高木浩光＠自宅の日記

2006年05月16日

■ アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由

Winny経由の漏えいは止まるか？　データに見る暴露ウイルスの感染推移, 新井悠/ITmedia, 2006年5月16日

一般に、ウイルスは発生直後にピークを迎えた後、緩やかに終息していくといわれている。WORM_ANTINNY.ABも、途中までは同様に終息に向かっていく下降線を描いているように見える。しかし、4月の突発的な上昇をもたらした要因は何だろうか。

という記事が出ていた。たしかに普通のウイルス（ワームおよびトロイの木馬を含む）の場合、発生直後に大流行した後に急速に衰えていく性質がある。それはウイルス対策ソフト（パターンマッチング方式によるウイルス削除システム）の普及が効果を挙げている結果であろう。それに対しこの記事は、Winnyを媒介するウイルスの場合は、あまり衰えずに継続して感染者が出続けること、さらには、後になって大きなピークが現れる現象が見られることをデータで示している。後になってピークが出る原因について、著者の新井さんは、

幾つもの推論はできるが、筆者はその中から1つを挙げておきたい。それは、一連のニュースを見て新たにWinnyを使い始めた利用者がおり、彼らが暴露ウイルスに感染し始めているのではないか、ということだ。歴史は繰り返されるのか。

Winny経由の漏えいは止まるか？　データに見る暴露ウイルスの感染推移, 新井悠/ITmedia, 2006年5月16日

と考察している。

それもあるとして、全体的にあまり衰えない原因として、次があると思われる。

まず、Winny利用者をターゲットとしたトロイの木馬を原因とする情報漏洩事故が、従来の事故と比べて被害が甚大である原因は、次の3つに分けられる。

人々がトロイを踏みやすい: 出所不明なファイルでもそれを開きたいという強い欲求が利用者にあるため。（WANでのファイル共有利用時に一般的に問題となる性質）
トロイのファイルが流通し続ける: 削除する方法がなく、人々の意思と無関係に自動運転でファイルが拡散していくため。（Winny型のP2Pファイル共有/放流システム固有の性質）
事故で流出した被害ファイルが流通し続ける: 削除する方法がなく、人々の意思と無関係に自動運転でファイルが拡散していくため。（Winny型のP2Pファイル共有/放流システム固有の性質）

このうち、2.の性質が、普通のウイルスと違ってWinnyを媒介するウイルスが沈静化しにくい最大の要因であろう。

トロイの木馬による攻撃で被害者数が多くなるのは、トロイが自分自身を複製して他へ被害を広げる増殖機能（ワームないし狭義のウイルスが持つ性質）を持つ場合である。したがって、アンチウイルスソフトにより感染端末でそのトロイを駆除すれば、増殖も止まるため、被害規模は沈静化する。

それに対しWinny媒介型の場合、増殖機能はWinny本体が受け持っている*1ため、端末のトロイを駆除してもトロイの流通は止まらない。これが原因である。

ここでひとつ疑問がある。なぜ、アンチウイルスベンダーは、WinnyのCacheフォルダ内のウイルスファイルを駆除しないのだろうか？*2 これを駆除すれば、上の2.の要因は消滅し、普通のウイルスと同程度の沈静化を達成できるかもしれないのにだ。

一般にアンチウイルスソフトは、圧縮・アーカイブファイル内のウイルスファイルも検出して削除する。多重に圧縮・アーカイブされたファイルでも検知できるとされている。

（18日修正：セキュリティホールmemo 2006.05.18のご指摘に従い参考参照先を変更。）

アンチウィルス検出力調査
メールセキュリティASP よくあるご質問 Q2：圧縮ファイルのウイルスを検出できますか？, @nifty

※ いずれも20段階の圧縮までサポートしています。

※ 圧縮ファイルからウイルスが検知された場合は添付ファイルを削除します。

それと同様に、WinnyのCacheフォルダ内のファイルも（圧縮を解除するのと同様に）デコード*3して、さらに多重に処理された圧縮・アーカイブも展開して検査することは、技術的に可能であるはずだ。そして、検出されたウイルスを含むCacheファイルは、単純に削除してしまって差し支えないはずだ。

