高木浩光＠自宅の日記

■ Winnyネットワーク崩壊への最終シナリオ

表紙提供: 朝日新聞社

先月、朝日新聞社「論座」のインタビューを受けたものが記事となり、今月5日発売号に掲載されている。

• ウィニー騒動の本質 あまりにも情報流出のリスクが大きい, 論座 2006年5月号

ここで確認しておきたい論旨は次の点である。

情報流出はウィニーだけの問題ではないとの声もある。だが、ウィニーの登場で情報漏洩による被害は格段に深刻なものとなった。ウィニーから流出した情報は、ほとんど自動的に無制限に広がっていく。回収する手段は皆無と言っていい。その深刻さは、今年3月に注目された新種のコンピューターウイルス「山田オルタナティブ」と比較すれば一目瞭然だ。「山田」に感染すると、パソコン内のデータが全部、外部から直接閲覧できてしまう。しかし、感染に気づいてパソコンをインターネットから切断すれば1次流出はそこで止まり、積極的に2次流出させる第三者がいない限り、それ以上は拡散しない。他人の個人情報を2次流出させたがる人はそういないし、何の罪もない人の個人情報が暴かれた場合、「かわいそう」「ひどい」という感覚が、ネットユーザー間で生まれることがある。「人間的良心」が抑止力として働くのだ。

しかし、ウィニーは違う。何十万台ものパソコンを相互に接続し、常時ファイルを流通させる仕組みのため、1次流出が自動的に2次流出、3次流出、4次流出となる。（略）

いったん流出したファイルが止められないのは、その独特の使用方法にも原因がある。ウィニーユーザーは、必要なものだけ選んでダウンロードするのではなく、キーワード検索にヒットするファイルを片っ端からダウンロードして、後から必要なものだけ見るという使い方をする。そのため延々とウィニーを接続し続ける。（略） 暴露ウイルスはそれを利用し、「お宝」「美少女」などの人気キーワードや流出データと分かるタイトルをつけてファイルを「放流」する。誰かの検索にヒットすることで、いつまでもウィニー・ネットワーク上を流通するのだ。

ウィニーでは、他の人がやりとりするファイルまで勝手に自分のパソコンに入ってくることがある。第三者のパソコンを経由することで匿名性を高めているのだ。最近は女性のウィニーユーザーも少なくないと聞く。「私のウィニーはきれいなウィニー」と思っていても、実際には児童ポルノなどのデータが自分のウィニーの「キャッシュ」というフォルダ内に自動的に入ってくる。キャッシュ内のファイルは簡単には開けない。知らず知らず他人の違法行為の片棒を担がされ、流出情報の2次流出役を担わされるのである。

海上自衛隊の被害者は、ウイルス対策ソフトを常に更新しており、「自分は絶対にウイルスに感染しないと思っていた」と話したという。しかし、最新のウイルスは防ぎようがない。生命体のウイルスに対するワクチンと同様に、感染の拡大を一定レベルに抑えるための仕組みでしかないからだ。流行の初期段階で感染する少数の人を守るものではない。少数の個人だけを標的にした不正プログラムは、普通のウイルス対策ソフトでは防げない。

どんなに正しい知識を持って注意していても人はミスをする。たった一度のミスでも、ウィニー・ネットワークに秘密を流出させてしまったら終わりだ。たとえ自分がウィニーを使わないようにしていても、他人が動かしているウィニーに接続してファイルを放流する悪質なウイルスが今後出てくる危険性もある。勤務先のファイルは持ち帰らないように徹底しても、プライベート写真やメールが流出したら困る。万が一の被害を抑えるために、ウィニー・ネットワークはできるだけ縮小したほうがいい。ウィニーの使用を自粛するよう国民に呼びかけた安倍官房長官の発言（3月15日）には、そうした意味もあると思う。根絶は難しいにしても、少なくともウィニーユーザーは、自分のウィニーが何をしているかを知り、自分が何の片棒を担がされているかを自覚すべきだということだけは言える。

論座の記事には明確には書かれていないが、「ミス」とは、脆弱性を突かれてトロイを実行させられるケースも含む。もちろん、普段からWindows Updateして脆弱性を排除する作業を怠らないのは元々当然だが、脆弱性が見つかるのはWindowsだけではない。FlashプラグインやQuickTimeプラグイン、Becky!などのメールソフト、Java 2 実行環境(JRE) など、インストールしているソフトウェアのすべてにパッチをあてていなければ、事故は起こり得る。そのような管理を完遂できると自信を持って言える人がどれだけいるだろうか。加えて、未公表の脆弱性が発見者に悪用される「0-day 攻撃」のリスクも存在する。

