高木浩光＠自宅の日記

■ Winny稼動ノード数が先々週末から減少

7月のWinnyノード数調査の失敗の後、プログラムを直し、集計方法を変更して、8月下旬からノード数調査を続けていた。図1がノード数の推移のグラフである。（図中の「×」印で示した極端に値が低下している箇所は、調査用PCがダウンしていたために取りこぼしが起きた期間を表す。）

図1: 過去24時間で発見されたWinnyノード数 その推移

波長の長い波の周期は一週間で、土曜日から日曜日にかけてピークが出ている。短い周期は一日で、深夜が最大、昼間が最小となっている。祝日に土日並みのピークが見られるところもある。

全体的に僅かながらの減少傾向にあったが、12月2日あたりから1万数千ノードが急に減少した様子が見てとれる。

集計方法は次の通りである。

まず、7月の調査の際には、20万ノード前後という数字を出していたが、この値は、図2のように、見つかったノードを全部巡回し終えた段階で終了する（図中の緑の曲線が赤の曲線に交わった時点で終了する）というプログラムであったために、未発見のノードが集計されていない可能性があった。

図2: 7月のプログラムでの集計の様子

そこで、巡回し終えたら既知のノードを再度巡回してさらなるノード発見を続けるというプログラムに改良した。図3のグラフはそのときの様子を示している。

図3: 改良版プログラムでの集計の様子

当初、このグラフの赤い曲線はサチっていくはずだ（Winnyネットワーク全体に到達し終えるはずだ）と考えていたが、図3の結果から、直線的に増えていく様子が観察された。

これはようするに、後になってそうだと確信できたのだが、時間の経過とともに稼動を新たに開始するWinnyノードが無視できないほどに多く存在するということであろう。図1のグラフのように、一日で4万台前後のWinnyが増えたり減ったりしているのであり、起動するWinnyもあれば終了するWinnyもあるから、一秒間に数台程度の頻度で世界のどこかでWinnyが起動したり終了しているのだと推測できる。ノードの発見には時間を要するのであるから、元々「ある瞬間での同時稼動ノード数」を観測することは不可能である。

つまり、一口に「Winnyノード数」と言っても、「一定の期間中に稼動していたノード数」で表すことになる。もし、1か月間に渡って見つかったノード数の総計を求めたとしても、同じ人のコンピュータのIPアドレスが変わったものが重複して計数されてしまうだろうから、集計期間が長すぎると実際より多めの値になってしまう。

そこで、24時間を区切りとし、「過去24時間に一回以上発見されたノード数」を求めることにし、プログラムを変更し、既知のノードを巡回し終えた際に、24時間以上再発見されていないノードを既知ノード集合から削除するようにした。その実行の様子を図4に示す。

図4: 24時間以上再発見されないノードを削除するようにした様子

これを3日間動かしたときの様子が図5である。

図5: 3日間稼動させた様子

そして、この削除された直後の部分（赤のプロットが急減した直後の部分）の変化をグラフにしたのが冒頭の図1である。

この値は、ネットエージェント社が発表している値よりも少ない。同じ日について集計している8月28日の値を見てみると、ネットエージェントの発表では40万1351ノードとされているが、こちらの集計では、29日午前0時の値（28日の24時間での数）で約35万ノードとなっている。この差が生ずる原因についてまだ解明できていない。

7月の実験のときは、Winnyノードの「クラスタ化」動作によって一部のWinnyノードクラスタに到達できないのではないかということを心配したが、それは杞憂だったと思う。7月の実験でグラフがポコポコした曲線を描いたのは、他のクラスタに到達したためではなく、synchronized じゃないコレクションクラスを synchronized にせずに使ったバグのせいだった。

一日のユーザ数はこのくらいとして、次に調べたいのは、一週間だとどのくらいか、一か月だとどのくらいかである。しかし、IPアドレスが変化することから、それを正確に測定するのは難しい。

そこで、それぞれのノードがどのようなタイミングで起動したり終了しているのかをまず把握することにした。図6は、9月1日の午前0時ごろに発見された1000個のノードについて、その後の約9日間で生きていたかどうかを図にしたものである。

図6: 1000個のノードの生死の様子

縦軸の1ピクセルが1個のノードを表し、1000ピクセル分描画している。横軸は時刻で、1ピクセルが約30分を表す。Winnyのキー情報が流れてきた時刻を（そのキーに書かれているノードについて）赤い点でプロットしている。

横に切れ目のない直線で描かれているのは、ずっと稼動させっぱなしのノードであることを意味している。よく見ると、夜間だけ線になって現れているノードがいくつか存在することがわかる。時間にかかわらず点があるものの線になっていないノードがあるが、これは、公衆送信可能化しているファイル数が少ないためにキーが流れてくる確率が低いノードなのかもしれない。（縦の白い線は、調査用PCがダウンしていた期間を表している。）

IPアドレスの変化による傾向はこの図では読み取れなかった。さらに長期間で調べるか、別の方法を検討する必要がありそうだ。

■ Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根

Winny作者が著作権法違反幇助の罪に問われている裁判の地裁判決がいよいよ明日出るわけだが、有罪になるにせよ無罪になるにせよ、そのこととは別に、独立事象として、Winnyネットワーク（および同様のもの）がこのまま社会に存在し続けることの有害性についての理解、今後のあり方の議論を進めるべきである。

著作権侵害の観点からすればさして致命的な問題ではないと考える人が大半だろう。しかし、情報セキュリティの観点からすると、流出の事故を防止しなければならないのと同時に、起きてしまった事故の被害を致命的でないレベルに止めることが求められる。