それが行われていない理由として、次などの可能性が考えられる。

Winnyの用途の大半が専ら違法行為目的のものと考えられているところ、Winny自身の機能部分にまで介入してウイルス駆除を行うことは、Winnyの機能を改善サポートすることを意味する*4ため、そのような違法行為蔓延の継続を促すようなことは反社会的であると考えられている可能性。
WinnyのCacheフォルダ内の特定ファイルをアンチウイルスで削除できるようになると、ウイルスだけでなく、事故で流出した悲惨なプライバシー侵害ファイルや、著作権侵害ファイルも削除してほしいという要望が出るようになると考えられ、何を削除するべきかの判断をアンチウイルスベンダーが迫られることになりかねない。そのような厄介な事態には巻き込まれたくないので、そのような機能を提供することに消極的になっている可能性。
対応する圧縮・アーカイブ方式の追加（WinnyのCacheファイルという新方式の）は、アンチウイルスソフトのエンジン中枢の改良が必要であり、アンチウイルスベンダーの本社での決断が必要となるところ、日本に本社のあるアンチウイルスベンダーはもはや存在せず、日本固有の被害状況に対処してそのような新機能を導入することが億劫になっている可能性。
アンチウイルスソフトの目的は、それを購入してくれた顧客を保護することであり、その目的のためには、Downフォルダに展開されたファイルを駆除対象とするだけで十分であり、Cacheフォルダ内のものまで駆除する理由がない*5と考えられている可能性。

*1 メール媒介ウイルスの場合におけるSMTPサーバが、複製はするけれども増殖機能を持つわけではないのと違って。

*2 今のところこれを駆除するアンチウイルスはないと理解していますが、あるようでしたら教えてください。

*3 その方法は既に公知である。WinnyがCacheフォルダ内のファイルをエンコードしている目的は、違法な公衆送信行為をしている事実を利用者が自覚しにくくする（認識しているのに認識していないと嘘をつけるようにする）ためであるが、仮にそれが、著作権法2条1項20号の「技術的保護手段」とみなされるとすると、それをアンチウイルスソフトがデコードすることが、「技術的保護手段の回避」（同法30条2項）にあたり120条の2 1項に抵触する……などと考えてみるのはおもしろいが、WinnyのCacheフォルダ内のファイルのエンコードが著作権法の技術的保護手段にあたるわけがない。

著作権法 2条1項20号

技術的保護手段　電子的方法、磁気的方法その他の人の知覚によつて認識することができない方法（次号において「電磁的方法」という。）により、第十七条第一項に規定する著作者人格権若しくは著作権又は第八十九条第一項に規定する実演家人格権若しくは同条第六項に規定する著作隣接権（以下この号において「著作権等」という。）を侵害する行為の防止又は抑止（著作権等を侵害する行為の結果に著しい障害を生じさせることによる当該行為の抑止をいう。第三十条第一項第二号において同じ。）をする手段（著作権等を有する者の意思に基づくことなく用いられているものを除く。）であつて、著作物、実演、レコード、放送又は有線放送（次号において「著作物等」という。）の利用（著作者又は実演家の同意を得ないで行つたとしたならば著作者人格権又は実演家人格権の侵害となるべき行為を含む。）に際しこれに用いられる機器が特定の反応をする信号を著作物、実演、レコード又は放送若しくは有線放送に係る音若しくは影像とともに記録媒体に記録し、又は送信する方式によるものをいう。

*4 メール媒介ウイルスを駆除するアンチウイルスシステムは、インターネットメールの機能を改善サポートするものである。

*5 Cacheフォルダ内も駆除対象とすることの意義は、アンチウイルスを使用していない他のWinny利用者を保護することにあるから。ただし、メール媒介ウイルスの場合のように、メール送信時にウイルスフィルタリングが行われている理由が、他人に迷惑がかからないようにすることであるのと対比すれば、Cacheフォルダ内のウイルスを駆除することもアンチウイルスの本来の目的に合致しているという見かたもできる。しかし、WinnyのCacheフォルダ内のファイルは、利用者にとって「公衆送信している」という自覚を持たないようにWinnyが作られているため、その部分に対してウイルス駆除が必要だという考え方が出てこないのかもしれない。

本日のTrackBacks(全4件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20060516]

▼ 18 til i die:[blog]WinnyのCacheフォルダを駆除しない理由 (2006年05月17日 11:39)

高木浩光さんが一つの疑問を提出しておられる。いや、ワタシはそこまで考えもしなかったですよ。ここでひとつ疑問がある。なぜ、アンチウイルスベンダーは、WinnyのCacheフォルダ内のウイルスファイルを駆除しないのだろうか？*2 これを駆除すれば、上の2.の要因は消滅..

