最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 205   昨日: 3006

2009年01月04日

私のMacintosh環境

昨年はMacに戻ってきた年だった。TigerのときにもMacにスイッチしようと思ったが、いまひとつ使いにくいと感じたのと、軽いノート型がなかったので断念していた。それが、MacBook Airが発表されたのと、自宅にMac miniを買ってLeopardの使いやすさに触れ、アルミニウム型キーボードの打ちやすさにも感激したことで、ついにスイッチを決意したのだった。

Leopardはあまりカスタマイズがいらないと感じたが、いくつか必要なところがあった。以下、自分用のメモがてら、どんなカスタマイズをしたかまとめておく。USキーボードを使っていて、Emacsのキーバインドに慣れていることを前提としている。

キー入力のカスタマイズ

記号入力の慣れからUSキーボードを使わざるを得ないが、そうすると日本語入力でやや問題が生ずる。また、矢印キーを使いたくないので、ほとんどのテキスト入力欄でEmacs風のカーソル移動キー(Control+F, B, N, P, E, A)が使えるLeopardは素晴らしいのだが、一部思い通りにいかないところがある。そこで以下のようにカスタマイズした。

Caps lockキーをControlキーに入れ替え
これは基本。「システム環境設定」の「キーボードとマウス」で変更できるようになっている。
Control+Command+F, B, N, P, E, A を Shift+→, ←, ↓, ↑等に
テキストの選択(範囲指定)をする Shift+→, ← 等の操作は、矢印キーを使わずに、Control+Shift+F, B 等で代用できるようになっているが、まず押しにくいという問題がある。慣れようとしたが、言語環境が日本語の場合、Control+Shift+N を押すと「ことえり」の単語登録になってしまう。これを無効にする方法がない。Control+Shift+A も使えないようだ。そこで、「Butler」を導入して、Control+Command+F, B, N, P で Shift+→, ←, ↓, ↑ が入力され、Control+Command+E, A で Shift+Command+→, ← が入力されるようにした。
「ことえり」のスペースキー
「ことえり」の最大の難点は、ひらがな入力モードで(文字を入力していない状態で)スペースキーを押したときに、いわゆる全角スペースが入力されてしまうこと。普通のスペースが入力されるようにしたくても、通常の設定では変更できない。「これができなかったらATOK買うしかないか」と諦めかけたところ、defaultsコマンドで変更できることを知り、難を逃れた。なお、いわゆる全角スペースの入力は Option+SPACEで可能。

defaults write com.apple.inputmethod.Kotoeri zhsy -dict-add " " -bool no

入力モードの切り替えを左Commandキーと右Commandキーで
USキーボードで問題となるのが「ことえり」の入力モードの切り替え。Command+SPACE で切り替えられるが、トグル動作なのが難点。トグル動作では、今どっちの入力モードなのかを気にしなくてはいけないのが嫌。Control+Shift+J でひらがなモード、Control+Shift+; で英数モードに切り替えられるので、それに慣れようと思ったが押しにくい。Butlerでそれを Control+Command+J, ; に割り当てる方法も試したが、もっと良い方法があった。「KeyRemap4MacBook」を導入すれば、左Commandキーをタイプしたときに英数モード、右Commandキーをタイプしたときにひらがなモードに切り替えるように設定できる。これは快適。JISキーボードに慣れた人でもこの方が使いやすいのではないだろうか。ただし、右Commandキーで不都合が生じた。急いで入力したときに、たとえば「右Command」の後に「a」を押して「あ」を入力したつもりが、Command+A になってしまう。しかたがないので、右Commandは Commandキーとして機能しないよう「KeyRemap4MacBook」で設定した。

Control+K, Y, M, H, D をEmacs風に
「KeyRemap4MacBook」で設定できる。

トラックパッドのカスタマイズ

新型MacBookではスワイプ操作(3本指で左右)が搭載され、SafariやFinder等では Command+[, ] 相当の動作が割り当てられているが、Firefoxではこれが機能しない。そこで、「MultiClutch」を導入して設定した。

スワイプ左右
Firefoxで、スワイプ左右操作が Command+[, ] となるように設定した。
スワイプ上下
3本指で上下の操作で、Command+↑, ↓ が入力されるように設定した。これで、画面の最上部、最下部への移動が簡単で快適だ。Firefox以外のアプリケーションでも使えることが多い。
Zoom in, out
トラックパッドで2本指での Zoom in, out 操作を Command+=, - に割り当ててみたが、意図せず働いてしまうこともあるので、これはちょっと微妙だ。