これまでに書いてきた通り、Winnyは、従来のファイル交換ソフトと異なり、利用者達が意図しなくても、多くの人が流通し続ける事態は非倫理的だと思うような流出データであっても、たらい回しにいつまでも流通させ続けるように設計されている。

著作権者が削除したいと考えても削除不能なように設計された（そのように作者が意図したかは知らないが）このシステムは、著作権侵害なんか大した問題じゃないと考える人たち数十万人によって利用され、結果として同時に、多くの人が非倫理的だと思うはずのデータまでも削除不能にしてしまっている。

弁護側の最終弁論を京都地裁で傍聴したが、弁護として首尾一貫した主張がなされているように感じた。つまり、Winnyは開発途中のソフトウェアであって、たまたま問題の起きるバージョンで開発が止まっているだけなのだというわけだ。これを主張するため被告人は法廷で、情報流出問題に触れ、流出問題を解決する改良バージョンを作ってきたとして、フラッシュメモリを手にとって裁判長に見せるアピールをしていた。

弁護方針としてその主張は筋が通っているだろう。だが、実際に改良バージョンによって情報流出を止めることなどできるはずがない。金子氏は2006月5月の報道で次のように発言したと伝えられている。

ウイルスによるウィニーを通じた情報流出は「ウィニーのネットワークにファイルを流すフォルダを指定する部分がウイルスにより改ざんされてしまうため。本来アップロードするフォルダ以外の情報まで流れるようにされてしまう。ウィニーは実験目的で作ったソフトであり、そこまで想定していなかった」と語った。（略）

金子氏によると、ウイルスに感染した場合、ウィニーソフトにはもともと存在しない『Upfolder.txt』いうアップロードフォルダを指定する記述が追加される。そのため、「ソフトのバージョンアップが可能であれば、ウィニー本体のフォルダ指定部分を暗号化するか、設定変更を検知できるようにすればよい」という。

ウィニー開発者が都内で講演「ウイルスの手口、想定していなかった」, NIKKEI NET, 2006年5月2日

たしかにこの対策で既存のウイルスの動作は止まるだろうが、当然ながら、別の方法で同じ結果をもたらす新しいウイルスをウイルス作成者連中は出してくるだろう。イタチごっこは目に見えている。

むろん、イタチごっこにすぎないのであっても、軽減する効果はあるのであるし、軽減しようとする意思の表明であるのだから、裁判上の弁護の理屈としては正しい。

だが、問題なのは、こうした主張の裁判が続けられたことによって、Winnyの改良で情報漏洩を防止できるなどと本気で信じる人が現れてきたことだ。

• Ｗinny対策-官僚はこうやって税金を無駄に消費する, 大西 宏のマーケティング・エッセンス, 2006年9月1日

  こういった事態が起こってきたそもそもの根本原因は、当時東大助手であったＷinny開発者である金子勇さんを逮捕し、開発をストップさせてしまったことにあるのではないでしょうか。いくらウィルス対策ソフトで対応しても、新種のウィルスは次々に生まれてくるでしょうから、Ｗinnyそのものにウィルス感染を防ぐ対策を講じることが根本的な対策だと思いますが、それをできなくしてしまったのです。 金子勇さんは、「Winnyのプログラムを少し書き換えるだけでウイルスの拡散防止が出来るが、裁判で著作権幇助に関する罪状で係争中であり、Winnyの更新が出来ない現状である」と述べていらっしゃいますが、その通りだと思います。金子さんのソフト開発を認めれば根本的な対策はすすんでいくはずです。

• 2006年は当たり年！IT業界トピックス私的ベスト10, 武部 健一, 日経 IT Pro, 2006年11月17日

  世界へ発信できると言えば，「Winny」こそ日本発ファイル交換ソフトとして，世界のデファクトになり得る可能性を持っていたのではないでしょうか。作者の金子勇氏が逮捕されなければ，Winnyは今頃相当進化し，9位に入れた情報漏えい事故の多発なども起きなかったと思います。

この方々は馬鹿ではないはずだ。アルファブロガーと呼ばれるような人、一流マスメディアの記者である。そういう方々でさえ、できもしないことをできると言わされてしまっているのである。

Winnyの更新によって「根本的な対策」をするとすれば、それは削除機能を付けること以外にない。つまり、ウイルスによる事故を止める改良ではなく、事故が起きたときの流通を止める改良、すなわち、利用者達の意図に反してたらい回しし続ける構造をどうにかすることが必要である。このことを、大西宏氏や武部健一氏は理解しているのか？

もしそのような対策を施したバージョンのWinnyを作ったとして、それは利用者達にアップデートされるだろうか。WinnyがWinnyとして使われ続ける最大の特性を無くした骨抜きWinnyが配布されたら、２ちゃんねる掲示板では、「これは罠。アップデートしちゃだめだ」という呼びかけが行われるだろう。

実際、今年の5月の連休中に、それに類する新しいWinny風のP2P型ファイル流通ソフト「squirt」が、匿名の者によって公開されたことがあった。「squirt」の特徴は次の機能を備えていたことだ。

「squirt」は、誰でもどのファイルでも削除を要求することのできる機能を備えた。ただ、それだけでは不当にあらゆるファイルを削除させる妨害ができてしまうので、削除要求をそれぞれの利用者が拒否できる機能が設けられた。具体的には、Winnyが「cache」と呼んでいるものに相当するフォルダについてファイルを一覧する機能があり、削除要求が来ても無視するファイルにチェックを入れる（チェックボックスで設定する）機能が用意された。

