなどに悪用されないよう地道に改善し続けていくことがソフトウェア開発者の責任ではないかと述べた。
「これだけWinnyを通じた情報漏えい事件が騒がれていても、利用者が減っていないという現実に目を向けるべきではないか。ただ『使うな』というだけでなく、ちゃんとした対策や選択肢を提示するべきではないだろうか」――。
P2P技術を活用したグループウェアを開発しているアリエル・ネットワークのプロダクトマネジメント室マネージャの徳力基彦氏は、アスキーが5月2日に開催したセミナー「止めるぞ! 情報漏えい」において、ソフトウェア開発者の視点からこのように語った。
徳力氏はまず、Winnyを介した情報漏えいが深刻化している理由として、このソフトウェアが不特定多数とのファイル共有を目的としたものであり、数十万ともいわれる利用者があること、一方でいったん流出した情報を完全には削除できないことなどの特質が挙げられるとした。
しかし、こうしたリスクを抱えているソフトはWinnyだけではないとも言う。「ファイル共有ソフトはほかにもShareやBitTorrentなどがあるし、SkypeやMSN Messengerといったチャットソフトを通じてもファイル共有は可能だ。Google Desktopなどの検索ソフト、さらにやメーラーやOSにも同様のリスクはある」(徳力氏)
同氏はさらに「だが、セキュリティ上の問題があるからといってこうしたソフトウェアを使わないかというとそうでもない。ソフトウェア開発者としては、これらがいかにウイルスに悪用されないようにしていくかというのが永遠の課題となる」と述べた。
徳力氏はまた、インターネットの普及や相次ぐ亜種の出現により、ウイルスが与えるリスクが増大していることを踏まえた上で、「ソフトウェア開発者の利用者に対する責任は増しているのではないかと思う」と述べた。
その具体的な方策としては「告知やアップデートの仕組みを通じてソフトウェアの修正自体を容易にする」「修正が困難な場合に備え、ある程度引き返せる仕組みを作る」「ウイルスによる被害が広がりにくい仕組みを作る」といった事柄が考えられるという。「ソフトウェア開発者にできることとしては、自分が開発したものを責任を持って改善し続けていくしかない」(同氏)
ただ、ことWinnyに関しては、「メディアによって問題の認知度が上がり、『何だか知らないけれど使ってみたい』という人が増えていることも問題。しかも、ウイルス亜種の増加や脆弱性の発見により、異なる問題に発展する可能性もある」と徳力氏。となると「根本的にはWinny自体を修正する必要があるのではないかと思う」と述べた。
修正の内容としては、例えば、共有設定変更の際に警告を表示したり、ウイルス対策ソフトとの連動機能を加えるといったことが考えられるという。それが困難ならば第三者が修正を行うということも考えられるだろうと徳力氏。いずれにしてもソフトウェア開発者としては何らかの対策を提示すべきではないかと述べた。
バージョンアップが「確実な対処策」
同セミナーに登場したWinnyの開発者、金子勇氏も「Winnyをバージョンアップすることが一番確実、かつ強力な対処策になる」と述べた。開発者の視点から言えば、Antinnyをはじめとする情報漏えいウイルスへの対策は「技術的には容易」だという。
同氏によると、問題の根本の1つは、アップロードフォルダを指定する設定ファイル「Upfolder.txt」が、ユーザーの確認なしにウイルス(あるいは外部のプログラム)によって容易に書き換えられるようになっていること。開発者として「当時は予見できなかった」点だという。
また、WinnyではWindowsの隠し「ファイル」は公開しないが、隠し「フォルダ」を公開することは可能だ。この結果、ユーザーが気づかないままに隠しフォルダが公開されるケースもあるという。
金子氏はこうした「見落とし」に対し、Upfolder.txtという設定ファイルの名前変更、ハッシュ値の確認による設定変更の監視/警告、設定ファイルの暗号化、公開対象から隠しフォルダ/システム属性ファイルを外す、といった変更により対処できると語った。
ただし同氏は、著作権法違反ほう助の容疑で公判中であり、バージョンアップなどのWinnyの開発行為が困難な状況にある。このため次善の策として、ウイルス/スパイウェア対策ソフトといった外部プログラムによる対処やパッチによる対策が考えられるとした。「パッチの作成は必ずしも開発者にしか行えないわけではない」(金子氏)。ただし、パッチの作成がほう助のほう助とみなされる恐れがあるほか、第三者によるパッチの信頼性をどのように担保するかという問題も残っている。
金子氏は「Winnyは2年半以上放置されているが、これほど長く放置されているのは論外」とし、4月に発見されたバッファオーバーフローへの対策も含め、早急に何らかの対処が必要だとした。また、その前提として「重要な情報を持ち出さない」「ウイルスに感染しない」という基本的な対策を守ることも重要だと述べている。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。