メニューバーのカスタマイズ

メニューバーには以下のものを導入した。

iStat menus
メニューバーに、CPUの負荷や、ネットワークの流量、温度などを表示できる。
MenuMeters
iStat menusと同種のもので、デザインは iStat menus の方がよいのだが、「ディスクメータ」はMenuMetersの方がよいのと、「ページングインジケータ」はiStat menusにはない機能でこれは欠かせないので、けっきょく両方を導入している。
Caffeine
メニューバーにコーヒーカップのアイコンが現れ、クリックすると、コーヒーのある状態とない状態のトグル動作となる。コーヒーがある状態ではマシンがスリープしない。プレゼンするときや、Webで動画を鑑賞するときなどに使用する。
MacFusion
SSHやFTPでネットワークボリュームをマウントできる。

システムUIのカスタマイズ

Mac OS 9までの時代ではゴテゴテと大量の機能拡張を入れてカスタマイズしまくっていたが、Leopardでは、ほとんど元から用意されている機能で足りる感じだ。ただ、以下の2つは欠かせなかった。

LazyMouse
Mac OS 9までの時代には「SnapTo」という機能拡張があった。それに相当するものはないかと探したら、シェアウェアのこれしかないようだった。これなしでは辛いので購入。設定は「Default Button」とするより「Alternate Button」を選んだ方が便利だと思う。
Witch
標準機能で、Command+TAB でアプリケーションの切り替えとなるのだが、アプリケーション単位ではなくウィンドウ単位で切り替えたいことがある。「Witch」でそれが可能になる。Option+TAB でそれができるように設定した。
Deep Sleep
Dashboardウィジェットとして提供されており、クリックすると、Windowsで言うところのハイバネーションが行われる。長時間使わずに移動するときに電池が減らないようにできる。(しかし、あまり使う機会がない。)

メールのカスタマイズ

メールは、標準の Mail.app を使っている。spamもよく振り分けてくれるし、(format=flowedの問題を除いて)不自由なく使えている。(Windowsを使っていたころのBecky!より快適になった。)

GPGMail と GPG の導入
PGPを使うために導入。わりとよくできている。
Notification
新着メールを透明ウィンドウで概要表示してくれる。
DockStar
新着メールの数を表す赤いバッジを、メールボックス毎に分けて5種類まで増やせる。

Webブラウザのカスタマイズ

Firefoxを導入して、通常はFirefoxを使用することにし、JavaScriptやcookie、Refererを無効にして使う。一時的に普通の状態で見る必要が生じたときに Safariを使う。Firefoxには以下の拡張機能を導入した。

CookieSafe
必要なサイト以外でcookieを受け入れない。サイト毎に恒久的に受け入れる設定もできるし、一時的に受け入れることもできる。サイト毎にcookieを削除するのにも便利。
NoScript(2009年5月5日追記:使用を中止した)
必要なサイト以外でJavaScriptを実行しない。サイト毎に恒久的に実行を許す設定もできるし、一時的に実行を許すこともできる。多機能すぎてややうざい。いくつかの機能は無効にしている。
RefControl
Referer送信をするかしないかをサイト毎に設定できる。
Firemacs
Firefoxのテキスト入力欄でもEmacs風のキーが使えるようになる。自分用に少し設定を変えている。(元の設定がわからなくなってしまった。どこを変えたか思い出せない。)
Firesizer
ステータスバーのメニューから、ウィンドウをあらかじめ決めておいたサイズに調整できる。
Multiproxy Switch
ステータスバーのメニューで、プロキシサーバを切り替えられる。
Organize Status Bar
ステータスバーの項目の順番を変えたり、いらないものを消したりできる。
Menu Editor
コンテクストメニューの項目の順番を変えたり、いらないものを消したりできる。
Safari View
コンテクストメニューから、今見ているページをSafariで開いたり、リンク先をSafariで開くことができる。
Searchbar Autosizer
検索バーで、入力した検索語が検索後に消えるように設定できる。また、入力欄のサイズを変更できる。
Stop-or-Reload Button
ストップボタンとリロードボタンを一つにして、大事なアドレスバーの幅を長くできる。
TargetKiller
リンク先を新しいウィンドウやタブで開くかそのまま開くかを自分で決定できるようになる。
セッションマネージャ
開いているタブのリストを保存し復元できる。
Make Link
様々な方法で、リンクをクリップボードにコピーできる。
Live HTTP headers
HTTPのヘッダを表示できる。
User Agent Swither
User-Agentを変更できる。
Web Developer
いろいろできる。