この仕組みにより、皆が不当だと思うような削除要求（たとえば告発系のファイルの削除要求など）は無視され、皆が非倫理的だと思うようなファイルの流通は止められるという、バランスの取れたP2P型ファイル流通システムになっていた。

だが、２ちゃんねる掲示板では、これは罠だから使っちゃだめだという主張が繰り返され、プログラムの品質に問題があるといった指摘をからめて、作者のやる気を削いで開発を中止に追い込むという事態になっていた。

なぜ彼らが危機感を持ったか。それは、「squirt」で削除要求を無視するチェックボックスにチェックを入れる行為は、「私はそのファイルを公衆送信可能化する意思があります」という利用者の意思表示になるからだ。

Winnyは、そのような意思を隠せる、あるいはそのような意思をあえて持たないでいられるように工夫されたシステムであったからこそ、今の日本の法制度上、普及したのであり、この性質をなくせば使われないのであるし、この性質をなくさない限り、情報流出事故の被害拡散の防止が実現できない。

つまり、この性質を備えるソフトウェアの使用を法律で禁止する立法を検討するべきだと私は考える。（「squirt」はこの性質を満たさないので対象外となる。）

この性質を備えるWinnyなどのソフトウェアは、コンピュータウイルス（ワーム）と同じ性質を持っていることに注意したい。ウイルス（ワーム）は、害を及ぼす、人の意思に反する動作をさせるなどの特徴の他に、（システム管理者の管理範囲を越えた）自動複製拡散機能を持つことが特徴である。Winnyは、ワームが止められない（止めにくい）のと同様の原理によって、任意のファイルの自動複製拡散機能を実現していると言える。

Antinnyなどの暴露ウイルスは自動複製拡散機能まで備えていない。Winnyの自動複製拡散機能（管理者の管理範囲を越えた）を利用しているからだ。言わば、Winnyはウイルス（ワーム）プラットフォームであり、（前記の性質を持つ）そのようなソフトウェアの使用は社会的に危険なものと見なすべきである。

こうした議論が、作者の起訴以降、まともにできなくなってしまった。ソフトウェア開発を罪に問うのは不適切だと考える大多数の人たちによって、「Winnyは悪くない」とするありとあらゆる論法が開発され、匿名掲示板でネタとして披露されるにとどまらず、名のある人々さえ真顔でそれを語るようになってしまった。

これが、作者を罪に問うことが社会に残した最大の禍根であろう。

このままでは、著作権の必要性からだけでなく、漏洩情報が流通し続ける社会的危険を回避すべきとの理由まで含めて、ダウンロード行為自体（現行法では自由）を違法なものとして法改正する動きになっていってしまいかねない。ダウンロードは自由であるべきであり、意図せずたらい回しになる仕組みを危険と見なすべきである。

補足

Winnyについてこれまでに考えを記した日記：

• Winnyの可視化と無断リンク禁止厨の共通関係に見る問題の本質, 2006年6月11日
• アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由, 2006年5月16日
• Winnyネットワーク崩壊への最終シナリオ, 2006年4月16日
• Winny利用教唆本のセキュリティ対策指南、その仰天内容, 2006年4月12日
• 次は「汝のcacheを開いて鏡に映して見よ」と国民に呼びかけてはどうか, 2006年3月19日
• WinnyのDownフォルダをインターネットゾーンにする, 2006年3月2日
• 技術用語「cache」が政治的な言葉として拡大利用される, 2004年9月12日
• 建前論議を避けられない難儀な職業に同情と敬意を表しつつ, 2004年8月21日
• ソフトウェア科学会大会でP2Pのチュートリアルとパネル討論, 2004年8月16日
• キャッシュと嘘とファイル放流, 2004年8月14日
• 良心に蓋をさせ、邪な心を解き放つ ―― ファイル放流システム, 2004年6月8日
• スーパーハカー漫画「アキバ署！」に見るファイル放流ソフトの削除不能の自明性, 2004年5月30日
• 日経産業新聞の記事に補足, 2004年5月28日
• 市民の安全を深刻に害し得る装置としてのWinny, 2004年5月16日

■ 「不　当　判 決」 村井証人証言は僕ら技術者を幸せにしたか

この日記エントリは以下の文書を読んだ上でのものである。

• 京都地裁平成16年(わ)第726号著作権法違反幇助事件 判決要旨の原文
• Winny裁判、罰金刑は重いか？軽いか？--自己矛盾を抱えた判決, 佐々木俊尚, CNET Japan, 2006年12月13日
• 「Winny自体は価値中立で有意義」の司法判断、その影響は!?, 佐々木俊尚, @IT, 2006年12月15日
• Winny事件判決の問題点　開発者が負う「責任」とは, 白田秀彰, ITmedia, 2006年12月17日
• Winny京都地裁判決要旨を読んで（前）, 弁護士 落合洋司（東京弁護士会）の「日々是好日」, 2006年12月17日
• 高性能車とウィニー, 元検弁護士のつぶやき, 2006年12月17日

まず、判決要旨（原文）には次の通り書かれている。

6. 被告人に対する著作権法違反幇助の成否

(1) 弁護人らは，被告人の行為は各正犯の客観的な助長行為となっていないとも主張するが，前記のとおり，被告人が開発，公開したWinny２が○○及び△△の各実行行為における手段を提供して有形的に容易ならしめたほか，Winnyの機能として匿名性があることで精神的にも容易にならしめたという客観的側面は明らかに認められる。

