最大の脅威は「漏えい情報のWinnyによる流通」 2007年情報セキュリティ白書 94
ストーリー by yourCat
脳もセキュリティー・アップデート 部門より
脳もセキュリティー・アップデート 部門より
あるAnonymous Coward 曰く、
IPAが「情報セキュリティ白書 2007年版」を発行した (概要、PDF版、@ITの記事)。興味深いのは、2006年の10大脅威の第1位として取り上げられているWinnyの扱い。白書の第2章 (PDF) では、流出の原因はウイルスによるものとしながらも、「Winnyなどの一部のファイル交換用P2Pネットワークには、流出したファイルが流通し続けてしまうという別の脅威が存在し、これが事態を深刻にしています」としている。白書は「利用者の対策」と「開発者の対策」と「管理者の対策」を挙げる構成となっており、利用者に対して「Winny がどのような動作をするソフトウェアであるかを知ってください」として次の対策を挙げている。
Winnyでファイルをダウンロードすると、同時にそのファイルは他の利用者に向けて公衆送信される状態となります。流出したファイルを入手する行為は、それを他人に提供する行為にもなります。 (snip) P2P 型ファイル交換ソフトを使用する必要がある場合には、無作為中継の機能を搭載していない種類のものを使用し、他人に提供する行為が正当であるファイルしかダウンロードしないようにしてください。また、意図しないダウンロードを避けるため、キーワードによる自動ダウンロード機能を使用しないようにします。その一方で、管理者に対しては「情報漏えい事故の当事者の立場としての流通を止める対策はありません」とし、情報漏えい自体を防止する対策については別途第7位を参照するように書かれている。そして「開発者の対策」も書かれており、次のように指摘している。
ファイル交換用のP2P ネットワークを構成するソフトウェアの開発者は、利用者の意図に反したファイルの公衆送信が起きない設計をしてください。もし中継機能やキャッシュ機能が必要とされる場合には、正当な一時的蓄積に該当する仕組みとなるよう設計してください。あまり守られそうにない「対策」だが、そろそろどうにかならないものだろうか。
白書には、Winny以外の9つについても傾向と事例、そして利用者/管理者/開発者の対策が平易にまとめられている。システム管理者の復習用に、あるいはシステム利用者の啓蒙用に活用できそうだ。
こうなったら罰則強化だね(フレームのもと) (スコア:4, おもしろおかしい)
ィェ又は問うた。
「何故あなた方はこの者に石を投げるのか。」
群衆は答えた。
「この者はWinnyを使ったのです」
「ならばあなた方の中でWinnyを使ったことの無い者だけが石を投げなさい」
それを聞いた群集は散って行き、後にはィェ又だけが残って石を投げていた。
Re:こうなったら罰則強化だね(フレームのもと) (スコア:3, すばらしい洞察)
といわれて、使ったことがあるのに投げるのがK察なわけで。
それに「なら、Bittorentはいいのか?」「ほかのP2Pもだめか?」
「Winnyも合法的に使える(違法データのやり取りしかつかったことないけど)」
という屁理屈をこねて石を投げないように集団防衛に走ってるのが現実。
Re:こうなったら罰則強化だね(フレームのもと) (スコア:2, 興味深い)
それを聞いた群集は散って行き、後にはィェ又だけが残って使い方を教えてもらった。
これが現実。
「情報流出」の言葉の定義 (スコア:4, すばらしい洞察)
社外秘情報については、PCでもUSBメモリでもネットワークでも何でも、
会社管理外のモノに移ったら情報流出なんですよ。場所なんか関係ない、
社内であっても個人持ちPCはNG。
個人持ちのモノに入って時点で「流出」だという認識がないと、
企業の情報流出も拡散も止まらないと思います。
あ?社内でwinny使ってる奴?そんなのクビ斬れ。
これだけ騒がれていても (スコア:3, すばらしい洞察)
Re:これだけ騒がれていても (スコア:4, すばらしい洞察)
最初から意識が低いんであって、低下しているわけではないと思う。
Re:これだけ騒がれていても (スコア:2, すばらしい洞察)
Re:これだけ騒がれていても (スコア:0)
Re:これだけ騒がれていても (スコア:5, すばらしい洞察)
CD編
「CDの値段が高いんだよ」
「まず聴いてみて良かったら買う(かもしれない)」
「JASRACに搾取されたくない」
ソフトウェア編
「ソフトの値段が高い」
「こんなソフトに高い金なんか出せるか」
「とりあえず使ってみて良かったら買う(かもしれない)」
「ビルゲイツに正義の鉄槌を」
動画編(非エロ)
「先週見逃したから」
「DVD高いし」
「とりあえず観て良かったら買う(かもしれない)」
「レンタルでもいつも貸し出し中だから」
エロ編
「買いに行くのが恥ずかしい」
「金を出してまで買うものじゃない」
「裏モノなら著作権で訴えられる事は無いだろう」
などなど。
でも本音は
「タダで手に入るんだから」
なんだろうね。
データ流出のリスクがあるとか
それが犯罪であるとかの意識はほぼ無いのでは?