また、「about:config」で以下の設定を変更している。

browser.identity.ssl_domain_display を 1 に
https:// ページではアドレスバー(ロケーションバー)の左部分が青くなるが、この部分で、サイトのドメイン名が表示されるようになる。たとえば、「http://auctions.yahoo.co.jp.example.com/login」といったフィッシングサイトでは、「example.com」と表示され、真正サイトの「http://auctions.yahoo.co.jp/....」では「yahoo.co.jp」と表示され、ドメイン名を見分けやすくなる。
signon.autofillForms と signon.prefillForms を false に
先月21日の日記「SSLを要するモバイル環境でのパスワードマネージャの使い方に注意」の問題を回避するために、IEと同様の挙動にする。(autofillForms と prefillForms の違いが不明。)

その他のアプリケーション

    Synchronize! X Plus
    別のコンピュータとファイルを同期する。有料だけど、とても快適。

あとは普通すぎるので略。

残る不満

Control+Command+F 等を Shift+→ 等に割り当てるために、Butlerによる方法では、キーをリピートさせると反応が遅くなるのが難点。他の実現方法はないものだろうか。

右CommandキーをCommandキーとして機能しなくすると、片手で Command+[, ], 0, -, = あたりを押せないのがやや不便。トラックパッドのスワイプ操作等で代用できるが、トラックパッドのないキーボードで困る。アルミニウム型ワイヤレスキーボードにもトラックパッド付きモデルを出してほしいな。

CaffeineのUIがちょっといまいち。他にないものか。プロジェクター投影時等で画面が狭くなったときに、隠れてしまうことがある。せめて、Command+ドラッグで場所を移動できるようになっていれば、右の方へ移動させられるのだが。

MacFusionのUIがちょっといまいち。メニューバーから操作するというのがいまいとつ納得いかない。かといって、どこにするのが自然かはわからない。

Mail.appでプレインテキストのメールを作成するときに、「Content-Type: text/plain; format=flowed;」になるが、問題が生ずる。format=flowed (RFC 2646) の趣旨は、SMTPで1行が72バイトを超えないよう改行で整形して送信し、受信側で、format=flowed に対応しているMUAならば、改行が除かれて1行の幅が自由に表示されるというものであるが、ISO-2022-JP にエンコードされたテキスト上で 72バイトとなるよう改行されるため、format=flowed に対応していないMUAでは、行の長さがバラバラになってしまう。日本語文字と英数字が1行内で混在していて切り替わる回数が多い行ほど、非対応MUAでは行が短く表示されてしまう。これは嫌だ。format=flowed を使わずに、改行を手動で(日本語文上での固定幅での自動整形で)挿入したいが、Mail.app ではそれができないのが不満。とりあえず、しかたなく、format=flowed で、改行を手では入れずにメールを書いているが、相手によっては変だと思われているに違いない。

本日のリンク元 TrackBacks(2)

2009年01月11日

故意による放流と過失による流出、Winnyにおける拡散速度の比較

昨年11月に話題になった、日本IBMの開発委託先従業員からのWinnyネットワークへの個人情報流出事件に、新たな事態が生じたようで、木曜から金曜にかけて報道が相次いだ。

事の流れは、最初にWinnyネットワーク上に流出した(7月ごろ)ものが、Winnyネットワーク上にはもう見つからなくなっていた(11月)のに、その後何者かがShareネットワークに「輸出」(転載目的で故意に放流)して被害が広がっていた(Shareに転載されたのは2000人分しか含まないファイル)が、11万人分を含むファイルが1月7日になって再度Winnyネットワークに放流されたということのようだ。

こうした発表をしたとき、「発表するから広がる」などと揶揄する者が出てくるが、はたしてそうだろうか。私が自宅で2006年8月から稼働させているWinnyクローラ(2008年3月2日の日記参照)の観測記録から、Winnyネットワークに流れたという問題のファイルの流通状況を確認してみた。

