「Winny 対策」は欲をかかない、かかせない

このところ Winny ネットワークへの情報流出の勢いすさまじく、 テレビでも連日の報道が行われるような塩梅である。 筆者も
Winny 対策に関する意見を述べておきたい。

Winny とはなにか

Winny とは P2P ファイル共有ネットワークを構成するためのソフトウェアである。 その実態は、CD
から取り込んだ音楽ファイル、DVD から取り込んだムービーファイル、 市販ソフトのコピー、といった不正コピー流通の温床である
(本来はそうで無かったとしても)。

このところの Winny による流出事件

Winny ネットワークではコンピュータウィルスも大量に流通している。 この中には一般のコンピュータウィルスだけでなく、
Winny 利用者を狙ったコンピュータウィルスが存在している。
音楽ファイル、ムービーファイルなどに偽装されたウィルスファイルを実行(開く)すると、 PC 上のファイルを Winny
で共有されるように設定してしまう。 このような経緯により、Winny ネットワーク参加 PC から、
様々な情報が利用者の意図しないうちに、流出してしまっている。 先月分のニュースからWinny
による情報流出事件を一部、抜き出してみた。

  1. トレンドマイクロ、営業情報流出、社員自宅 PC より
  2. Yahoo! ショッピング出店企業情報流出、業務委託先より
  3. JASDAQ、システム情報流出、開発委託業者より
  4. モスフード、顧客情報、従業員情報流出、社員の個人所有 PC より
  5. 富山市長谷川病院、患者の個人情報流出、職員の私物 PC より
  6. NTT 西日本、顧客情報流出、社員の自宅 PC より
  7. 海自機密情報流出
  8. 富士宮信用金庫、顧客情報流出、業務委託先が無断で持ち出し
  9. 岡山県警、捜査関連情報流出、職員の私用 PC より
  10. 愛媛県警、捜査関連情報流出
  11. アルプス技研、社員情報、顧客情報流出、元社員の PC より

「情報セキュリティ」、この言葉が空しくなりそうな、そんな有様である。

Winny 流出事件に対する反応

上の流出事件リストを見ると、そのほとんどが「私用 PC」で発生していることがわかる。 私用 PC とは、職員が個人で購入した
PC のことで、 自宅で使っている場合と、自宅の PC を職場に持ち込んでいる場合がある。
自宅で使っている場合には、業務データを家に持ち帰っていた、ということで、 職場で使っている場合には、職場で PC
が不足しているということだ。

このため、Winny による情報流出を防ぐ手立てとして、次の二つのことが叫ばれることが多い。

  1. 業務データを持ち帰らない
  2. 職場に私用 PC を持ち込まない(Winny のインストール禁止を命じることができない)

(* Winny ではインストール作業は不要で、zip ファイルを展開するだけでよい)

これは対症療法であり、根治のためには「Winny 禁止」という意見も強い。

「Winny 禁止」で問題は解決するのか

筆者の考えでは Winny を禁止しても問題は解決しない。 原因は Winny 自身ではないし、私用 PC の業務利用でもない。
ほとんどのケースにおいて、 事件の当事者は業務データを世の中にばらまきたかった訳ではなく、
ウィルスに感染して、ウィルスが業務データをばらまいているのだ。 このような事象をリスクと考えて一般に次の式がなりたつ。

リスク = 脆弱性 x 脅威

Winny を使っていたこと、 Winny を使っていた計算機に業務データが存在したこと、 これらは脆弱性である。
脅威はウィルスに感染したことであり、顕現したリスクが業務データの流出なのである。 リスクを低減するためには脆弱性を減らすとともに
脅威を遠ざける(脅威の発生を低くする)ことが必要である。 Winny 禁止、業務データ持ち帰り禁止、これだけでは、 いつか Winny
以外のソフトウェアで事件が起きて、 ○○禁止がまた一つ増えるというサイクルを繰替えすのみである。

Winny 対策は「ウィルスに感染しないように心がける」という「当たり前」のことなのである。 流出したデータの拡散が早いため、
何か Winny だけが特別な事件であるかのように捉えられているようだが、
出所不明なファイルを疑いもせずダブルクリックした、というだけの話である。

Winny ネットワーク上のウィルスファイルは、 思わず開いて見てみたくなるようなファイル名がつけられているそうだ。 Winny
の使われ方が、「ただ」で、音楽、ムービー、 ゲームコンテンツを「不正に」手に入れることであるならば、 Winny
を使っている人達は、それなりの欲を持って使っているということだ。 悪さをしようという輩はその欲につけこもうとする。
欲に目くらむと危険な匂いに気がつかない。 Winny
による情報流出対策は、つまらん欲をかかない、かかせないということにつきる。

「欲をかいたらどうなるのか」を理解させよ

Winny でかく欲とは法に反する不正行為で、重い軽いはあれど犯罪である。
利用者(悪用者)だって、わかっていて不正行為を働いているのだろうが、 自分の行為がもたらす結果については良くわかっていないのかと思う。
それは Winny の仕組みも良くわかっていないので、 もたらす結果も想像がつかない、これだけ事件が起きていても対岸の火事なのだろう。
筆者は自動車運転免許の更新日を勘違いして免許を失効したことがある。 その時、試験場で見せられたビデオは、
少し先を急いで、いつものように行った速度超過が人身事故を引き起し、 家族含めて人生が崩壊してしまう、
という後味の悪いもので、いまだに思いだすことがある。 別段嬉しい話ではないのだが、
結果として無理な速度超過をしなくなり、無用な事故を防げているのかもしれない。

Winny 対策として、 「とにかく Winny 駄目〜」ということではなく、 Winny は、こういう仕組みであり、
Winny を使うということは(一般的には)不正行為目的で、 不正行為の結果、ウィルスファイルを踏んでしまい、
こういう目にあっている人達がいる、 ということを正しく理解させる、 こっちの方が効果的だろう。