(2) もっとも，WinnyはP2P型ファイル共有ソフトであり，被告人自身が述べるところや村井供述等からも明らかなように，それ自体はセンターサーバーを必要としないP2P技術の一つとしてさまざまな分野に応用可能で有意義なものであって，被告人がいかなる目的の下に開発したかにかかわらず，技術それ自体は価値中立的であること，さらに，価値中立的な技術を提供すること一般が犯罪行為となりかねないような，無限低な幇助犯の成立範囲の拡大も妥当でないことは弁護人らの主張するとおりである。

(3) 結局，そのような技術を実際に外部へ提供する場合，外部への提供行為自体が幇助行為として違法性を有するかどうかは，その技術の社会における現実の利用状況やそれに対する認識，さらに提供する際の主観的態様如何によると解するべきである。

そこで，（以下略）

京都地裁平成16年(わ)第726号著作権法違反幇助事件 判決要旨

P2P方式一般が……ではなく、Winnyという個別の技術が有意義で価値中立的であると断定している。さしたる根拠もなく「村井供述から明らか」としている。

このことについて、いつも僕らインターネット技術者に理解を示してくださるジャーナリストの佐々木さんは、次のようにおっしゃる。

おそらく多くの技術者が気にしているのは、今回のWinny有罪判決が今後のソフトウェア開発に、どのような影響を与えるのかということだろう。（略）

まず第1に注目しておかなければならないのは、この有罪判決によってWinnyというソフトウェアそのものが否定されたことではないということだ。氷室真裁判長は、判決理由の中でこう述べている。「Winnyは、それ自体はセンターサーバを必要としない技術の一つとしてさまざまな分野に応用可能で有意義なものだ。技術自体は価値中立的であり、価値中立的な技術を提供することが犯罪行為となりかねないような、無限定な幇助犯の成立範囲の拡大も妥当でない」。

つまり裁判所は、Winnyの技術には価値があり、ソフトそのものは「中立」であってそれがイコール犯罪になるようなことはない、と明確に言い切っているのである。この裁判では、検察側は一貫してWinnyそのものが犯罪的だと主張してきた。例えば初公判の冒頭陳述で検察官はこう述べている。（略）

しかし裁判所は、ソフトそのものに犯罪助長性があるという検察官の考え方を却下した。（略）

純粋な技術開発のためにソフトを開発し、その結果、逮捕・起訴されてしまうような社会は間違っていると私は思う。しかし今回の京都地裁判決は、そのようなことを認めたのではない。この事実を認識しないまま、いたずらに「不当判決だ」と地裁を批判するのは無意味だし、生産的ではないのではないか。今回の Winny事件は、はっきりいってかなり特殊なケースなのである。

「Winny自体は価値中立で有意義」の司法判断、その影響は!?, 佐々木俊尚

ここで、一般に、次の2つの司法判断を想定してみる。

(a) 違法な利用目的以外に利用価値のない技術（違法目的以外の利用には他の十分な技術が存在する）について、開発者が犯罪幇助の罪で処罰される。

(b) 有意義で価値中立的な技術について、開発者が犯罪幇助の罪で処罰される。社会における現実の利用状況に対する開発者の認識によって。

どちらが技術者にとって不安が大きいか。

革命を起こす目的で確信犯を承知で(a)のソフトウェアを開発し提供する技術者にとっては、(b)の方が不安が小さいだろう。利用状況に対する認識と提供する際の主観的態様を露呈しないように潜んでいればよい。

しかし、有意義で価値中立的な技術を生み出しているつもりの世の大半の技術者にとっては、(a)の方が不安が小さい。なぜなら、違法な利用目的以外に利用価値のない技術など、はなっから開発しようなどとは考えもしないでいるからだ。（YouTubeを提供するのも、本来の目的があってこそだろう。）

善良な技術者は、(a)の司法判断が出ることなど気にもしていない。今回の一審判決で(b)の司法判断が下されたからこそ、今後のソフトウェア開発に萎縮効果をもたらしかねないと懸念しているはずだ。

ここで、次を見てみる。

• 高性能車とウィニー, 元検弁護士のつぶやき, 2006年12月17日

この元検弁護士さん（以下、矢部弁護士）は、朝日新聞の14日の社説を参照して、今回の事件を高性能自動車の開発者が幇助罪に問われないことに喩えてはならないと主張する。一般論として喩え話が議論上邪魔になることには同意するが、矢部弁護士は、この件についての比喩として失当だとする根拠について、単に「違う行為だから」ということしか言えていない。

矢部弁護士は、まず、「高性能車の提供が速度違反の幇助に当たらないことは常識と言っていい」とした上で、そのこととWinnyの件とは独立だという（当たり前な）ことを言っている。その後に、「それでは「逃げた」と言われそうですので」として、個別の検討を加えている。だが、その個別の検討は、「高性能車の販売は速度違反幇助にならないのか」について大半の文章を費やしており、Winnyについては最後で次のわずか3行しか検討していない。

じゃあウィニーも同じじゃないのか、という意見もあると思いますが、違うというのが私見です。

ウィニーは、客観的にみて個々の著作権侵害行為を容易にしていると認められます。 その最も大きな要素は、ron さんが説明してくださった匿名性だろうと思っています。

高性能車とウィニー, 元検弁護士のつぶやき

匿名性については、この判決でもその価値を否定していない。最終弁論を傍聴したが、弁護側は匿名性の機能はプライバシーのために必要な技術であると主張していたし、村井証人も次のように証言したとされている。