報道によると1月7日に確認したとのことで、記者発表は8日に開かれたようだ。最初の報道はITmediaの1月8日16時22分の記事である。

私の自宅で観測された当該ファイルのキーの記録(2008年7月以降の記録から抽出)を以下に示す。ただし、残念ながら、1月6日の12時52分から7日の11時40分までプログラムが落ちていて観測できておらず、ちょうどそこが肝心な時間帯となっているため、このデータが犯人を示しているとは限らない。

右端の列は、被参照量(転送されたブロック数)をファイルサイズで正規化した値で、おおよそ何人の手にファイルが渡ったか*1を表しており、右から2列目は「トリップ」を番号(16進数)で表している。右から3列目の数値の意味は後で示す。

左端の列は観測時刻であり、左から2列目はキーのタイムスタンプ(キー内に書かれている時刻)である。IPアドレスは一部を伏せ、ポート番号はアルファベットに置き換えた。このIPアドレスとポートの組がキーの発信元のノードであり、同じノードに出現順に振ったノード番号を左から3列名に示している。各ノードは96%以上の確率でこのファイルを持っていたことを意味している。なお、1行目のファイル名の左の「15xxxxxxx」はファイルサイズである。

15xxxxxxx [仁義なきキンタマ] XXXXXXX(BXXXXXXX)のドキュメント vol.7.zip
2008-09-02.16:17:50 2008-09-02.14:01:32   1 119-228-114-XXX.eonet.ne.jp:A                 3 54E9  6.08 
2008-09-02.16:25:04 2008-09-02.14:01:32   1 119-228-114-XXX.eonet.ne.jp:A                 3 54E9  6.08 
2009-01-07.22:48:57 2009-01-07.01:29:59   2 EM114-48-20-XXX.pool.e-mobile.ne.jp:B         1    0 10.62
2009-01-07.23:49:09 2009-01-07.23:24:44   3 sXXX.HtokyoFL31.vectant.ne.jp:C             467    0 11.52
2009-01-07.23:49:53 2009-01-06.23:28:24   4 EM114-48-48-XXX.pool.e-mobile.ne.jp:D         1    0 11.26
2009-01-08.00:17:12 2009-01-07.23:02:25   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 11.94
2009-01-08.00:39:43 2009-01-07.23:45:22   6 zXXX.61-125-43.ppp.wakwak.ne.jp:E           270 54E9 12.32
2009-01-08.00:40:35 2009-01-07.23:02:25   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 11.94
2009-01-08.02:30:43 2009-01-06.09:06:56   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 18.02
2009-01-08.02:38:30 2009-01-07.23:45:22   7 r-123-48-50-XX.g101.commufa.jp:F             13 54E9 18.10
2009-01-08.02:56:00 2009-01-07.23:45:22   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 19.27
2009-01-08.03:00:35 2008-09-05.12:55:52   8 softbank221101206XXX.bbtec.net:G              8 54E9 19.99
2009-01-08.03:19:04 2009-01-06.09:06:56   6 zXXX.61-125-43.ppp.wakwak.ne.jp:E           270 54E9 20.45
2009-01-08.04:12:42 2009-01-08.04:02:55   9 plXXX.nas933.p-aichi.nttpc.ne.jp:H          116    0 21.41
2009-01-08.04:16:25 2009-01-08.02:36:41   6 zXXX.61-125-43.ppp.wakwak.ne.jp:E           270 54E9 21.41
2009-01-08.04:49:53 2009-01-08.03:53:16   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 21.99
2009-01-08.04:49:54 2009-01-08.03:53:16   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 21.99