▼ ともの日記:高木浩光＠自宅の日記 - アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由 (2006年05月17日 14:25)

Winnyだけに対応すると今度はShareなどほかのP2Pソフトにも対応せざるを得なくなる。ということもあると思う。現実にWinny禁止が声高に叫ばれているが今度はShareでの情報流出という事件も聞かれる。Shareを禁止するとやはりほかのP2Pソフトへ流れる人が出てくるだろう。

▼ http://www.business-planet.net/story/2423699/:高木浩光＠自宅の日記 - アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由 (2012年01月17日 10:29)

高木浩光＠自宅の日記 - アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由

本日のリンク元

ココログ [stressfulangel cocolog] ×60 : 49, 4, 4, 2, 1 (2023-01-23)
https://itnavi.net/leakage.html ×4 (2021-02-02)
はてなブックマークコメント ×38 : 33, 3, 1, 1 (2017-09-16)
スラッシュドットarticle [06/05/20/116233] ×685 : 288, 272, 87, 20, 3, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1 (2014-10-01)
はてなブックマークコメント [1945601/高木浩光＠自宅の日記 - アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由] ×5 (2009-01-13)
はてなブックマークコメント [1945601] ×6 (2007-09-05)
はてなダイアリー [k3c 20060517] ×8 : 6, 1, 1 (2007-07-06)
http://materia.jp/blog/20060517.html ×7 (2007-03-26)
http://odn.excite.co.jp/search.gw?stype=&search=トロイ　削除&pref=... ×4 (2006-08-23)
はてなダイアリー [chacha72] ×3 : 2, 1 (2006-08-12)
http://pooh.gr.jp/archive-1-2006-05.html ×266 (2006-07-03)
http://www.k2.dion.ne.jp/~mistle/windows/security/winny.html... ×33 (2006-06-15)
http://www.k2.dion.ne.jp/~mistle/windows/security/link.html ×4 (2006-06-12)
http://itnavi.net/leakage.html ×28 (2006-06-05)
http://www2.big.or.jp/~iki-iki/?date=200605 ×4 (2006-06-02)
はてなダイアリー [ROMman] ×9 : 8, 1 (2006-05-26)
ココログ [jp5 txt] ×8 (2006-05-26)
http://www.nishishi.com/blog/2006/05/zip_in_zip.html ×56 (2006-05-24)
http://takabsd.jp/d/?date=20070919 ×28 (2006-05-23)
secure.ddo.jp/~kaku tdiary ×681 : 625, 34, 21, 1 (2006-05-23)
はてなダイアリー [TTFOXZ 20060518] ×16 : 15, 1 (2006-05-23)
スラッシュドット ×113 : 32, 28, 28, 10, 9, 2, 2, 1, 1 (2006-05-22)
wslash.com ×23 : 17, 2, 1, 1, 1, 1 (2006-05-22)
はてなダイアリー [hanazukin 20060522] ×5 (2006-05-22)
http://www.baldanders.info/spiegel/log/200605.html ×4 (2006-05-20)
はてなダイアリー [momdo] ×6 (2006-05-20)
http://www.dcc-jpl.com/tmp/irclog/viewlog.cgi?log0519 ×5 (2006-05-20)
はてなダイアリー [chacha72 20060517] ×4 (2006-05-19)
セキュリティホールmemo ×1709 : 1560, 132, 16, 1 (2006-05-19)
http://minagi.akari-house.net/all.html ×5 (2006-05-19)
はてなダイアリー [tomo_k 20060517] ×4 (2006-05-19)
http://gateway.ringoch.info/822c3df4-fd25-07f3-3b21-d151ecf1... ×5 (2006-05-18)
はてなダイアリー [hejihogu 20060518] ×11 : 10, 1 (2006-05-18)
mixi diary [1043849] ×4 (2006-05-18)
はてなダイアリー [TTFOXZ] ×18 (2006-05-18)
はてなダイアリー [satomi_hanten 20060518] ×6 (2006-05-18)
http://www.baldanders.info/spiegel/ ×10 (2006-05-18)
http://materia.jp/diary/20060517.html ×8 (2006-05-17)
http://www2.big.or.jp/~iki-iki/?date=20060517 ×5 (2006-05-17)
http://www2.big.or.jp/~iki-iki/ ×21 (2006-05-17)