シナリオ(A)

Winnyを巡る現在の世論はどうなっているだろうか。不思議なことに現時点ではマスメディアも「Winnyが悪い」と決め付ける様子がない。人気ブロガーたちもこぞって「Winnyは悪くない」の大合唱だ。「悪いのはトロイを踏んだ人だ」と言ってみたり、「悪いのは情報を自宅に持ち出した人だ」とか、「悪いのはウイルスだ」とか、「包丁は人も殺せるが……」とか延々繰り返している。

トロイを踏む不用意さも問題だし、自宅に持ち出すことも問題だし、ウイルスも悪いが、Winnyネットワークも危険なのである。なぜその事実を直視することから逃れるのか。

たとえば、「japan.internet.com編集部」が客観性を失っている様子が次の記事に見てとれる。

• 情報漏えい多発の影響か、ファイル共有ソフトユーザーの65％が「危険を感じて利用中止」 , japan.internet.com 編集部, 2006年3月28日

  ファイル共有ソフトを利用したことがない970人の認識はどうか。Winny ウィルスによる一連の事件について意見を聞くと、「（ファイル共有ソフトの）ユーザーに原因があると思う」がトップ（715人）。ソフトウェアは常に人間が動かすものだが、2位は「Winny そのものに原因があると思う」（490人）、そして3位は「企業の危機管理に原因があると思う」（451人）となった。

これはアンケートの結果を分析する記事なのに、「Winnyそのものに原因があると思う」との回答の前に、どういうわけか、「ソフトウェアは常に人間が動かすものだが」などという著者の主観による注釈（多かった回答に対する反論めいたもの）を付け加えてしまっている。

人気ブロガーが「Winnyは安全である」などというトンチキなことを言い始めた事例もある。

• Winnyが残したもの, アンカテ(Uncategorizable Blog), 2006年3月22日

  Winnyは安全である。メーラーやブラウザのように、外部から来たデータがオペレータの意図に反して、間違って実行されてしまうことがない。本来、ワームとは利用者に何の落ち度がなくても拡散するものであり、Winnyのようにセキュリティーホールが無いソフトではあり得ないものだ。「暴露ウィルス」は別の名前で呼ぶべきものだと思う。

  Winnyが危険であるというのは全くの間違いで、外部から来た信頼できないデータをプログラムとして実行してしまうことが危険なのである。「暴露ウィルス」では、実行するのは馬鹿なユーザであって、Winny本体が勝手に外部から来たデータを実行することはない。

正直、この人がこんな馬鹿だとは思わなかった*1

この種の「識者」達にとっては、Winny礼賛に導く新しい「理論」をどれだけ唱えられるかが思想エリートとしてのテーゼなのだろう。

ここまで「識者」達の思考を狂わせてしまうものはいったい何か。それは、Winny作者が著作権法違反幇助の罪で逮捕、起訴されたことが発端であろう。

Winnyニートのみならず、関心がなかったあるいは中立的だった人たちさえ、作者が幇助犯として処罰されること自体に対する危機感から、「ということにしたい」症候群に陥ってしまった。あるいは、本当のことはわかっていても、意図して「大人の議論」をしている人もいるのだろう。そしてその「大人の議論」を真に受ける人が続出している。それどころか、それまで「Winnyはけしからん」としていた人たち（著作権ビジネス界の）さえも黙らせてしまった。Winnyを悪く言うだけでバッシングの対象となる恐れがあり、本当のことを言うのが難しくなっている。

しかし、ここで注意したいのは、「Winnyネットワーク自体が危険である」という事実を認めることが、「Winnyの製造は悪である」を意味するわけではないということだ。今では作者自身が、Winnyネットワーク自体が危険であることについて「Winnyの技術的的欠陥」と認めているのである。

• 開発者が語る“ポストWinny”, ITmediaニュース, 2006年1月30日

  金子氏は、一度放流したファイルは消せないという管理不可能性は「Winnyの技術的欠陥」と自ら認める。これを解決するアイデアはいろいろあるというが、Winny開発をめぐって公判中の今の彼は、それを試せる立場にはない。

• Winny開発者が講演「ウイルスの対処は可能だが現状では身動きが取れない」, INTERNET Watch, 2006年3月13日

  金子氏は、「これを応用すれば、ファイル共有の方も管理可能になり、現在流通しているファイルを変更・削除するといったことも可能になるのではないかと考えていた」と語った。こうした管理機能は、掲示板については確実に実装する予定で、ファイル共有については当時は可能性について考えていただけだが、現在ではファイル共有についても管理は可能だと考えているという。