• Winny開発者の裁判に村井教授が証人として出廷、検察側の主張に異議, 2006年2月16日

  さらに匿名性について、情報システムにおいては匿名性の確保は追及すべき重要性の高い技術だと説明。プライバシーの保護や、電子投票のシステムなどを考える上で、どのように匿名性を担保するのかといった研究は広く行なわれているとした。

判決はこれを否定しておらず、村井証人の供述を全面的に採用して「さまざまな分野に応用可能で有意義なものであって，技術それ自体は価値中立的である」としている。

判決要旨の原文では、匿名性について、「実行行為における手段を提供して有形的に容易ならしめたほか，Winnyの機能として匿名性があることで精神的にも容易ならしめたという客観的側面は明らかに認められる」という記述があるが、直後の段落で「もっとも」と接続して「有意義なもので価値中立的である」としている。「手段を提供して有形的に容易ならしめた」と「匿名性があることで精神的にも容易ならしめた」は並置されており、「手段を提供して有形的に容易ならしめた」については、Webサーバの提供であっても同じであることからわかるように、ここに並べられた「客観的側面」のみから直ちに違法性の根拠とされているものではない*1ことがわかる。*2

つまり、矢部弁護士が言うところの、Winnyが高性能自動車と違う点、これを判決は有罪とする根拠としていないように読める。だからこそ、朝日新聞社説のような主張が出てくるのではないか。

私は、金子さんが有罪になるべきとも無罪になるべきとも、どちらとも考えはない。ただ、技術者の立場から、開発者への萎縮効果を避けるべきであるとするなら、次のどちらかの判決が出ることを望むのが正しいと考える。

(x) Winnyは違法な利用目的以外に利用価値のない技術である（違法目的以外の利用には十分な他の技術が存在する）とした上で、それを理由として有罪と判断される。

(y) 何らかの理由によって無罪と判断される。

今回の裁判で、検察側は「違法な利用目的以外に利用価値のない技術である」ことを証明できなかったのだろう。一つ一つの仕組みが何のために存在していて、不可欠なものかどうかを追求していけばその結論は出るが、なにぶん、技術的な理解が必要となる。

違法目的以外の利用には十分な他の技術が存在するかどうかについては、先日書いた「squirt」の事例、その他にも、Poenyの事例やBitTorrentの事例などを検討したうえで、それらでは代替にならないことを示す必要があろう。

ただし、その場合であっても、Winnyを開発し提供する時点ではまだそれらの代替技術が存在しなかったことも加味されるべきかもしれない。つまり、違法な利用目的以外に利用価値のある「高性能な」ソフトウェアとして開発したところ、たまたま、違法目的以外の利用なら十分な他の技術方式に気づかなかっただけ（無罪主張の場合）なのか、それを技術者として予見しつつ、あえて他の技術方式を採用しないようにした（有罪主張の場合）のか、そこを争点にすることもあり得たのではないか。

今回、技術的に中途半端な理解を前提とした判決が出てしまったことは、技術者にとって不幸なことである。その責任は、私たち技術者自身が、「違法な利用目的以外に利用価値のない技術である」ことをあまり言わないようにしてきたことにあるのかもしれない。

私もこれまで、漏洩情報の流通防止という裁判とは無関係の論点で、間接的な形で、Winnyがどのような技術方式であるかを説明してきたが、理解が普及せず残念だ。

■ 新聞の意味不明な識者コメントはデスクの解釈で捏造される

13日のWinny判決の日は、午後からIPAで講演のため留守にしていたこともあり、当日のマスコミからの取材申し込みはお断りさせていただき、事前に申し込みのあったものについてだけコメントさせていただいた。そもそも私は業務上この判決の是非についてコメントする立場になく、情報セキュリティの観点から今後のWinnyをどう考えるかについてのみ、コメントするようにしている。判決が出てから慌ててコンタクトしてくるようなメディアには、短時間で私の主張の趣旨が理解されない恐れがあり、危なくて応じられない。

しかし、注意深く応じたにもかかわらず、読売新聞13日夕刊には、言っていないコメントを掲載されてしまった。

高木浩光・産業技術総合研究所情報セキュリティ研究センター主任研究員の話

「ウィニーは、本人の意思に関係なく、個人のファイルやデータが流出してしまい、利用者が責任を持って使えるソフトではない。今回の判決にかかわらず、ウィニーの使用を法的に規制していかないと、情報セキュリティの観点から極めて危険だ」

読売新聞2006年12月13日夕刊*1

これを読んだ読者は「ウィニーとウイルスを混同している」「それはウイルスの話だろ」と思うだろう。私はこんなことを言っていない。言ったのは12日の日記に書いた趣旨のことだ。

しかも、今回はきちんと記者さんが、コメントの文案を私に電話で告げて、間違いがないかの確認をとってくださったケースなのにだ。私は十分な時間をかけて記者さんに趣旨を説明し、文案の連絡を待った。「判決とは無関係だから使えないでしょ？ 使わなくてもよいですよ。」とも言っておいた。電話で連絡のあった文案は、まあまあ趣旨どおりだったので、オーケーを出した。たしかその内容は、「ウィニーは、流出した個人のファイルやデータを、利用者が意図しなくてもいつまでも流通させてしまう。責任を持って使えるソフトではない」というような内容だったはずだ。

ところが、しばらくして再び電話がかかってきて、「デスクにこのように変更されたので、再度確認して欲しい」と言われた。その内容は、「本人の意思に関係なく流出してしまい」というもので、これではウイルスの話になってしまう。絶対譲れないと拒否し、せめて語順を変えるよう伝えた。つまり、「流出した個人のファイルやデータが、利用者の意思に関係なく」としてくれと言った。