検索

キーワード不明 ×442 / winny cache ×124 / アンチウイルスベンダー ×111 / Winny Cache ×29 / cache ×27 / アンチウィルス ×24 / winny cache 削除 ×24 / アンチウイルスベンダ ×17 / cache ウイルス ×16 / winny ウイルス ×16 / Cache ×15 / アンチウイルス ×14 / winny Cache ×14 / アンチウィルスベンダー ×13 / Winny cache 削除 ×13 / cache winny ×13 / winny アンチウィルス ×12 / winny アンチウイルス ×12 / Cacheフォルダ ×10 / winny ウィルス ×10 / アンチウイルスソフト ×8 / トロイ駆除 ×8 / ウイルス駆除 ×8 / Cache Winny ×8 / Cache winny ×8 / ウィルス検出力調査 ×8 / ウイルスベンダー ×8 / winny Cache 削除 ×7 / winny cacheフォルダ ×7 / トロイの木馬駆除 ×7 / Winny cache ×7 / アンチウイルス winny ×7 / share cache ×6 / Winny アンチウイルス ×6 / cache 削除 ×6 / アンチウィルス検出力調査 ×6 / cache ウィルス ×6 / アンチウィルス圧縮ファイル ×6 / winny トロイ ×6 / Winny ウィルス ×6 / winny cache デコード ×6 / Cache フォルダ ×6 / 新井悠 ×6 / winny フォルダ ×6 / down フォルダー見える winny 2010 ×6 / トロイ駆除 ×6 / winny 駆除 ×6 / share cache 削除 ×6 / Share Cache ×6 / winny cache ウィルス ×5 / アンチウィルストロイ ×5 / 圧縮ファイルウイルス駆除 ×5 / トロイウイルス駆除 ×5 / winny cache 削除ウイルス ×5 / winny downフォルダ ×5 / Share cache ×5 / 暴露ウイルスに感染 ×4 / share トロイ ×4 / 圧縮ファイルウィルス駆除 ×4 / Downフォルダ ×4 / winny ウイルス駆除 ×4 / Cache ウィルス ×4 / アンチウイルス圧縮ファイル ×4 / winny ×4 / ウイルス cache ×4 / cache フォルダ ×4 / share cache削除 ×4 / winny ウイルス駆除 ×4 / アンチウィルス winny ×4 / アンチウイルスベンダー ×4 / ny cache ×4 / winny ウイルストロイ ×4 / Winny ウイルストロイ ×4 / アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由 ×4 / Cache ウイルス ×4 / ウィルスフォルダ ×4 / winny ウィルス駆除 ×4 / アンチウイルス・ベンダー ×4 / winny -hiromitsu.jp ×4 / 圧縮ファイルウイルス削除 ×4 / Cache 削除 ×4 / cacheフォルダ ×3 / WINNY アーカイブファイル ×3 / ウィルス cache ×3 / winny 性質 ×3 / Winny2 Cache 削除 ×3 / winny デコード ×3 / Winny annti virus ×3 / share cacheの削除 ×3 / winny cache ソフト ×3 / winny downフォルダ実行 ×3 / winny ウィルス削除 ×3 / winny 理由 ×3 / ウイルスセキュリティー検出力 ×3 / winny 利用者特定 ×3 / cache フォルダー ×3 / アンチウィルスソフト ×3 / ウイルスフォルダ ×3 / winny ウイルス感染駆除 ×3 / winny ウイルスアンチウイルス ×3 / winny cache 自動削除 ×3 / アンチウィルスベンダ ×3 / Winny ウイルス ×3 / winny cache フォルダ ×3 / winny cache info ×3 / アンチウィルスファイル共有 ×3 / cacheファイル ×3 / Winny ×3 / フォルダウイルス ×3 / winny なぜ ×3 / トロイウィルス駆除 ×3 / アンチウィルス検出力 ×3 / CACHEファイル ×3 / 暴露ウイルス駆除 ×3 / winny ウイルス削除方法 ×3 / ウィルス削除 ×3 / ウイルスベンダー ×3 / P2P Share ウィルス ×3 / winny cacheファイル ×3 / http cache ×3 / アンチウイルス（winny)検知状況 ×3 / ベンダー ×3 / 暴露ウイルス ×3 / 高木アンチ ×3 / ウィルス駆除 ×3 / ウィルスフォルダ CACHE ×2 / share ウイルス駆除 ×2 / アンチウィルス削除 ×2 / 高木 Winny ウイルス ×2 / winny 新井 ×2 / 