2009-01-08.05:08:02 2009-01-08.04:07:54  10 janis220254096XXX.janis.or.jp:I               4    0 21.41
2009-01-08.06:23:19 2009-01-08.03:50:55   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 24.01
2009-01-08.06:30:20 2009-01-08.03:50:55   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 24.01
2009-01-08.06:32:31 2009-01-08.06:02:32  11 FL1-119-241-46-XXX.kng.mesh.ad.jp:J           1    0 23.75
2009-01-08.06:49:22 2009-01-08.06:11:39  12 softbank218132026XXX.bbtec.net:K              1 54E9 24.36
2009-01-08.07:01:00 2009-01-08.06:11:32  13 ntt3-pppXXX.west.sannet.ne.jp:L               4 54E9 24.47
2009-01-08.09:29:46 2009-01-08.00:27:00  14 p40XX-ipbf2308marunouchi.tokyo.ocn.ne.jp:M   42    0 29.33
2009-01-08.09:34:10 2009-01-08.04:45:05  10 janis220254096XXX.janis.or.jp:I               4    0 28.53
2009-01-08.09:39:41 2009-01-08.04:45:05  11 FL1-119-241-46-XXX.kng.mesh.ad.jp:J           1    0 28.83
2009-01-08.10:27:07 2009-01-07.23:45:22  12 softbank218132026XXX.bbtec.net:K              1 54E9 29.74
2009-01-08.11:07:57 2009-01-08.10:33:32   6 zXXX.61-125-43.ppp.wakwak.ne.jp:E           270 54E9 29.78
2009-01-08.11:11:53 2009-01-08.10:33:32  15 p31XX-ipbf3006marunouchi.tokyo.ocn.ne.jp:N    3    0 28.56
2009-01-08.11:43:01 2009-01-08.07:00:39  15 p31XX-ipbf3006marunouchi.tokyo.ocn.ne.jp:N    3 54E9 30.29
2009-01-08.11:46:22 2009-01-08.10:28:08   6 zXXX.61-125-43.ppp.wakwak.ne.jp:E           270    0 30.31
2009-01-08.11:55:23 2009-01-06.23:28:24   9 plXXX.nas933.p-aichi.nttpc.ne.jp:H          116    0 30.34
2009-01-08.12:00:49 2009-01-08.10:32:07   6 zXXX.61-125-43.ppp.wakwak.ne.jp:E           270 54E9 30.33
2009-01-08.12:22:57 2009-01-07.23:45:22   9 plXXX.nas933.p-aichi.nttpc.ne.jp:H          116 54E9 30.35
2009-01-08.12:31:27 2009-01-06.23:28:24  16 EATcf-424pXXX.ppp15.odn.ne.jp:1451           78    0 30.35
2009-01-08.13:03:51 2009-01-06.23:28:24   6 zXXX.61-125-43.ppp.wakwak.ne.jp:E           270 54E9 30.48
2009-01-08.13:22:54 2009-01-08.06:49:02  17 118-83-33-XXX.htoj.j-cnet.jp:O             1048    0 29.27
2009-01-08.13:31:37 2009-01-08.11:50:46  17 118-83-33-XXX.htoj.j-cnet.jp:O             1048 54E9 30.50
2009-01-08.13:35:59 2009-01-08.13:13:35   6 zXXX.61-125-43.ppp.wakwak.ne.jp:E           270    0 30.68
2009-01-08.13:40:38 2009-01-08.13:11:02  18 eatkyo084XXX.adsl.ppp.infoweb.ne.jp:P         2 54E9 30.55
(これ以降、流通阻止キーらしきものが見られるため略)