現在の作者のスタンスは、Winnyは技術的な試験のために作り配布したもので、その技術は発展途上のものだった（「そのため意図せず著作権侵害の蔓延を許してしまった」ということか？）ということになっている。だからその意味でもむしろ、現在のWinnyには欠陥があるということに「しなくてはならない」のだ。いまさら「Winnyはすばらしい」などと言い続けようとしている連中は、頭のネジが緩んでいることに気づくべきである。

ところで、AntinnyがWinnyネットワークを崩壊させるために作られたとみる人もいるようだが、それは違うだろう。

• 危険なのはWinnyよりあなた自身：惨劇の予兆〜政府も巻込む大惨事へ, So-net セキュリティ通信

  Anti-Winny（アンチウィニー）ことAntinny（アンティニー）とは、セキュリティベンダーも上手い名前を付けたものだ。「Winnyなんてやってるから、こんなことになるんだ」と言わんばかりに、次から次へと個人情報や重要情報が流出。

日本人ウイルス作者というものを考えてみると、従来、単純に増殖するだけのウイルスはあまり登場しなかった。これはおそらく、「ウイルスをばらまく愉快犯は子どもっぽい」と見なす文化的風潮からくるものだろう。発展途上国ではメールで広がるワームを作った程度でヒーロー扱いされることがあったようだが、（フロッピーディスクに感染する昔のウイルスならともかく）いまどきワームを作ることくらい何ら高度な技術を要しないのであるから、単に増殖するだけで喜んでいては馬鹿にされるだけだ。システムに甚大な被害をもたらすウイルスを撒く行為は厳しく断罪されることだろう。

だが、Antinny作者は、Winnyユーザだけをターゲットとすることで、そうした批判が自分に向かうのを避けることに成功している。Winnyを使っていること自体がろくなものではないと皆わかっているので、ウイルス被害者は同情されない。「悪いのはトロイを踏んだ人だ」と言っている人たちは、愚かなことに、ウイルス作者の思惑にまんまと乗せられてしまっている。

つまり、Antinnyは、Winnyネットワークを壊すことなく、人を罠に陥れる楽しみを続けられるように（手加減して）作られているのである。

したがって、次の展開によって、Winnyネットワークは崩壊への道をたどると考えられる。

メールソフトやWebブラウザの脆弱性を突く 0-day攻撃で、何の落ち度もない人達に感染するウイルスが登場する。そのウイルスは、被害者のコンピュータ内の秘密のファイルをWinnyネットワークに放流する。Winnyを使っていなくても、他人が使っているWinnyに接続して放流してしまう*2。

自称進歩的識者達がこの被害に遭う。このとき、もはや「誰それが悪い」と言えないだろう。自分の身に降りかかった痛みを知ってようやくWinnyネットワークの存在自体の危険に目を向けることとなる。「Winnyは安全だ」「悪いのはトロイを踏んだ馬鹿な人だ」などと言っていたトンチキが目を覚まし、「やっぱりWinnyを止めよう」ということになり、Winnyネットワークはようやく縮小の方向に向かう。

シナリオ(B)

ネットエージェント社が以前から、Winnyプロトコルを自在に操るツールを作っていることを公表していた。

• ネットエージェント、Winny上のファイル共有者を特定するソフトを開発, INTERNET Watch, 2004年5月13日

だが、これはビジネスとして展開されていたようで、これが一般の人の手に渡ることはなかった。ところが、先日、米eEye社がその種のツールを無償で公開する予定であることを明らかにした。

• 検出ツールの開発者が語る，「Winnyを検出する方法」, 鵜飼裕司, 日経IT Pro, 2006年4月12日

  Winnyプロトコルを利用すれば、Winnyネットワーク内のノード情報（IPアドレス、ポート番号、クラスタリング情報など）を収集することができます。また、キー・パケットの収集により、特定ノードが持つファイル一覧や、特定ファイルを持つノード一覧なども取得できます。

  このような仕組みを実現するWinnyネットワーク分析システムは既に実装が完了しており、今後、何らかの形で一般に無償配布できればと考えています。その他、漏洩してしまった情報の追跡や消去を支援するためのツール群も開発中です。こちらもあわせて無償配布したいと考えています。

このようなツールが誰でも利用できるようになると、次のような展開が予想される。

まず、個人情報を流出させた者もしくはその代理人、あるいは被害者（漏らされた情報の主体）の代理人が、これらのツールを使って、そのファイルを持っているWinnyノードのIPアドレスを洗い出し、プロバイダ責任法に基づいてISP経由で当該ノードのWinny利用者にファイルの削除を要請する。

