Winny 危険!! せめてパッチの適用を!
ネタ元 モーグルとカバとパウダーの日記 『Winnyの脆弱性対応パッチは著作権違反の幇助になるのか? 』
昨今世間を騒がせている Winny ですが, INTERNET Watch の記事 『「Winnyの脆弱性は悪用が容易な危険なもの」脆弱性を発見した米eEyeが警告』等に流れていますが Winny にバッファオーバーフローにより「任意のコードをリモートから実行できる」脆弱性が発見されています.
詳細情報→セキュリティホール memo
つまり「暴露ウィルスにやられてるのはバカだけ, 俺はアンチウィルスソフト使ってるし, 怪しいファイルをクリックしないもんね. へへ~ん.」などと言ってる Winny ユーザも被害を受ける危険が生じているわけです.
一方『Winnyのノード数に減少傾向なし、ネットエージェントが調査』によると「ゴールデンウィーク中、60万~70万台に増加する可能性もある」とのこと.
もしこのタイミングで Winny の脆弱性を突いたワームが発生するとちょっととんでも無いことになりかねません.
この危機って Winny を使ってない人も安穏とはしていられません. 日本の人口がざっと 13000万 として, そのうち 60万ってことはきわめて大雑把に言って 1/200.
日常ネットに接続してる人数を仮に 6000万とすると 60万 は 1/100. 普段インターネットを使ってる人なら間違いなく友人/知人/取引相手に Winny ユーザが何人かいることになります. そうすると例えば…
・会社の同僚が顧客情報を流出 → 会社に経済/社会信用の被害 → 最悪倒産
・利用したオンラインショップからクレジットカード情報流出 → 不正使用
・知人のPCからアドレス帳が → スパムメールや怪しい勧誘電話の増加
etc.
以前ニムダが流行った時に, 私がメールをやり取りした誰かのPCが感染して, FROM に私のメールアドレスを詐称したウイルスメールをばら撒かれたことがあります. この時はバウンスメールの経路情報から, 発信元の ISP 宛てに発信者に感染していることを連絡していただくようお願いして, ウイルスメールは止まりました. しかしこの手のとばっちりを食らった場合 Winny ネットワークがからむと食い止めるすべがありません.
こうした Winny ネットワークの被害回復不能性についてはモーグルとカバとパウダーの日記で紹介されている
高木浩光@自宅の日記の『Winnyネットワーク崩壊への最終シナリオ』
および同じく高木氏による 『あまりにも情報流出のリスクが大きい』
等をご覧下さい.
さらに今回の脆弱性は「任意のコード」を実行可能なので, Winny ネットワークにファイルが流出するだけでなくて, トロイの木馬をしかけられるとか, DDoS 攻撃や スパムメール中継のボット化される危険もあります.
と言う訳で, Winny を使ってる皆さん. 使用を止めろとは言いませんが, せめて早急にパッチ当てるか対策版に乗り換えてください.
http://winny.org/ で対策版が配布されているようです. でも, せっかくこのページに来た皆さん, 速攻で winny.org にダウンロードしに行かずに, この下も読んでいってください.
あと「パッチや対策版があるなら安全ジャン!」などと新たに Winny を使おうと考えてる方, 今後新たな脆弱性が見つかって 0day 攻撃が無いとは限りませんから…
それでもど~しても Winny を使いたいって方は, Winny 専用PCを用意しましょう.
えっ?そんな金も場所もない?
だいじょ~ぶです. 余分な場所をとらないPCがただで手に入ります. → Microsoft Virtual PC 2004 無料ダウンロードページ
なんと言っても, つい最近まで 15,000円以上の値段で販売されていた, っていうか, 販売店ではまだ在庫をかかえて 15,000円以上の値段で売っているソフトです. → マイクロソフト Virtual PC 2004 for Windows 日本語版 1台のPCで複数のOSを同時に稼動する...
これがタダで手に入るんですから, とりあえずダウンロードしておくと吉.
参考 → 『PCの数を増やして幸せになる』
でもね…
Impress Watch の記事 『Winnyを使っているとISPが自宅を訪問!? 「匿名P2Pの真実」を議論 』によると
そして, 特定のIPアドレスのユーザがダウンロードしたファイルの内容が含まれるキャッシュが取得できるので「趣味嗜好が丸裸」だそうですよ, 皆さん. もちろん IP とユーザの実名を結びつけることが出来るのは ISP だけですが, 著作権法違反等がからんで警察が捜査するようなことになれば, ISP は顧客の情報は提出します.
それでも Winny 使いますか?
昨今世間を騒がせている Winny ですが, INTERNET Watch の記事 『「Winnyの脆弱性は悪用が容易な危険なもの」脆弱性を発見した米eEyeが警告』等に流れていますが Winny にバッファオーバーフローにより「任意のコードをリモートから実行できる」脆弱性が発見されています.
詳細情報→セキュリティホール memo
つまり「暴露ウィルスにやられてるのはバカだけ, 俺はアンチウィルスソフト使ってるし, 怪しいファイルをクリックしないもんね. へへ~ん.」などと言ってる Winny ユーザも被害を受ける危険が生じているわけです.