共有フォルダー暴露ウィルス ×2 / アンチ winny ×2 / winny ウイルスフォルダ ×2 / winny ウイルス特定ファイル ×2 / アンチウィルス駆除 ×2 / トロイアンチウイルス ×2 / winny フォルダー ×2 / winny ウイルス cache ×2 / winny cache 認識 ×2 / winny down アンチウイルスソフト ×2 / ｗｉｎｎｙｃａｃｈｅ ×2 / Winny 障害被害 ×2 / archive内のウィルス駆除 ×2 / winny cacheフォルダ削除 ×2 / 暴露ウイルス対策 ×2 / トロイ削除方法 ×2 / アンチウイルスソフト圧縮ファイル ×2 / 圧縮ウイルス駆除 ×2 / アンチウイルストロイ ×2 / winny トロイ駆除 ×2 / 圧縮ファイルウィルス削除 ×2 / アンチウイルス目的 ×2 / ウイルス圧縮 ×2 / ウイルス winny ×2 / CACHE ×2 / winny 表示 ×2 / winｎy アンチウィルス ×2 / Winny 被害者数 ×2 / Winny特定 ×2 / アンチウイルス検出力 ×2 / winny Cacheフォルダ ×2 / winny 2006 ×2 / トロイの木馬フォルダ ×2 / share 削除方法 ×2 / WinnyのCache ×2 / アンチウィニー ×2 / WINNY Cache ×2 / アンチトロイ ×2 / WinnyのCache? ×2 / winny cache ウイルス ×2 / Winny Cache 被害 ×2 / アンチウィルス検出力 ×2 / 削除 cache ×2 / winnyのcache ×2 / Winny 改善 ×2 / CAPTCHA 理由 ×2 / 圧縮ファイルのウイルス ×2 / 流出 ×2 / ベンダー P2Pウィルス ×2 / トロイ駆除 P2P ×2 / アンチウイルス高木 ×2 / p2p フォルダ共有 ×2 / share 感染確認方法 ×2 / 駆除トロイ ×2 / Winny ウィルス駆除 ×2 / winny ウィルス駆除 ×2 / Winny 共有フォルダ ×2 / Share 違法 ×2 / アンチP2P ×2 / アンチwinny ×2 / share smtp p2p ×2 / ウィルス削除圧縮ファイル ×2 / 高木浩光＠自宅の日記アンチウィルス ×2 / アンチウィルス高木 ×2 / 暴露ウィルス検出 ×2 / share 駆除 ×2 / アンチウイルス検出力 ×2 / 圧縮ファイルのウィルス検査 ×2 / 駆除 ×2 / P2P cache ×2 / アンチウイルスシステム ×2 / トロイ増殖 ×2 / winny cacheフォルダにウィルス ×2 / winny down ウイルス ×2 / 多重に圧縮されたファイルウィルス ×2 / winny 止まる ×2 / share ウィルス削除 ×2 / winny 利用者推移 ×2 / 圧縮ファイルウィルス削除 ×2 / winny cache 違法 ×2 / ウイルストロイ駆除 ×2 / http://takagi-hiromitsu.jp/diary/20060516.html ×2 / Winny ウイルス Cache ×2 / Winny ウイルス 2006年 ×2 / ウィルスなぜ ×2 / P2P ウイルス漏洩 SHARE ×2 / p2p アンチウイルス ×2 / 暴露ウイルス自動消滅 ×2 / Winny 削除方法 ×2 / cacke ウイルス ×2 / ウィルスベンダー ×2 / winny フォルダ削除 ×2 / 多重フォルダ解除 ×2 / winny cache 見る ×2 / Winnyの性質 ×2 / winny 保護フォルダー ×2 / Share 暴露ウイルス ×2 / html cache ×2 / HTMLファイルがトロイに感染 ×2 / winny トロイウィルス ×2 / "アンチウイルスベンダー" ×2 / ウイルストロイ削除 ×2 / 暴露ウィルス ×2 / Winnyが稼動しない ×2 / 暴露ウイルスを駆除するには ×2 / 高木浩光 winny ウィルスソフト ×2 / cache ファイル ×2 / html フォルダ ×2 / ウイルストロイの木馬駆除 ×2 / ｃａｃｈｅ ×2 / winny 削除法 ×2 / winny chache ×2 / ウイルスファイル ×2 / WINNY 駆除 ×2 / share ウィルス削除方法 ×2 / Winny Cache フォルダ ×2 / ファイル内のウイルス駆除 ×2 / share winny cache ×2 / トロイの木馬被害者数 ×2 / CACHE ファイル ×2 / フォルダ増殖 ×2 / share cache 可視化 ×2 / share cashe 削除 ×2 / winny Cache 可視化 ×2 / cacheフォルダー ×2 / P2Pに対応ウイルスソフト ×2 / 暴露ウイルス削除 ×2 / ウイルス駆除圧縮 ×2

2006年05月16日

■ アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由

最近のタイトル