■ウィニーによる情報漏洩問題について
Winnyとはなにか?
■はじめに
最近、マスコミに再三登場する情報漏えい事件、ここに登場する言
葉が「Winny」です。
安倍晋三官房長官までも3月15日の記者会見で「Winnyを使わないで
」と国民に呼びかけました。
私自身、Winnyを利用したことはありません。
便利かなとは思ったのですが、利用のニーズが定かでなかったため
に、ダウンロードしませんでした。
従って、具体的な内容に関しては、詳細不明ですが、いろいろな情
報を集めてレポートしてみたいと思います。
■Winnyの何が問題なのか
最近発生しているWinny(ウィニー)による情報流失事件は、
A).Winnyを利用しているパソコンが、
B).Antinny(アンティニー)というコンピュータウィルス
に感染し、
C).本人が気づかぬままに、外部に漏洩しては困る
丸秘情報が勝手にインターネット上に送信されてしまう
という現象です。
ところで、Winnyとは、インターネットに接続したパソコン同士で
音楽や画像などのデータ交換を可能とする「ファイル交換ソフト」
のことです。
このファイル交換ソフトはメイドインジャパンのソフトで、東大の
大学院助手であった金子勇氏を中心として開発されたソフトウェア
です。
このソフトを利用すれば、音楽や画像を無料で入手できるた
め、金子氏自身は、「著作権法違反ほう助罪」で現在、公判中の状
況です。このソフトの機能とソフトを利用した著作権法違反の事件
があり、このツールを開発した人間に「ほう助罪」の罪が科せられ
ているわけです。
この問題は、拳銃をつくった人間とこの拳銃を使って殺人を犯した
犯人がいた場合、拳銃を作った人間を「殺人ほう助罪」での罪を問
うのと似ています。
従って、法廷でも賛否両論のある課題となって
います。現在、このソフトは、ダウンロードサイトは閉鎖されてい
ます。
従って、誰でもが簡単にダウンロードできる状況ではないよ
うですが、無料のソフトウェアであることと便利さから大量にコピ
ーされ利用されているようで、推定利用者は400万人以上とも言
われています。
この「Winny」利用者のパソコンに「Antinny」というコンピュータ
ウィルスが感染し、情報漏えいにつながっているのです。
この{Antinny}ウイルスが世の中に登場したのは2003年であり、
その後いくつかの亜種が登場し、2004年3月には、Antinny.Gへの感
染により京都府警の捜査情報がWinnyネットワーク上に流出すると
いう事件が発生しました。
また、2005年夏には、重要インフラである原子力発電所関連の情報
が相次いでWinnyネットワーク上に流出するという事件が発生して
います。
「Winny」利用者の増加と「Antinny」ウイルスの発生自体も、それ
が原因で引き起こされた情報流出も、決して新しい事件ではないの
です。
最近報道された、自衛隊の組織に関する機密情報が流出したり、愛
知県警の捜査資料等の流出が問題になっていますが、実際には数年
前から、さまざまな個人情報や機密情報がWinny上を流れていたと
考えるべきでしょう。
従って、本人が気づかないうちに「Winny」を利用しているPCが
「Antinny」に汚染され、【重要】情報が流出しているかも知れな
いのです。
この「Antinny」に感染すると、PC内のさまざまなファイルや送受
信メールなどがWinnyの公開フォルダにアップロードされ、一旦公
開されたデータは回収することは不可能な状態になります。情報の
流出が話題になればなるほどそのデータを検索するユーザーが増え、
ますます収束から程遠い状態になってしまうという始末の悪い状況
に陥ることになります。
このように、インターネット上では、メールやWebサイトにアク
セスすることによりウィルスに感染し、丸秘とすべき情報を公開し
てしまうウイルスが複数報告されています。
一連の流出事件を受け、Winnyの利用禁止や私用PCの持ち込み禁止
といった泥縄式の対策が講じられていますが、インターネット社
会における情報管理に対する根本的な問題として捕らえる必要があ
ります。
■情報の「持ち出し方」に問題
一連の事件の背景にある問題としていくつか考えられることを列挙
してみたいと思います。
第一の問題は、コンピュータウイルスに対する認識不足が挙げられ
ます。
インターネットやメールで送られてくるファイルには、ウィルスに
感染した内容のものが含まれている可能性があるということです。
出所や内容の不確かなファイルは安易に開いてはいけないというこ
とを認識すべきなのです。
ウィルスチェッカーを導入していると時々このチェックに引っかか
るメールやサイト情報が飛び込んでくることがあります。
くれぐれも安易にクリックしないことです。
第二の問題としては、企業や組織における情報管理体制のずさんさ
が挙げられます。
報道された事例では、社内のPCではなく、自宅などにある私用PC
が「Antinny」に感染し、そこからさまざまな情報が流出していま