当該ファイルは、2008年9月2日に一度観測された後、その後観測されていなかった*2が、2009年1月7日の23時48分から再び観測されるようになり、その後は毎時、様々なノード発のキーとして観測されるようになったことがわかる。

つまり、記者発表する前の段階で既に拡散が急速に始まっていて、止まらない状況に突入していたということである。

では、なぜ9月に観測されたときは拡散が広まらなかったのか。その違いを考察するために、通常の流出ファイルにおいて拡散は一般的にどのように広がっていくものなのか、調べてみた。

以下は、2008年3月2日の日記の図2を作成する際に集計したデータ*3から、いくつかかいつまんで選んだ流出ファイルについての、キー観測状況である。

XXXXXXXXX [仁義なきキンタマ] XXXXXXXX(6XXXXXXX)のドキュメント vol.2.zip
2006-09-26.00:26:14 2006-02-20.16:41:22  1 pXXXX-ipbf504souka.saitama.ocn.ne.jp:299XX  1 24A9 0.19
2006-10-17.17:07:01 2006-02-20.16:41:22  1 pXXXX-ipbf504souka.saitama.ocn.ne.jp:299XX  1 24A9 0.19
2007-03-06.02:54:57 2006-02-20.16:41:22  2 pXXXX-ipbf404souka.saitama.ocn.ne.jp:299XX  1 24A9 0.19
2007-03-06.20:48:34 2006-02-20.16:41:22  2 pXXXX-ipbf404souka.saitama.ocn.ne.jp:299XX  1 24A9 0.19
2007-03-14.19:22:05 2006-02-20.16:41:22  2 pXXXX-ipbf404souka.saitama.ocn.ne.jp:299XX  1 24A9 0.19 

