「さまざまな情報漏えい事故の中でも、P2P型情報漏えいは一番嫌なパターンだ」――カーネギーメロン大学日本校が5月15日に開催したオープン・カンファレンスにおいて、同校の武田圭史教授はこのように述べ、「Winny」をはじめとする匿名P2P型ファイル共有ソフトを通じた情報漏えい問題のインパクトについて語った。
匿名性を特徴とするP2P型ファイル共有ソフトを通じた「P2P型情報漏えい」では、しばしば「漏らした人が悪い」といった論調が聞かれる。しかし武田氏は、政府機関や企業からの漏えいにせよ個人の被害にせよ、「被害が永続的に及ぶ恐れがある」という特徴があることから、もっとさまざまな側面から深く考えていく必要があるとした。
特にWinnyを介した情報漏えいにおいては、自宅PCからの一時流出に加え、漏えい情報を入手したWinny利用者による二次流出が見られるという。「騒がれれば騒がれるほど再放流が行われ、中には『Share』など他のファイル共有ソフトウェアへの再放流も行われている。また、やじうまが漏えい情報を拾う過程でWinnyのキャッシュが別のノードに保存され、さらに情報が拡散してしまう」(武田氏)
武田氏によると、P2P型情報漏えい事故には「漏えいは自宅の私有PCで発生する」「自分が漏えい対策を行っていても、第三者から自分の情報が漏洩されることがある」「漏えい情報の拡散が急速かつ広範囲である」「いったん漏えいした情報は回収不能」という4つの特徴がある。中でも、P2P型情報漏えいに特徴的なのは後者2つの項目だ。
特に「情報をほしがる人がいる限り、永遠にその情報が手に入る状態になる」(武田氏)点で大きな違いがあるという。Webサイトの設定ミスやメールなどによる他の情報漏えい事故の場合、情報が取得するのは事故が発生しているその期間だけだ。しかしP2P型情報漏えい事故では、漏えい情報に誰でもアクセスできる状態が継続し、「被害が一生ついて回る恐れがある」(同氏)。
また、偶発的な漏えいならまだしも、悪意を持ったユーザーが意図的に情報を漏えいさせた場合、犯人の特定が困難なうえ、歯止めが効かないという意味で問題がより深刻になるとも付け加えた。
●技術的に可能な対策は?
こうした特質を持つP2P型情報漏えいへの対策はあるのか。武田氏は、技術的には幾つかの方策が挙げられるとした。
例えば、Winnyの解析を通じてキャッシュホルダーのアドレス情報を取得し、個別にファイルの削除を依頼する方法、ISPによるトラフィック制限などが挙げられる。また、Winny作者の金子勇氏が述べたとおり、共有設定機能を保護するようP2Pファイル共有ソフトウェアの機能を改良するのも1つの手だ。しかしいずれの手法にせよ「実効性が担保できない」「法的裏付けが必要」といったデメリットがあるという。
この中で「法的懸念が少なく、すぐにでも実行可能」な手段が、「ポイゾニング」とい手法だ。「意図的に偽物の情報をばらまくことで、本物の漏えい情報を見つけにくくする」(武田氏)方法で、通信帯域の圧迫やコスト負担といったデメリットはあるものの、最も手っ取り早い対策だという。
CMUでは実際に、ポイゾニングによる漏えい情報の拡散防止効果について、「eDonkey」や「FastTrack」「Gnutella」といったP2P型ファイル共有ソフトを用いて研究を行った。この結果、レピュテーションシステムを採用しているeDonkeyでは、単純にファイルを混ぜ込む「フラッディング」という方式よりも、同一のデコイを混入させるより高度なポイゾニングの有効性が高いことが分かったという。
これに対しWinnyの場合は、eDonkeyが用いているレピュテーションメカニズムが存在しないうえ、ファイルの発見にはハッシュ値ではなくキーワード検索が用いられるケースが多い。このため「ポイゾニングは比較的容易」(武田氏)と見られるという。
もう1つの取り組みは、同じくカンファレンスで講演を行った米eEye Securityの鵜飼裕司氏が開発を進めている「Winnyネットワーク可視化システム」である。
このシステムでは、Winnyのノード情報やキー情報を収集、分析し、Winnyネットワークの全体像を把握できるようにするほか、「特定ファイルの拡散状況や特定ファイルを保有しているノードの一覧、特定ノードが保有するファイル一覧といった情報を把握できる」(鵜飼氏)。同時にファイル検索ツールの「WinnyFileFinder」、キャッシュ復元ツールの「WinnyUncache」といったツールの開発も行っているという。
同システムを活用すれば漏えいした情報の追跡が可能となり、ISPを介した当該情報の削除要請が容易になる。また、違法ファイルや漏えいファイルの収集家に対する抑止力になりうるという。ただ一方で「Winnyノード情報が分かるため、一斉攻撃に悪用される懸念がある」(同氏)ほか、法的、社会的な面からの課題もあるため、公開に向けて慎重に検討を進めている段階だ。
