<前の日記(2006年05月13日) 次の日記(2006年05月20日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 284   昨日: 3063

2006年05月16日

アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由

という記事が出ていた。たしかに普通のウイルス(ワームおよびトロイの木馬を含む)の場合、発生直後に大流行した後に急速に衰えていく性質がある。それはウイルス対策ソフト(パターンマッチング方式によるウイルス削除システム)の普及が効果を挙げている結果であろう。それに対しこの記事は、Winnyを媒介するウイルスの場合は、あまり衰えずに継続して感染者が出続けること、さらには、後になって大きなピークが現れる現象が見られることをデータで示している。後になってピークが出る原因について、著者の新井さんは、

幾つもの推論はできるが、筆者はその中から1つを挙げておきたい。それは、一連のニュースを見て新たにWinnyを使い始めた利用者がおり、彼らが暴露ウイルスに感染し始めているのではないか、ということだ。歴史は繰り返されるのか。

Winny経由の漏えいは止まるか? データに見る暴露ウイルスの感染推移, 新井悠/ITmedia, 2006年5月16日

と考察している。

それもあるとして、全体的にあまり衰えない原因として、次があると思われる。

まず、Winny利用者をターゲットとしたトロイの木馬を原因とする情報漏洩事故が、従来の事故と比べて被害が甚大である原因は、次の3つに分けられる。

  1. 人々がトロイを踏みやすい: 出所不明なファイルでもそれを開きたいという強い欲求が利用者にあるため。(WANでのファイル共有利用時に一般的に問題となる性質)

  2. トロイのファイルが流通し続ける: 削除する方法がなく、人々の意思と無関係に自動運転でファイルが拡散していくため。(Winny型のP2Pファイル共有/放流システム固有の性質)

  3. 事故で流出した被害ファイルが流通し続ける: 削除する方法がなく、人々の意思と無関係に自動運転でファイルが拡散していくため。(Winny型のP2Pファイル共有/放流システム固有の性質)

このうち、2.の性質が、普通のウイルスと違ってWinnyを媒介するウイルスが沈静化しにくい最大の要因であろう。

トロイの木馬による攻撃で被害者数が多くなるのは、トロイが自分自身を複製して他へ被害を広げる増殖機能(ワームないし狭義のウイルスが持つ性質)を持つ場合である。したがって、アンチウイルスソフトにより感染端末でそのトロイを駆除すれば、増殖も止まるため、被害規模は沈静化する。

それに対しWinny媒介型の場合、増殖機能はWinny本体が受け持っている*1ため、端末のトロイを駆除してもトロイの流通は止まらない。これが原因である。

ここでひとつ疑問がある。なぜ、アンチウイルスベンダーは、WinnyのCacheフォルダ内のウイルスファイルを駆除しないのだろうか?*2 これを駆除すれば、上の2.の要因は消滅し、普通のウイルスと同程度の沈静化を達成できるかもしれないのにだ。

一般にアンチウイルスソフトは、圧縮・アーカイブファイル内のウイルスファイルも検出して削除する。多重に圧縮・アーカイブされたファイルでも検知できるとされている。

(18日修正:セキュリティホールmemo 2006.05.18のご指摘に従い参考参照先を変更。)

それと同様に、WinnyのCacheフォルダ内のファイルも(圧縮を解除するのと同様に)デコード*3して、さらに多重に処理された圧縮・アーカイブも展開して検査することは、技術的に可能であるはずだ。そして、検出されたウイルスを含むCacheファイルは、単純に削除してしまって差し支えないはずだ。

それが行われていない理由として、次などの可能性が考えられる。

  • Winnyの用途の大半が専ら違法行為目的のものと考えられているところ、Winny自身の機能部分にまで介入してウイルス駆除を行うことは、Winnyの機能を改善サポートすることを意味する*4ため、そのような違法行為蔓延の継続を促すようなことは反社会的であると考えられている可能性。

  • WinnyのCacheフォルダ内の特定ファイルをアンチウイルスで削除できるようになると、ウイルスだけでなく、事故で流出した悲惨なプライバシー侵害ファイルや、著作権侵害ファイルも削除してほしいという要望が出るようになると考えられ、何を削除するべきかの判断をアンチウイルスベンダーが迫られることになりかねない。そのような厄介な事態には巻き込まれたくないので、そのような機能を提供することに消極的になっている可能性。