これはおそらく、流出者のノードがキーを発信していただけで、他のノードからキーが流れてくることのなかった事例であろう。ファイル名でWeb検索してもヒットしない。キーの時刻からして、2006年2月20日にウイルスを踏んでアップロードファイルが作成されたものが、2007年3月までアップロード状態のままになっていたと思われる。

このノードはときどき(数か月に1回だけとか)しか稼働させていなかったのだろうか。このノードに対する接続記録を調べてみたところ、まず、いわゆる「ポート0」で運用されていたらしいことがわかった。日々の稼働状況を調べてみたところ、2006年9月3日、9月10日〜11日、9月16日〜17日、9月22日〜23日、9月26日〜29日、10月1日〜2日、10月6日〜7日、10月12日〜13日、10月17日〜24日、10月26日〜27日、10月29日〜11月16日、2007年1月10日、1月30日、2月24日〜3月3日、3月6日〜8日、3月11日〜17日、3月21日〜31日に稼働していた*4ことがわかった。

これだけ稼働させていても、アップロードファイルが持って行かれないことがあるようだ。ポート0であることがひとつの原因かもしれない*5

次の事例も、誰にも持って行かれなかったと思われる事例である。Webで検索しても見つからない。このノード(埼玉のノード)はポートを解放したノードであった。

XXXXXXXXX [仁義なきキンタマ] XXXXXX(EXXXXXXX)のドキュメント vol.2.zip
2006-08-28.01:17:08 2006-08-27.18:35:17  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.06
2006-08-28.15:50:31 2006-08-28.15:28:14  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.06
2006-09-17.15:07:59 2006-09-17.14:08:40  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.08
2006-09-17.17:56:27 2006-09-17.16:50:53  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.08
2006-09-17.19:52:49 2006-09-17.19:02:15  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.11
2006-09-17.19:52:54 2006-09-17.19:02:15  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.11
2006-10-05.09:36:55 2006-10-05.08:24:41  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.08
2006-10-17.23:42:51 2006-10-17.22:18:46  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.00
2006-10-18.00:47:22 2006-10-18.00:04:02  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.01
2006-10-19.00:49:14 2006-10-18.23:59:41  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.05
2006-10-19.00:49:50 2006-10-18.23:59:41  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.05
2006-10-19.04:52:40 2006-10-19.04:21:54  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.07
2006-10-19.05:53:24 2006-10-19.05:03:14  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.08
2006-10-24.07:34:44 2006-10-24.04:52:15  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.09
2006-11-16.18:02:57 2006-11-16.17:04:08  1 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.10
2006-12-11.01:18:29 2006-12-10.23:47:28  2 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.02
2006-12-11.03:23:40 2006-12-11.01:45:26  2 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.03
2006-12-11.15:40:33 2006-12-11.14:56:36  2 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.04
2006-12-31.09:47:32 2006-12-31.08:13:17  2 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.03
2006-12-31.10:22:37 2006-12-31.08:13:17  2 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.03
2006-12-31.13:46:20 2006-12-31.12:06:44  2 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.04
2006-12-31.14:10:40 2006-12-31.13:58:15  2 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.04
2006-12-31.19:58:31 2006-12-31.19:21:39  2 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.05
2006-12-31.20:10:45 2006-12-31.19:21:39  2 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.05
2007-01-05.00:23:20 2007-01-04.21:36:36  2 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.06
2007-01-07.00:58:23 2007-01-04.21:36:36  2 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.06
2007-01-15.20:05:29 2007-01-15.06:39:53  2 ntt5-pppXX.saitama.sannet.ne.jp:300XX  5 119C 0.06
2007-02-10.15:02:43 2007-01-29.03:17:18  3 dsl1-pppXX.bbco.sannet.ne.jp:300XX     4 119C 0.04
2007-03-18.17:40:35 2007-03-18.16:15:02  3 dsl1-pppXX.bbco.sannet.ne.jp:300XX     4 119C 0.12
2007-04-15.11:47:17 2007-03-26.14:30:49  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.06
2007-04-15.11:47:19 2007-03-26.14:30:49  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.06
2007-04-15.11:47:20 2007-03-26.14:30:49  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.06
2007-04-15.11:47:21 2007-03-26.14:30:49  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.06
2007-04-25.12:02:54 2007-04-25.11:34:07  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.03
2007-04-25.16:13:43 2007-04-25.13:39:34  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.04
2007-04-25.17:25:52 2007-04-25.13:39:34  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.04
2007-05-19.01:28:39 2007-05-19.01:06:58  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 1.61
2007-06-17.23:11:07 2007-06-13.15:57:21  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.05
2007-06-17.23:11:24 2007-06-13.15:57:21  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.05
2007-06-22.06:29:48 2007-06-22.05:46:14  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.00
2007-06-22.06:53:00 2007-06-22.06:11:41  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.01
2007-06-22.07:22:11 2007-06-22.06:20:23  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.01
2007-06-22.08:25:16 2007-06-22.06:20:23  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.01
2007-06-22.13:14:01 2007-06-22.10:57:22  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.02
(略)
2007-06-22.13:14:10 2007-06-22.10:57:22  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.02
2007-07-01.23:45:21 2007-06-22.14:47:37  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.04
2007-07-06.10:49:01 2007-07-06.09:09:27  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.01
2007-07-06.11:47:08 2007-07-06.10:32:30  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.02
2007-07-06.13:30:01 2007-07-06.12:47:12  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.03
2007-07-06.13:50:22 2007-07-06.13:16:25  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.04
2007-07-06.15:09:50 2007-07-06.14:11:56  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.04
2007-07-06.15:12:28 2007-07-06.14:11:56  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.04
2007-07-06.16:20:33 2007-07-06.15:14:28  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.05
2007-07-07.12:55:30 2007-07-07.12:14:47  4 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.04
2007-08-16.19:19:47 2007-08-16.18:52:37  5 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.39
2007-08-16.19:49:32 2007-08-16.18:52:37  5 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.39
2007-08-16.20:18:12 2007-08-16.18:52:37  6 ntt8-pppXXX.kobe.sannet.ne.jp:23XX     2 119C 0.39
2007-09-08.10:26:55 2007-08-31.01:40:24  5 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.39
2007-09-20.10:49:37 2007-09-08.11:05:22  5 dsl1-pppXXX.bbco.sannet.ne.jp:300XX    4 119C 0.39
2007-09-29.08:42:57 2007-09-23.14:34:49  7 202.216.8.XXX:300XX                    3 119C 0.42
2007-12-10.11:16:36 2007-11-27.12:30:27  7 202.216.8.XXX:300XX                    3 119C 0.72
2008-01-19.12:51:38 2008-01-19.11:59:53  8 dsl1-pppXX.bbco.sannet.ne.jp:300XX     2 119C 0.46
2008-01-19.12:51:44 2008-01-19.11:59:53  8 dsl1-pppXX.bbco.sannet.ne.jp:300XX     2 119C 0.46