Re:そんなややこしく考えなくても (スコア:1)
Re:そんなややこしく考えなくても (スコア:1)
「言い訳は署の方で聞こうか」
Re:これだけ騒がれていても (スコア:2, すばらしい洞察)
Winny利用者に、専用PCを用意する経済的余裕が無い奴ばかりではないのは、先日流出させたNHKのディレクターがいい実例になってますね。
# また受信料契約を断る理由が出来てしまった…。
Re:これだけ騒がれていても (スコア:4, おもしろおかしい)
##一度やられて3ヶ月後、久しぶりにお店に行ったらまたケジラミ貰った。
##ゴムではこいつらは防げん…。
そこで (スコア:3, すばらしい洞察)
↓以下、ありそうなおげふぃんなネタどぞー。
Re:そこで (スコア:2, おもしろおかしい)
#職場で読めない
Re:そこで (スコア:2, おもしろおかしい)
Re:そこで (スコア:1, すばらしい洞察)
明るい情報計画
Re:そこで (スコア:1, おもしろおかしい)
もうエロくもない。
-- A.C., nothing more, nothing less.
Re:そこで (スコア:1, 興味深い)
Re:そこで (スコア:2, おもしろおかしい)
Re:これだけ騒がれていても (スコア:1)
物理的に隔離されていない、野置きのファイルサーバーも有る意味困った物ですが...
個人の意識は簡単に改革できないので、暗号化とかに逃げるわけです
個人的に出来ることは誰かがやってしまうと考えるのが情報漏洩対策の基本かと
特にアクセス可能人数が増えれば増えるほど、その辺の意識は曖昧になります
さすがに情報にアクセス出来るのは1-2人だけとかだと、「ばれたら必ず自分の責任」と言う意識が働くのか、個人の意識も有る程度はあてになりますが
100人くらいいると「どうせ誰がやったかばれないだろう」と安易に考える人が出てくるのはどうにも出来ないって所です
Re:これだけ騒がれていても (スコア:1)
私物のパソコンが会社に持ち込まれることが問題だし、
業務データが持ち出せることが問題だし、
こんなことは機械的なチェックで何とかなるでしょ。組織がたるんでるんだよ。
会社のパソコンではリムーバブルメディアが使えないようにするとか、
会社のメールからは自宅にメールできないようにするとか、
会社のネットにつなげるときに会社のものでなければ拒否するとか
パソコンのレジストリなどをチェックして変なソフトがインストールされていないことを確認するとか。
ちゃんとした組織ではやってますよ。これぐらいのこと。
スラドにコメントするような人々は抜け道を探すことも可能でしょうが、
P2Pソフトの危険性もわからない人たちなら 十分に有効ですよ。
Re:これだけ騒がれていても (スコア:2, すばらしい洞察)
他はともかく、いかにちゃんとした組織でもこれはないんじゃないかと。
添付ファイルつきのメールの場合に、外部送付を許容されているデータかのチェックを行っているかどうか、というレベルですよね。
数千人規模の会社で、登録されているアドレス以外にはメールを送付できないようなシステムを、利用者にさほど負担を与えずにスムーズな運用を行うのは難しいと思います。
Re:これだけ騒がれていても (スコア:2, 興味深い)
うちも最近そうなりました。方法は、未許可の外部アドレスへのメール送信禁止。
原則として、取引先へのメール送信はドメイン単位での申請・許可制です。
niftyやdionなどのアカウントを使っている取引先はアカウントごとに申請です。
(これで従業員の自宅へのメール送信を防止します)
会社のメールシステムは業務用なので、これでかまわないはずです。
もちろん始めるときは営業からは非難ゴーゴーです。でも、これくらいやらないと
会社としての誠意が認めがたいといわれる日がすぐそこに来ているようです。
ここまでやれば、持ち帰りの仕事もやりにくくなるのでサービス残業撤廃にも役立つと思うんですが。
上の方法以外に、外部と送受信できる人を限定する、添付ファイル付のメールはすべて外部への送信禁止
という過激な方法をとる会社もあるようです。
外部送付を許容されているデータかのチェックというのはかなり難しいんじゃないでしょうか?