武田氏も鵜飼氏も、P2P型情報漏えい対策に当たっては、技術的観点だけでなく、法的、社会的なさまざまな観点からの議論と取り組みが必要だと述べる。「そもそも、制御できないネットワークは容認するべきかという問題がある。容認すれば、多くの人がそのネットワークの存在におびえることになるし、規制すれば、技術発展やソフトウェア開発の自由が損なわれる」(鵜飼氏)。
さらに、Shareをはじめとする他のP2Pファイル交換システムへの情報流出への対応も必要だとした。
●安易な漏えい公表は二次被害を招く
カンファレンスの最後には、ネットエージェントの代表取締役社長、杉浦隆幸氏が、自らの経験を踏まえつつ、情報流出後にとるべき対策について説明した。
杉浦氏がまず強調したのは、「『いったんWinnyに流出した情報は絶対に消えない』というのは嘘」ということだ。
より正確に言うと、仮に情報が流出しても、誰の興味も引かない人気の低い状態であれば、ファイルはそのまま消え去るか、ほぼ確実に回収/削除作業を行えるという。しかし拡散レベルが一定の水準を超え、掲示板などに情報が書かれるような状態になると「手のつけようがなくなる」(同氏)
杉浦氏のこれまでの観測によると「漏えい事件の半分程度では、2週間以内にWinnyネットワークから当該情報が消え、共有されていない状態になっている」という。だが、情報が拡散を続け、「だいたい共有するユーザーが10人くらいを超えると、2ちゃんねるやブログに書き込まれる可能性が高くなる」(同氏)。ひとたびこうした状況が明るみになればさらに多くのユーザーがファイルを入手しようとし、広く拡散してしまうという。また、いったん収束し、Winnyネットワークから消えたと思われた情報でも、事実公表や報道をきっかけに「再放流」されるケースもあるため注意が必要だ。
いずれにせよ肝心なのは、できるだけ早期に、できれば漏えいさせてしまった本人からの自己申告に基づいて対策に取り組めればベストということ。逆に、第三者からの通報によって事実を知るケースは「被害拡大した後に通知が行われるため、うまくハンドリングできず、対応が後手後手に回る可能性がある」(同氏)
杉浦氏は、情報漏えいが発覚した後に行うべき具体的な対策についても説明した。
まずは、何の情報がどこから漏れ、今はどのような状態にあるのかという「事実状況の確認」が必要だ。また、事件に適切に対処できるよう、技術面と広報面で責任の持てる「人の確保」も重要となる。さらに、情報漏えい元の「PCの証拠保全」も行うべきという。
同氏の経験によると、情報漏えいの詳細を調査しようとして証拠を消してしまったり、かえって被害拡大につながりかねない対応が見受けられるため注意が必要だとした。
たとえば、Winnyそのものを使って流出した情報を探し出そうとすると、その情報がキャッシュに保存されるため二次流出につながるリスクがある。また、流出元PCを使った調査は論外で、証拠が消えてしまう上、さらにほかの情報が漏えいする可能性がある。また、漏えい元PCでのウイルススキャンも、証拠が消えてしまうため避けるべきという。
ここでポイントとなってくるのは、漏えい事実の公表のタイミングだ。とにかく情報が漏えいしたのだから迅速に公表をという姿勢は否定されるべきものではないが、慎重に検討しないまま拙速に公表すると「興味本位でその情報をダウンロードする人が増え、いっきに情報が拡散してしまう」(杉浦氏)。ことWinny経由の情報流出に関しては、「Winny上で公開が停止されていない段階での公表は二次被害を助長し、本末転倒になってしまう」(同氏)と述べた。
「漏えいを公表する目的は、二次被害を拡大しないことと、類似事件が発生しないようにすること」(杉浦氏)。公表しないことで漏えい情報の広がりを抑える手もあるが、一方で、公表しないままその情報が悪用されるリスクもある。このことを踏まえ「ケースバイケースでどちらの二次被害が大きくなるかを考え、最善の方法をとるべき」と語った。
また、漏えい後の対応もさることながら、再発防止に向けた取り組みも欠かせない。杉浦氏は「事件のほとんどは情報の持ち出しが原因である」と述べた上で、持ち出された情報をできるだけ少なくすることが大事だとした。その手段は「回収」だ。「最近ではいろいろと規則が厳しくなっていて、持ち出しに関する罰則が設けられていたりするが、それを一時緩和して会社内にデータを持ってきてくるよう呼びかけることも大事」(杉浦氏)という。
「これはどんな製品を買ってもできないこと。お金だけで解決しようとせずに仕組みで解決を」(同氏)
(2006.5.16/ITmediaエンタープライズ)