なのに、デスクにより改竄された文章がそのまま新聞に掲載されてしまった。

おそらくデスクには、「利用者の意思に関係なく流通する」ということの意味*2がわからなかったのだろう。私は記者には説明した。記者は理解しているだろう。デスクは業務上、理解できない文章は採用できないので、自分なりに理解可能な文章に書き換えて記者に返すのだろう。

そうやって新聞というものは、一般の人（＝デスクのレベル）が普通に思っていることしか掲載されない構造になっている。

昔なら、マスコミにコメントを求められるというのは恐怖感を覚えるほど覚悟のいることだった。何を書かれるかわかったもんじゃないという不信感がある。だが、今はまあどうでもいい。日記に本意を書いておけばいいのだから。

新聞は新しいことを伝える媒体ではないのだから。

■ Winny稼動ノード数が1割減少

11日の日記の続き。取りこぼしが起きた期間のデータを捨ててグラフ化するようにした。計測再開から24時間後まで取りこぼしの影響が出るので、再開から24時間分を捨てるようにした*1。グラフで横の直線になっている部分が無効な期間。*2

図1: Winny稼動ノード数の推移

運の悪いことに先週の判決前後で何度か続けて落ちた*3ため、肝心なときの測定ができなかった。まことに残念。

今週の安定した数値からして、この1か月で1割ちょっと減少していることが読み取れる。

■ 素人メディアに脆弱性報告文化を破壊されるおそれ

みなさんは、「ニセ脆弱性」という言葉を耳にしたことがあるでしょうか。

これは、見かけは脆弱性のようだけれども、実は、脆弱性とはとても言えないもののことで、「疑似エクスプロイト」や「似非ゼロデイ」などとも呼ばれます。

「そんなものがどこにあるんだ」とお思いの方も、例として、「サニタイジング」や、「hiddenは危険」や、「非接触スキミング」などの名前を挙げれば、「ああ、そういうもののことか」と納得されるかもしれません。それとも、かえって、「え？」と驚かれるでしょうか。

例えば、皆さんもよくご存知のように、「サニタイジングは脆弱性対策にいい」と盛んに言われ、ひところは大手コーディネーション機関もこぞって解説を出すほどのブームになりました。サニタイジングがよく語られたのは、もちろん、サニタイジングの対策効果に裏づけがあると信じた人が多かったからでしょう。CERT/CCやIPAなどでも頻繁に取り上げられましたから、それを疑えという方が無理な話かもしれません。

今は、共通鍵暗号を使った製品に、人気が出てきているようです。しかし、実のところ、共通鍵暗号を忌避したところで、せいぜいお守り程度の効果しか期待できません。

今、このような、脆弱性のようで脆弱性ではない、「ニセ脆弱性」が蔓延しています。

たとえば、オレオレ証明書がブームになったのは、「共通鍵暗号は危険で、公開鍵暗号は安全」という説明を、多くの人が知識として受け入れたからです。

しかし、仮に科学者に、「共通鍵暗号は危険なのですか」とたずねてみても、そのような単純な二分法では答えてくれないはずです。

「共通鍵暗号といっても使い方がいろいろあるので中には安全なものも危険なものもあるでしょうし危険といっても運用で回避できるものもあるでしょうし、ぶつぶつぶつぶつ……」と、まあ、歯切れの悪い答えしか返ってこないでしょう。

それが科学的な誠実さだからしょうがないのです。ところが「ニセ脆弱性」は断言してくれます。「公開鍵は良いといったら良いし、共通鍵は悪いといったら悪い」のです。また、hiddenを使うとなぜ良くないのかといえば、「価格が壊れるから」です。

そうではなく、脆弱性報告は、合理的な立証のプロセス、それを大事にするべきなのです。

なんちゃって。

追記（修正）

タイトルを修正した。「マスゴミ」は下品な言葉で使うべきでなかったと思うことと、マスコミ一般がそうであるかのような誤解を与えかねなかったため。（当初のタイトルは「マスゴミの似非科学に脆弱性報告文化を破壊されるおそれ」。）

■ 非接触型電子マネーは消費者にとって安全なのか

最近、電子マネーの安全性にについて取り沙汰されているようだ。電子マネーの安全性というと、サービス事業者（発行者）ないし加盟店に損金が出るリスクと、消費者（利用者）に損金が出るリスクを分けて考えるべきだろう。

発行者の損金については、正直、外野がとやかく騒ぐことでもないという面がある。発行者は当然ながらそうしたリスクを詳細に検討した上で事業を展開しているはずであり、一定程度までの被害は必要コストとして計算されているはずだ*1。それに対し、消費者に損金が出るリスクが存在する場合にはそうはいかない。その事実が消費者に知らされるべきであり、回避策があるなら周知されるべきであろう。

さて、何か月か前にラジオライフ誌から取材したいとの申し入れが自宅日記のメールアドレスにあった。Suicaなどでスキミング被害が出ないのはなぜなのか技術的に解説して欲しいとおっしゃる。どうやら、2005年2月6日の日記「ICカードの非接触スキミングですって？ ええかげんなことぬかすな」をご覧頂いてのことのようだった。しかし、FeliCaのセキュリティが実際にどうなっているのか、私は情報を持っていないので、責任を持ってお答えできそうにないと返事していた。

これを思い出し、記事はどうなったのだろうかと出版社のWebサイトを訪れてみると、ラジオライフ2007年1月号に、「スキミング防止グッズの「嘘」」という記事が載っているというので、早速買ってきて読んだ。すると、次のように書かれていた。