でも新聞販売店からの個人情報漏洩をどう防止するかと言われると。
Re:これだけ騒がれていても (スコア:1, すばらしい洞察)
Re:これだけ騒がれていても (スコア:1)
電子メールだけやってもだめですよね。同じレベルを郵便やバイク便、宅配便などでも行わないと、現実的に「送付先のチェックが適切に行われている」とは言えませんから。
もちろん電子メールだけでもやらないよりはいいし、電子データのみだから行いやすいという事もあると思いますけど。
Re:これだけ騒がれる前から (スコア:1)
そこは技術的能力ではなくモラルとかかと。
以前プライベートで、とある研究所のプロジェクトに関わったことがありましたが、研究者の書いてきたコードにバッファオーバーフロー脆弱性がある事を指摘し修正させたものの、その直後のバージョンアップされたライブラリで同じ部分に同じ穴を再実装して出してきたことがありました。
研究者にとっては研究目的の実装こそが大事で、そういう穴とかはどうでもいいんだってのがよく分かりましたよ。
Re:これだけ騒がれる前から (スコア:1)
「あ~あ、こんなとこに穴あけちゃって」
「埋めてまえ」
「あ~あ、壁に穴あけちゃって」
「塗りこめてまえ」
# あっちを塞げばこっちにあける。穴をあける奴を元から絶たなきゃ駄目なのか。
# しかし、あのモグラが最後の一匹とは思えない・・・
Re:これだけ騒がれる前から (スコア:1)
研究成果自体を一般公開するために書いていたもので、修正自体は char buf[256]; → char *buf; に変更して malloc で割り当ててくれ、という程度のものです。ライブラリのソースも受け取っていたためこの点に関しては差分も付けて送ったのですけどね。
仕様上でも、その項目自体 256byte 以下とは限らない可変長のデータだったりしたため、いろんな意味で char[256] では問題があったのです。
リリース前 1 ヶ月とかではあったので多少急ぎの状態ではありましたが、仕様と利用するためのバイナリライブラリ、ヘッダファイルが公開される都合上、そのヘッダファイルを見たら一瞬で穴が推測できる程度にやばいものでした。
一応市販された商品に添付されるソフトウェアでもあったので、影響範囲が狭いとは、ちょっと言えない物だったのですが、そのまま公開されたのでした。 orz
Re:これだけ騒がれる前から (スコア:1)
ちょっとチューニングを、と言ってソースコードを丸ごと全部書き直してしまったがために発生したデグレードであったりしても、でしょうか? 実際全部書き直してくれたために起きたのですが。
なので、Firefox とはちょっと違うかな、という気はします。
いきなりソコなのか? (スコア:3, 興味深い)
流出の原因はウイルスによるもの
いや、ちょっと待ってくれ。
「社外への情報流出」は、もう諦めているという事なのか…?
そもそも流出の原因は個人のモラルじゃないのか。
#まあ、nyの脅威を知る事は重要だけど・・・モラルの育成は何処いった
Re:いきなりソコなのか? (スコア:2, 興味深い)
有ったらいいね、でもなくても運用出来るようにするのはどうしたら良いかな?
って考えるのが現実的かと...
人の入れ替わりが激しくなってる状況では、正直徹底は難しくなってるとおも
一生涯囲い込むなら別でしょうが...