そのとき、「そのファイルをダウンロードした記憶がないので、何かの間違いではないか」との疑問を持つWinnyユーザが続出し、そのことが世間で話題となる。

それにより、Winnyがcacheと呼んでいる仕組みのことがあちこちで解説されるようになり、「cacheにファイルを持っているだけで公衆送信可能化しているのだ」という事実が広く知れ渡り始める。実際、任意のWinnyノードの所有するファイルを閲覧できるツールを皆が使うようになれば、そのことは一目瞭然となるだろう。（Webを閲覧しているのと同じに見える。）

一方、Winnyネットワークからダウンロードだけするプログラムが作られて無償配布されると、流出ファイルのお宝探しをしていた報道関係者たちが、Winnyを使うのではなく、ダウンロード専用プログラムを使うようになる。

これによって、ようやくマスメディアが、中継するだけでも違法性がある可能性について語り始める。それまではそれを語ることができなかった。なぜなら、Winnyの実態を報道するためにはWinnyを使わざるを得ず、Winnyの中継を違法ということにしてしまうと、自分の首を絞めることになるからだ。実態が報道されないのはより悪いことだ誰もが思うため、それまでは誰も（表では）そのことに触れないできた。

その状況を踏まえて、ネットランナー等がDOM（ダウンロードするだけの行為）を推奨する。DOMが増大し、DOMだけとなり、Winnyネットワークは消滅する。*3

■ Winnyを規制するISPは、Winnyトラフィック中の無駄割合を調査するべき

ISPにWinnyの利用を規制する正当な理由があるとすれば、それは、Winnyが通信の使い方に欠陥があることを示した場合だろう。

Slammerワームが流行したとき、ISPでポートを塞いで対処する方法が検討されたが、これは、Slammerが不正プログラムであることが明らかだったからだ。

ワームでなくても、ある壊れたプログラムによって、全く意味を持たない大量のパケットが放出され続けるという事態が起きれば、そのプログラムを止めるようISPがユーザに依頼するということも正当化できるだろう。

Winnyは、実際、無益なパケットを大量に出している可能性がある。

いったん流出したファイルが止められないのは、その独特の使用方法にも原因がある。ウィニーユーザーは、必要なものだけ選んでダウンロードするのではなく、キーワード検索にヒットするファイルを片っ端からダウンロードして、後から必要なものだけ見るという使い方をする。そのため延々とウィニーを接続し続ける。

ウィニー騒動の本質 あまりにも情報流出のリスクが大きい, 朝日新聞社 論座, 2006年5月号

大半のファイルは、消費されることなく削除されているのではなかろうか。

仮にすべてのWinnyユーザが寝ている時間以外のすべてを動画鑑賞に費やしていたと仮定しても、4Mbps程度しか消費しない。一方、ブロードバンド回線の帯域全部をWinnyに使用した場合、数十Mbpsが消費する。実際には、有益に消費されるファイル容量はずっと小さいだろう。

ISPは、Winnyのそうした使われ方の実態を調べたらいい。「平均10Mbpsで通信しているのに、そのうちの99パーセントは無意味に捨てられている」という結果を出せれば、Winnyには欠陥があると主張することができるはずだ。

昔は、シグネチャを5行以上書くと「トラフィックの無駄だ」などとネットワーク屋にトンチキなことを言われたものだ。それが今はどうだ。

まっとうなソフトウェア作者なら、ネットワーク回線を有益に使うためのトラフィック調整を考えて作るだろう。Winnyは、Winnyネットワークにとってだけ都合がよいように作られた利己的プログラムである。全体のトラフィック制御をせず、最大限使い尽くし、基幹ネットワークのボトルネックによって結果的にトラフィック制御されるという、傍若無人なソフトウェアだろう。

そうした欠陥プログラムは、匿名でない人によって配布され、用途が革命を起こすようなものでもないならば、とっくに糾弾されているところのはずではないか。

「ソフトウェア技術者連盟」のような技術者の倫理を考える集まりは、そうした、非倫理的プログラムの定義を打ち出したらよい。

情報処理学会のような既存の団体が倫理綱領を作れば、当然、現行法遵守となるだろうが、そうした観念にとらわれない新しい団体であるならば、違った形の定義を出せるはずだ。

現在Winnyについて「大人の議論」を繰り返している人たちは、技術を理解していないオヤジ達によって不適切に広く「非倫理的プログラム」が定義され、法規制されることの有害性を憂慮してのことだろう。

であれば、わかっている技術者団体が先手を打って、最小限の非倫理的プログラムの定義を打ち出せばよい。Winny作者が認めている通り、Winnyはそれに該当する欠陥プログラムであるとし、ISPが規制するのも妥当だとすればよい。そして、Winnyに取って代わる次のソフトウェアも、その定義に当てはまらないように作ることを促したらよい。