ではどうして“非接触スキミング”という言葉は、一人歩きしているのでしょうか。原因は、ある専門家の言葉を大げさに取り上げた某テレビ局にあります。（略）

恐らくその専門家は、非接触ICカードが普及して行っても、ユーザーは、「安心しきってはイケナイよ」と言いたかったのでしょう。

しかしテレビ局の報じ方は違いました。「スキミング犯罪、驚愕の最新手口」といったかたちで取り上げたのです。（略）

中にはフェリカ（Suica、Edyなど）の専用ビューアーを使った検証実験で、“非接触スキミングができた”と報じているところもありました。ちなみにフェリカビューアで見られる情報は、利用履歴や料金残高位しか見られません。つまり（略）

誤解を恐れずにあえて言うなら（略）対策グッズを売っている業者は、少々危機感を煽り過ぎです。現在考えられるリスクとしては、フェリカビューアなどによる個人情報の流出や、予期せぬ接触による誤課金なのですから、そこを強調する方が親切な気がします。（以下略）

RL犯罪対策委員会 スキミング騒動の“今”を検証する, ラジオライフ2007年1月号, p.103

これはまずい。

まず、「非接触スキミング」という言葉だが、元々は2003年11月27日の日記「キャッシュカードの非接触スキミング？」に書いていたように、TBSの「ニュースの森」が、偽造キャッシュカードの被害者を取材した放送で、カード（財布）から手を離した記憶がないという被害者が、「満員電車内などでポケットの財布から磁気パターンを読み出しているのではないか」という噂話（警察の人がそう言ったという被害者の談）を紹介したことが発端だった。

磁気ストライプの非接触スキミングは物理的に無理だろうが、当時の銀行の絶望的な対応*2の中で、防ぎようのない脅威に対する不安が広がり、検証実験が求められたのだろう。

そこに出てきたのが、「ICカードの非接触スキミングですって？ ええかげんなことぬかすな」で書いた番組だった。そこでは、非接触読み取りを実現するためにRFID式のICカードを使ったうえ、ダンプしただけのデータを見せて、「一瞬でカードのデータが現れた」などと放送していた。

ICカードは、磁気ストライプカードと違って、通常何らかのセキュアプロトコルに基づいて通信をするので、通信データを傍受するだけで偽造カードを作れるというわけではない。その点で、この番組は「ニセ脆弱性」報告だったわけだ。

しかし、だからといって、そうした方式が安全と言ったわけではない。私のその日記の書き方が悪かったのだろう。ラジオライフ誌には、FeliCaの「スキミング」は起きていそうにないという論調の記事が出てしまった。

同様に、今年4月にもこんなblogを書いている方を見かけた。

• ICカードの迷信キター, 栗原潔のテクノロジー時評Ver2, 2006年4月11日

  日刊ゲンダイのIT記事に突っ込むのも何なんですが、（略）

  典型的な迷信のひとつですね（略）。この迷信は以前どっかのテレビ番組でもやっていて、著者はそれをそのまま真に受けているのでしょう。ICカードとリーダーのやり取りはチャレンジ・レスポンス方式で暗号化されてますので、（略）仮にデータを読まれてもなりすましは不可能ということです。やり取りのたびに流れるデータは異なりますから。（略）

私は、2005年3月11日の日記「非接触ICカードがなりすまし不能とまでは言わないので注意」で補足していたつもりだったのだが、ぼかしすぎたせいか、あまり通じていなかったようだ。

考えてみてほしい。カード型の電子マネーにはパスワードがない*3。そしてEdyはインターネット経由で使えるようになっている。つまり、少なくともEdyについては、満員電車内などでカードに触れられることなく中のマネーを使われてしまうことが起こり得る。暗号が云々とかは関係ない。そのことは誰が考えても明白ではないか。

EdyがSuicaに比べて通信距離が短く設定されている（Suicaは財布に入れたまま使えるが、Edyは財布に入れたままだと使えない）のはこれに配慮したためかもしれないし、インターネットでEdyを使える店が盗賊には興味の薄い商品しか扱ってないのもこのためかもしれない。発行者はこのリスクを踏まえたうえで展開しているのではないか。

だが、消費者にはこのことが知らされていない。たとえ1000円であっても電子スリの被害に遭うことが稀にでも起き得るなら、許せないという人はいるだろう。

だから、Edyカードを電磁シールドすることには意義がある。それは周知されてしかるべきことだ。

また、今後の「ユビキタス社会」の進展において、こうしたリスクが増大するようなサービスを追加してしまうことのないよう、事業者達は注意していかなければならないだろう。

■ ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。

高度ユビキタス化社会の到来は、プライバシーを守ろうとする人々のリテラシーをこうもややこしくする。一昨年書こうと思って準備したもののその後放置していた話を以下に書く。

2004年7月11日の日記に書いていたように、コンビニエンスストアのam/pmには、club apという会員サービスがある。am/pmで販売されているEdyカードには図1のように、club ap用の「仮パスワード」を記した紙が同封されている。