Re:いきなりソコなのか? (スコア:2, 参考になる)
待ってくれもなにも、タレコミで触れられているのは「第2章 2006年の10大脅威 / 第1位 漏えい情報のWinnyによる止まらない流通」、つまり「一旦漏洩したものが流通し続けて原状回復が極めて難しい」という問題です。漏洩そのものについては「第2章 / 第7位 減らない情報漏えい」「第3章 情報セキュリティ確保のための基本的な対策」「付録D Winnyによる情報漏えいを防止するために」などを参照すべきでしょう。
ちなみに「付録D Winnyによる情報漏えいを防止するために / II.具体的な対策・その1:予防策 / 1.管理的対策のポイント(パソコン利用のルールを作って運用)」(72~75ページ、下に引用)において、ウイルス対策が挙げられているのは4番目です。「ウイルス対策を勧告しておしまい」などというヌルい内容ではありませんよ。
Re:いきなりソコなのか? (スコア:1)
最も脅威と思えるのは、(主に)実行形式ファイルを気軽に開いてウイルス感染してしまう弱モラル者の増加。
百歩譲っても、1位と2位は逆だと言いたい。
Re:いきなりソコなのか? (スコア:1)
そんなカビの生えた話を1位に持ってきたんじゃ白書にならん。
全然古くないですよ。2006年も代表すべき事態です。そもそも2005年の白書では2位に該当、その後大して変化も無く2006年も流出しまくってます。それでも、2006年として掲げた1位はwinnyネットワークとしての脅威ですよ。
そもそも特徴を掲げるのであれば、「全く減少しないwinny感染」の方が特徴的であり、「winnyによる情報の流出・流通」なんぞ2004年から始まっているわけで、それこそ古い。
>実行形式ファイルを気軽に開いてウイルス感染してしまう弱モラル者の増加。
「モラル」じゃないだろそれ。日本語大丈夫?
自分は大丈夫なんて個人至極な考えほど、精神的に道徳的に社会に対しての精神的態度に欠していると思いますが?
それが違うなら、貴方の言うモラルを教えていただきたい。
Re:いきなりソコなのか? (スコア:0)
社内ネットワークのゲートウェイとは別にネットワークを構築してそこでny使ってたなぁ。
「社内ネットワークと切り離しているから大丈夫」とか言って
ny端末を自分の足元に置いてたなぁ。
こんなモラルの管理者が世の中には沢山居るんだろうな。
で、こんなモラルの下で働く社員も同じようなモラルなんだろうな。
#その会社は辞めたけどAC
Re:いきなりソコなのか? (スコア:1, すばらしい洞察)
そんなモラルではない我々の役目ではないの?
「あぁ、ここはこんなモラルだから駄目だ」なんつって投げてたら
いつまで経っても改善するわけがない。
漏れちゃった。さてその後。 (スコア:2, 参考になる)
漏れちゃった後、どーするよ?ていうのが、今まで以上に取り沙汰されるんでしょうね。
自分の個人情報が第3者の操作によって暴露され、それを誰もどーすることも出来ない、
ていうのは、ちょっと問題なのかなぁ、と思います。
ただ『消せばなかったことになる』ていう方向にいく可能性もあるのかなぁ、と。
それはどーなのかなぁ、と思います。
自分がネットを始めた7,8年前のことを思い出すと、
デジタルとなったデータはコピーし放題、
自分のサイトに掲載したもの(ネット上にアップされたデータ)は、
たとえサイトを閉鎖しても、どこかの誰かがローカルに保存している可能性があり
『なかったことにする』ていうのは難しいんだよ、ていう認識をしてたんですけど。
これからは、漏れちゃったものを完全に削除する方法はない、という認識が
古くなっていくのかなぁ?
なんか情報の取り扱いが粗雑になりそうで怖いなぁと思います。
Re:漏れちゃった。さてその後。 (スコア:1)
とすると現実的には、あるレベルまでの(コストに見合った=不完全な)「発生抑止」をやりつつ、「発生しちゃったらどう処理するか」そして「その処理が失敗したらどうするか」を考える必要が出てくるわけです。その段階で「処理は不可能。以上」では困るわけですから、いろんなアイデアを出していくわけですね。
削除が不可能。とすると次善の策は、大量の「ノイズ」を放出する、とか。そういう方向にいくのでしょうかね。すでにいくつか、ノイズで誤魔化そうとした例もあるそうですし、映画なんかの違法アップロードに対抗して大量のノイズを混ぜるという方策が試みられたりしています。今後はそれ自体を商売としたような、ノイズ放出専門のソフトなり業者なりが、発展していくんでしょうか。すると無限にトラフィックが・・まあもっといいアイデアもあるかもしれないですが。
Medu Lah! en' gula vrechen d' MOL! ~箇更なる高みで廼の困惑を姜す
Re:漏れちゃった。さてその後。 (スコア:1)
となって結局はいたちごっこになるんでしょうね…
ナナメに構えてみる。 (スコア:2, 興味深い)
単に利用者がソフトウェアの動作を理解していないだけではないだろうか。
理解していない利用者にとっては