す。
本来ならば持ち出し禁止の「機密情報」や「個人情報」が、私用P
Cの中に保存されているということです。
意図的に金儲けのためとか、単純な好奇心から持ち出しの事例はモ
ラルの問題として論外にしても、仕事を自宅で作業するという日本
独特の慣習に起因する事例が大きな問題としてクローズアップされ
ています。
『PCは持ち出すな、時間外勤務はやめよ、納期は厳守のこと』とい
った組織の厳しい要求を果たすために「情報管理」がずさんになら
ざるを得ないという事情があります。
持ち出すことが悪いのではなく、持ち出し方や、持ち出した後の管
理までをガードするシステムが不備なのです。PCを持ち出す必
要性や情報の持ち出しがないと仕事にならない状況を改善する方法
を実現することは、現実問題として困難かもしれません。従って、
どうしても持ち出さなければならない場合には、仮に紛失や盗難に
遭ったとしても大丈夫なように、暗号化などの対策を講じておくこ
とが必要ということです。
報道された記録から、流出が明らかになった企業や組織の発表を見
ると、個人情報保護の一環として「私用PCの持ち込みは禁止」「個
人情報の持ち出しは禁止」といったポリシーやルールを定めている
ところが多いようです。しかし、このポリシーやルールが周知徹底
されているかは疑問です。情報持出しルールを規定することは簡単
でも、実際に規定どおりに運用するの簡単ではありません。
ルールを作り、規定文書を配布するだけでは、周知徹底されたとは
言えないのです。
ルールが守られているかどうかを点検するシステムが必要であり、
ガードのための教育とツールの提供が不可欠なのです。
■ところで、当面の対策は?
「Winnyウイルス」による情報流出事件は、自衛隊の機密情報漏洩
事件として国会の質問でも取り上げられたために公になったわけで
すが、「個人情報漏えい対策や情報セキュリティ」の基本の基本が
実行されていないということを顕在化させたに過ぎません。
組織として情報をどのように取り扱うのかを、実際の業務のあり方
とリンクさせながら再度「情報セキュリティー対策」を見直すこと
が必要ということを物語っています。
今回の事件を教訓として緊急の対策としては考えられることを列挙
してみました。
第一に、「問題は他人事ではない」ことを認識すべきであるという
ことです。
ウイルスの感染時期と流出した情報に気づくタイミングには相当の
ギャップがあります。既に流出している情報があるにも係らず全く
気づいていない事象が数多く存在することは予想されます。従って、
早急に現状を見直し、必要な点検を実施することが肝要です。
第二に、個々人レベルではまず、「怪しげな情報に対しては、クリ
ックする前にファイルの内容に関して十分に安全性を確かめること
と安全性が確かめられないファイルは即刻削除する」ことです。
自宅のPCに「Winny」がインストールされているかどうかをチェッ
クし、知識が不足していると思うならば即刻削除すべきでしょう。
一連の情報流出事件の事例では、親が知らないうちに子供が勝手に
PCに「Winny」をインストールし、ウイルスに感染していたとい
うのがあります。家族で共用のPCを利用している場合には、特に
【要注意】ということです。
第三に、企業や組織としては、Winny経由の場合も含め、いざ情報
が外部に流れた場合にどうするかの対策マニュアルを作成すること
です。対策をドキュメント化する過程で、経営的な課題も顕在化し
てくる筈であり、必要な対策の優先順位を明確化し、順次対応策を
実施することです。
第四に、システム的な仕組みや、ウィルス発見のためのツール等の
セキュリティ対策製品やデータベース監視ツール等の各種管理
ツールの導入を具体化する必要があるということです。
■まとめ
インターネット社会の進展により、われわれは利便性を享受するこ
とが可能になり、数多くの情報を安価に・簡単に入手できるように
なっています。
しかし、一方で、このインターネットの空間の中には、いろいろな
デマ情報や有害な情報も存在しています。更には、利用者が知らな
い間に個人の丸秘情報を持ち出してしまうコンピュータウィルスが
浮遊していることも現実です。
インターネットを利用する以上、これらのリスクに対する知識の習
得に努力すると同時に、これらの有害物の汚染を食い止めるための
予防対策が不可欠です。
防御のためのツールやワクチンの導入検討が不可欠です。
昨年の「個人情報保護法」の施行対応でいろいろな対策を検討して、
一応の対策は完了したとの認識があり、最近、「セキュリティー」
に関しての関心が薄れてきたという声も聞きます。
「のどもと過ぎれば熱さを忘れる」状態のように思います。
セキュリティー対策は、完璧・完結ということはあり得ません。
常に、新規のリスクが発生し、このための対策を常時見直す必要が
あります。
身の回りの「セキュリティー」対策の見直しを公的・私的レベルで
行うべきと思います。
| 固定リンク
| コメント (0)
| トラックバック (0)