図1: am/pmで販売されているEdyカードに同封の仮パスワード

図2: club apのユーザ登録画面

このサービスで特徴的なのは、「Edyご利用実績」という、am/pmでの買い物履歴を閲覧できるというものである。

一度メンバー登録すると、以後IDを使って、 Edyの決済やチャージの記録とお買い上げ品の明細がウェブ上で閲覧できます。小づかい帳、経費管理に、家計簿にと、便利な機能です。

club ap ご利用実績, am/pm

経費管理や家計簿に役立つというが（そうかあ？）、この仕組みの真の目的はam/pm側のメリットにある。これについては以下の記事などが参考になるだろう。

• am/pmで同じお茶を買い続ける率は？──Edyを使ったCRMの秘訣, ITmediaニュース, 2005年7月13日

  しかし商品を軸にデータをとるPOSの場合、顧客が何を買ったかは分かっても、誰に買ったかが分からないという問題点があった。

  新しいCMSの手段を導入するにあたり、大きな目標としたのは2つ。顧客と購買履歴をひも付けることと、顧客1人1人にマッチした商品提案や情報配信を行うことだった。

  （中略）

  POS単体では、いつ何がいくつ売れたかしか分からない。POSデータに、Edyによる購買履歴と顧客のIDを組み合わせることにより可能になるのが「ある製品を買った人が、次に類似商品の中で何を買ったか」の追跡だ。

• モード FeliCaのビジネス活用（その1）−−am/pmジャパン, 日経IT Pro, 2004年8月

  Edyそのものは匿名性のある電子マネーであるため，普通に顧客が精算した場合には誰が使ったのかという情報は収集できない。そこでam/pmジャパンはEdy導入と同時に，Edy利用者向けの会員制サービス「Club ap」を作った。Edyカード利用者に個人属性を登録してもらい，Edyカードに割り振られたID番号と対応付ける仕組みである。具体的には，パソコンでam/pmのClub ap登録サイトにアクセスし，EdyカードのID番号と個人属性を登録する。

  Club ap会員の購買行動を把握することで，購買行動の属性分析などを通じて商品開発に結びつけるのが狙いである。会員にはメール・アドレスも登録してもらい，キャンペーン情報などの告知にも活用している。*1

これだけの話ならば、従来のポイントカードでも同様だ。個人情報（住所氏名、電話番号、メールアドレス）を書かせるポイントカードを発行しているドラッグストアなどが、従来より存在していた。自分の個人情報と購買履歴と引き換えに店から何らかのメリットが得られればいいと思う人が、利用していたであろう。

ところが、実際に試してみると、思いもよらない結果となった。図3は、club apにメンバー登録した際に履歴を照会した様子である。

図3: club apでメンバー登録した直後の履歴の様子

メンバー登録した人だけ購買行動が記録されるのかと思っていたら、なんと、登録前から記録されていたのである。（しかも、「3ヶ月前から2日前まで」とあるのに、なぜか5か月前の行動までもが表示された。）

このような性質は、従来のポイントカードにはなかったものだ。

ポイントカードを作るという行為は、店に気を許すデレの態度であり、気を許せる店にプライバシーを預けて代わりのメリットを頂くという、Win-Winの関係の構築に同意するという契約だった。

ところが、am/pmは、契約する前から勝手に記録をしている。

これは、am/pmで販売されているEdyカードを使った場合に限られない。ANAマイレージカード、MySonyカード、ソニースタイルのEdy、サークルKのKARUWAZA CLUB、そしておサイフケータイと、どれを使った場合でも、am/pmはすべての購買行動をEdyナンバーでインデックス化して記録しているわけだ。

Edyはもはや社会の公器と言えるまで成長した。こんなことを同意なしにやってよいのだろうか。

「クレジットカードだって同じじゃないか」というのは的外れである。クレジットカード番号を加盟店が顧客管理に使うことは許されていないはずであるし、クレジットカード会社側に購買内容の明細が渡されることは通常ない。

am/pmの「明細」の内容は図4のように詳細なものになっている。

図4: am/pmに記録されているEdy番号ごとの購買明細

もっとも、これは個人情報保護法的には合法だろう。なぜなら、club apにメンバー登録する前の段階では、住所氏名等の「個人を特定する情報」を渡していないからだ。

そして、メンバー登録する際にはどうなのかというと、club apの説明にも、Edyの利用規約にも、過去の購買履歴までもが個人情報に結合されるという事実は説明されていない。（club ap ご利用規約、club ap プライバシーポリシー、club ap セキュリティ、club ap よくある質問）

個人情報保護法は、識別情報の扱いについてしか規定しておらず、それに結合される属性情報の扱いの説明責任について何も言っていないので、このような行為は合法となってしまっている。つまり、個人情報保護法が無能だということだ。

さて、こういうユビキタスとかいう社会を渡り歩くには、こういうことを事前に察知して、自衛策を講じて行くほかない。

まず、人からEdyカードを譲り受けることがあったら注意が必要だ。そのEdyは既にclub apに登録されているかもしれない。そうと知らずにam/pmで買い物をすると、あなたが何月何日何時何分にどこの店で何を買ったかは、元の持ち主に見守られてしまう*2。

これは、どの種類のEdyでもそうだ。am/pmのレジに任意のEdyを渡すと「仮パスワード」を印刷してもらえるようになっている（図5）。

図5: am/pmのレジで印刷される「仮パスワード」

逆に、am/pmで使ったことのあるEdyを人に譲渡すると、後の持ち主がclub apに登録した場合、あなたの過去の行動および購買の履歴を期せずして閲覧してしまうことになる。

さらに、Edyをam/pmで使っている、あるいは今後使うかもしれない場合は、一時的にでもカードが人の手に渡らないようにしないといけない。その人がam/pmのレジで仮パスワードを取得してしまえば*3、club apに登録され、返却後もあなたの行動を見守られてしまう。

2004年6月30日のあるはてな日記で、

ゴミとして捨てられてたのを発見。
チャージ額はゼロだと思うが、一応キープ。

と、Edyカードを拾ったと書いていた人がいた。この人はam/pmに行くと書いていたが、もしかすると、そのカードは元の持ち主に見守られているのかもしれない。