「接続できて、ファイルが落とせる」だけが必須要件
だからだろう。
# そういえば、ネタの加工画像なのかどうなのかしらんが
# どっかのケーブルテレビがwinnyを利用して音楽を無料で入手できるみたいな売り文句の広告があったな。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re:ナナメに構えてみる。 (スコア:1, すばらしい洞察)
利用者の過失を防ぐ技術開発も当然必要ですが限界もあります。また開発者に責任転嫁できるとなれば利用者のモラルハザードを誘発します。
Bは具体的に管理機能を求めています。これを備えていれば開発者の責任は問われないことが明確になります。そしてWinnyに足りない機能はまさにこれです。
とはいうものの高木氏の指摘のように管理機能は公衆送信の意思表示となりえます。この点がWinnyの法論理的ブレイクスルーでした。もしWinny(もしくは互換クライアント)に管理機能が搭載されると利用者は言い逃れができなくなるのでWinnyネットワークは終焉を迎えるでしょう。
官憲様がUSERの最大の味方か (スコア:1)
まさか彼らはポエムを探していたわけでもないでしょうからね。
まずいものはゴミ箱に放り込んで、ゴミ箱を空にすればきれいさっぱり消えて無くなります。
ええ、同僚からは見えませんとも。ライブドアのサーバの中身は見えたらしいですがね。
BitTorrentならOK (スコア:0)
ってことかな。
Re:BitTorrentならOK (スコア:2, 参考になる)
どこに貼ろうか迷ったけど、、、
BitTorrent は匿名ではない→再配布者の責任が問われる可能性がある→副次流出は考えにくい、という意味では ok と言えそうです。ただ、ファイルの中継による伝播が止められないという点では共通していたように思います。
いずれにせよ、白書が利用者向けに示している態度はあくまで「お願い」であって、これ自体は対策ではありません。よーするに、「たとえ流出しちゃったファイルを見かけても、手を触れず、そっとしておいてあげてくださいね」というものです。この情報が示しているのは、一度 Winny 等に流出してしまったファイルは、Winny 利用者の気分次第でいくらでも伝播しちゃうよ、ということです。これがかつての単純な Web からの流出などであり、Winny が存在しない世界であれば、情報を入手した人間が再びどこかのあぷろだ等にアップロードするのは躊躇したかもしれません。
極論すれば、Winny 等のある世界、無い世界、どちらも一度流出してしまった情報の取り返しはできません。しかし無い世界であれば、流出元を断てばその後の副次流出は限定的であることが期待できます (もちろんその場合、公権力も総動員することが前提となります)。副次流出による伝播の能力が、Winny 等のある/ないではまったく違うのです。
更に言えば、Winny や Share のネットワーキングプロトコルは既に解明されちゃってます。これまでは Winny に伝播能力を借りたウイルスが主流でしたが、もしも今後、Winny への接続機能を有したワームが作られたらどうでしょう? しかも、(可能性は低いかもしれませんが) そのワームの突く脆弱性が未知のもの (すなわち 0 day) だったとしたら──?
そうでなくても、誰にでも失敗はつきものです。よく、「情報リテラシーが十分に啓蒙されていないことが問題だ」と言われます。しかし、どんなに気をつけてもらっていても、時として、情報の流出は起こってしまうかもしれないものである、と考えることもまた、立派な情報リテラシーの一つです。そのようなときに、一般に利用される技術はどうあるべきか、今一度、考えるべきときなのではないでしょうか?
むらちより/あい/をこめて。
違うでしょう。 (スコア:1, 参考になる)
だからあなたの理解の理由で「BitTorrentはOK」的なことは白書は言っていなくて、白書が「BitTorrentならOK」としていると思われる理由は、「利用者の対策」に書かれている次の三点でしょう。
- 無作為中継の機能を搭載していない種類のものを使用し、
- 他人に提供する行為が正当であるファイルしかダウンロードしないようにし、
- キーワードによる自動ダウンロード機能を使用しないようにし
この三つの条件をBitTorrentでは満たせるのでは?(まあ、2番を守らない利用者は別でしょうけども。)
Re:BitTorrentならOK (スコア:0)
反映されているのではないでしょうか。
こうなったら (スコア:0)
Re:こうなったら (スコア:1)
今後開発をさせないではなく、リポジトリの管理を警察が行って、警察の監視下で改修を行わせ、それを配布する形にした方が現実的な脅威に対する対策になるのではないですかね。
作業期間を懲役という形で。無罪になったら、その分普通に報酬を払う必要はあるでしょうけど。
Re:こうなったら (スコア:1)
世界中の優秀な開発者によって安全なWinnyが作られる」みたいな
寝言を言ってみる人はいないか!?
……いないか。