  • 対応する圧縮・アーカイブ方式の追加(WinnyのCacheファイルという新方式の)は、アンチウイルスソフトのエンジン中枢の改良が必要であり、アンチウイルスベンダーの本社での決断が必要となるところ、日本に本社のあるアンチウイルスベンダーはもはや存在せず、日本固有の被害状況に対処してそのような新機能を導入することが億劫になっている可能性。

  • アンチウイルスソフトの目的は、それを購入してくれた顧客を保護することであり、その目的のためには、Downフォルダに展開されたファイルを駆除対象とするだけで十分であり、Cacheフォルダ内のものまで駆除する理由がない*5と考えられている可能性。

*1 メール媒介ウイルスの場合におけるSMTPサーバが、複製はするけれども増殖機能を持つわけではないのと違って。

*2 今のところこれを駆除するアンチウイルスはないと理解していますが、あるようでしたら教えてください。

*3 その方法は既に公知である。WinnyがCacheフォルダ内のファイルをエンコードしている目的は、違法な公衆送信行為をしている事実を利用者が自覚しにくくする(認識しているのに認識していないと嘘をつけるようにする)ためであるが、仮にそれが、著作権法2条1項20号の「技術的保護手段」とみなされるとすると、それをアンチウイルスソフトがデコードすることが、「技術的保護手段の回避」(同法30条2項)にあたり120条の2 1項に抵触する……などと考えてみるのはおもしろいが、WinnyのCacheフォルダ内のファイルのエンコードが著作権法の技術的保護手段にあたるわけがない。

著作権法 2条1項20号

技術的保護手段 電子的方法、磁気的方法その他の人の知覚によつて認識することができない方法(次号において「電磁的方法」という。)により、第十七条第一項に規定する著作者人格権若しくは著作権又は第八十九条第一項に規定する実演家人格権若しくは同条第六項に規定する著作隣接権(以下この号において「著作権等」という。)を侵害する行為の防止又は抑止(著作権等を侵害する行為の結果に著しい障害を生じさせることによる当該行為の抑止をいう。第三十条第一項第二号において同じ。)をする手段(著作権等を有する者の意思に基づくことなく用いられているものを除く。)であつて、著作物、実演、レコード、放送又は有線放送(次号において「著作物等」という。)の利用(著作者又は実演家の同意を得ないで行つたとしたならば著作者人格権又は実演家人格権の侵害となるべき行為を含む。)に際しこれに用いられる機器が特定の反応をする信号を著作物、実演、レコード又は放送若しくは有線放送に係る音若しくは影像とともに記録媒体に記録し、又は送信する方式によるものをいう。

*4 メール媒介ウイルスを駆除するアンチウイルスシステムは、インターネットメールの機能を改善サポートするものである。

*5 Cacheフォルダ内も駆除対象とすることの意義は、アンチウイルスを使用していない他のWinny利用者を保護することにあるから。ただし、メール媒介ウイルスの場合のように、メール送信時にウイルスフィルタリングが行われている理由が、他人に迷惑がかからないようにすることであるのと対比すれば、Cacheフォルダ内のウイルスを駆除することもアンチウイルスの本来の目的に合致しているという見かたもできる。しかし、WinnyのCacheフォルダ内のファイルは、利用者にとって「公衆送信している」という自覚を持たないようにWinnyが作られているため、その部分に対してウイルス駆除が必要だという考え方が出てこないのかもしれない。

本日のTrackBacks(全4件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20060516]

高木浩光さんが一つの疑問を提出しておられる。いや、ワタシはそこまで考えもしなかったですよ。 ここでひとつ疑問がある。なぜ、アンチウイルスベンダーは、WinnyのCacheフォルダ内のウイルスファイルを駆除しないのだろうか?*2 これを駆除すれば、上の2.の要因は消滅..

Winnyだけに対応すると今度はShareなどほかのP2Pソフトにも対応せざるを得なくなる。ということもあると思う。 現実にWinny禁止が声高に叫ばれているが今度はShareでの情報流出という事件も聞かれる。Shareを禁止するとやはりほかのP2Pソフトへ流れる人が出てくるだろう。

高木浩光@自宅の日記 - アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由

検索

<前の日記(2006年05月13日) 次の日記(2006年05月20日)> 最新 編集

最近のタイトル

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|
<前の日記(2006年05月13日) 次の日記(2006年05月20日)> 最新 編集