一方『Winnyのノード数に減少傾向なし、ネットエージェントが調査』によると「ゴールデンウィーク中、60万~70万台に増加する可能性もある」とのこと.
もしこのタイミングで Winny の脆弱性を突いたワームが発生するとちょっととんでも無いことになりかねません.
この危機って Winny を使ってない人も安穏とはしていられません. 日本の人口がざっと 13000万 として, そのうち 60万ってことはきわめて大雑把に言って 1/200.
日常ネットに接続してる人数を仮に 6000万とすると 60万 は 1/100. 普段インターネットを使ってる人なら間違いなく友人/知人/取引相手に Winny ユーザが何人かいることになります. そうすると例えば…
・会社の同僚が顧客情報を流出 → 会社に経済/社会信用の被害 → 最悪倒産
・利用したオンラインショップからクレジットカード情報流出 → 不正使用
・知人のPCからアドレス帳が → スパムメールや怪しい勧誘電話の増加
etc.
以前ニムダが流行った時に, 私がメールをやり取りした誰かのPCが感染して, FROM に私のメールアドレスを詐称したウイルスメールをばら撒かれたことがあります. この時はバウンスメールの経路情報から, 発信元の ISP 宛てに発信者に感染していることを連絡していただくようお願いして, ウイルスメールは止まりました. しかしこの手のとばっちりを食らった場合 Winny ネットワークがからむと食い止めるすべがありません.
こうした Winny ネットワークの被害回復不能性についてはモーグルとカバとパウダーの日記で紹介されている
高木浩光@自宅の日記の『Winnyネットワーク崩壊への最終シナリオ』
および同じく高木氏による 『あまりにも情報流出のリスクが大きい』
等をご覧下さい.
さらに今回の脆弱性は「任意のコード」を実行可能なので, Winny ネットワークにファイルが流出するだけでなくて, トロイの木馬をしかけられるとか, DDoS 攻撃や スパムメール中継のボット化される危険もあります.
と言う訳で, Winny を使ってる皆さん. 使用を止めろとは言いませんが, せめて早急にパッチ当てるか対策版に乗り換えてください.
http://winny.org/ で対策版が配布されているようです. でも, せっかくこのページに来た皆さん, 速攻で winny.org にダウンロードしに行かずに, この下も読んでいってください.
あと「パッチや対策版があるなら安全ジャン!」などと新たに Winny を使おうと考えてる方, 今後新たな脆弱性が見つかって 0day 攻撃が無いとは限りませんから…
それでもど~しても Winny を使いたいって方は, Winny 専用PCを用意しましょう.
えっ?そんな金も場所もない?
だいじょ~ぶです. 余分な場所をとらないPCがただで手に入ります. → Microsoft Virtual PC 2004 無料ダウンロードページ
なんと言っても, つい最近まで 15,000円以上の値段で販売されていた, っていうか, 販売店ではまだ在庫をかかえて 15,000円以上の値段で売っているソフトです. → マイクロソフト Virtual PC 2004 for Windows 日本語版 1台のPCで複数のOSを同時に稼動する...
これがタダで手に入るんですから, とりあえずダウンロードしておくと吉.
参考 → 『PCの数を増やして幸せになる』
 | Virtual PC 2004活用ガイド―for Windows技術評論社このアイテムの詳細を見る |
でもね…
Impress Watch の記事 『Winnyを使っているとISPが自宅を訪問!? 「匿名P2Pの真実」を議論 』によると
質疑応答では、「Winnyを使ってアップロードしていると、電話がかかってくるのか」という質問が寄せられ、杉浦氏(ネットエージェント代表取締役社長)は「本当に(電話を)させてしまいました」と回答。かつて、企業の顧客情報を多数のノードに拡散させているユーザーのIPアドレスを割り出し、ISPを通じて削除させるように依頼したエピソードを紹介した。すべてのISPがこうした依頼に対応するわけではないとしながらも、一部のISPではWinny利用者の自宅に訪問したケースもあったと語り、会場を驚かせた。とのこと.
そして, 特定のIPアドレスのユーザがダウンロードしたファイルの内容が含まれるキャッシュが取得できるので「趣味嗜好が丸裸」だそうですよ, 皆さん. もちろん IP とユーザの実名を結びつけることが出来るのは ISP だけですが, 著作権法違反等がからんで警察が捜査するようなことになれば, ISP は顧客の情報は提出します.
それでも Winny 使いますか?
【コメント募集中】goo blogでの思い出は?
@goo_blog
しかし、この脆弱性見つかって、もっとWinnyコミュニティ(というのがあるか良く知りませんが、少なくとも2ちゃんのスレなど)やマスコミでも大騒ぎになるんじゃないのかと思ってたんですが、意外にそんなことないんですよね。
これはもう、事が起ってしまうまではもう止められないんでしょうな。
こうなってはもう誰にも止められないのじゃ…