一回だけ、他のノード(2007-08-16の神戸のノード)がこのファイルのキーを発信していたのが観測されているが、キーのタイムスタンプが直前のものと同じなので、これは、4%の確率で起きるという「中継のためのキー書き換え」によるものではないだろうか。他は、IPアドレスは変化しているものの、同じ埼玉のノードだとと思われる。

この埼玉のノードは、すべての期間でクラスタワードに何も指定していなかった。これだけ長期間、流出ファイルをアップロード状態にしていたにもかかわらず、どこにも持って行かれなかったのは、クラスタワードに何も指定していないことが原因だろうか。

ここで注意すべきは、被参照量がいくらか増えたり減ったりしていること、また、キーのタイムスタンプが更新されていることである。おそらく、部分的にはファイルが他のノードに転送されたのだろう。こういう場合に、キーのタイムスタンプがどういうタイミングで更新されるのかがよくわからないのだが、自分が発信したキーが自分のところに戻ってきたときに更新されているのだろうか。ときどき被参照量がリセットされているのは、このノードの稼働停止により、Winnyネットワーク上からこのファイルのキーが一旦消滅し、後にこのノードが再稼働したときに、アップロードフォルダからの公開で、被参照量が0から開始しているという理解で合っているだろうか。

もうひとつ拡散しなかった事例を見てみる。以下の事例は、ファイル名でWeb検索したところ、2ちゃんねる掲示板に一度存在が報告されていたものである。

XXXXXXXX [仁義なきキンタマ] XXXXXXXX(XXXXXXXX)のドキュメント vol.3.zip
2007-03-22.18:17:46 2007-03-21.08:37:46  1 pXXXX-ipbf210niigatani.niigata.ocn.ne.jp:264XX   2 4D86 2.20
2007-03-22.18:17:46 2007-03-21.08:37:46  1 pXXXX-ipbf210niigatani.niigata.ocn.ne.jp:264XX   2 4D86 2.20
2007-03-22.18:17:46 2007-03-21.08:37:46  1 pXXXX-ipbf210niigatani.niigata.ocn.ne.jp:264XX   2 4D86 2.20
2007-03-22.18:17:47 2007-03-21.08:37:46  1 pXXXX-ipbf210niigatani.niigata.ocn.ne.jp:264XX   2 4D86 2.20
2007-03-22.18:17:47 2007-03-21.08:37:46  1 pXXXX-ipbf210niigatani.niigata.ocn.ne.jp:264XX   2 4D86 2.20
2007-04-12.02:30:37 2007-04-01.14:04:58  2 221.191.XXX.XXX(OCN):264XX                       1 4D86 2.90
2007-04-12.18:54:22 2007-04-01.14:04:58  3 221.187.XXX.XXX(OCN):264XX                       1 4D86 2.90
2007-05-08.00:06:08 2007-05-04.00:10:05  4 pXXXX-ipbf307niigatani.niigata.ocn.ne.jp:264XX   1 4D86 4.58
2007-05-17.06:00:58 2007-05-13.00:49:39  5 pXXXX-ipbf205niigatani.niigata.ocn.ne.jp:264XX   2 4D86 5.41
2007-05-18.01:29:17 2007-05-13.00:49:39  5 pXXXX-ipbf205niigatani.niigata.ocn.ne.jp:264XX   2 4D86 5.41
2007-05-18.10:04:42 2007-05-18.07:44:24  5 pXXXX-ipbf205niigatani.niigata.ocn.ne.jp:264XX   2 4D86 5.63
2007-05-25.23:42:19 2007-05-22.07:41:43  6 pXXXX-ipbf202niigatani.niigata.ocn.ne.jp:264XX   1 4D86 5.72
2007-07-02.05:08:06 2007-06-29.02:25:54  7 pXXXX-ipbf208niigatani.niigata.ocn.ne.jp:264XX   1 4D86 6.66
2007-08-01.05:37:56 2007-07-26.05:41:03  8 pXXXX-ipbf2102souka.saitama.ocn.ne.jp:264XX      2 4D86 8.26
2007-08-13.00:50:57 2007-08-08.06:40:21  9 pXXXX-ipbf308niigatani.niigata.ocn.ne.jp:264XX   2 4D86 11.0
2007-08-26.14:52:38 2007-08-25.12:19:53 10 pXXXX-ipbf303niigatani.niigata.ocn.ne.jp:146XX   2 4D86 3.78
2007-08-26.16:56:03 2007-08-25.12:19:53 10 pXXXX-ipbf303niigatani.niigata.ocn.ne.jp:146XX   2 4D86 3.78
2007-08-26.18:20:14 2007-08-25.12:19:53 10 pXXXX-ipbf303niigatani.niigata.ocn.ne.jp:146XX   2 4D86 3.78
2007-09-07.16:24:53 2007-09-03.23:04:06 11 pXXXX-ipbf304niigatani.niigata.ocn.ne.jp:146XX   2 4D86 4.46
2007-09-12.02:48:10 2007-09-11.12:28:29 12 pXXXX-ipbf209niigatani.niigata.ocn.ne.jp:146XX   2 4D86 6.17
2007-09-16.21:43:41 2007-09-16.17:54:46 13 ntfkuiXXXXXX.fkui.nt.adsl.ppp.infoweb.ne.jp:49XX 1 4D86 6.30
2007-09-18.01:50:19 2007-09-16.23:28:26 14 222.144.XXX.XXX(OCN):146XX                       2 4D86 6.30
2007-09-19.06:51:12 2007-09-19.01:35:59 15 pXXXX-ipbf306niigatani.niigata.ocn.ne.jp:146XX   1 4D86 6.45
2007-09-19.07:10:21 2007-09-19.01:35:59 15 pXXXX-ipbf306niigatani.niigata.ocn.ne.jp:146XX   1 4D86 6.45
2007-09-19.09:12:29 2007-09-19.01:35:59 15 pXXXX-ipbf306niigatani.niigata.ocn.ne.jp:146XX   1 4D86 6.45
2007-09-27.05:34:44 2007-09-27.04:56:55 16 pXXXX-ipbf306niigatani.niigata.ocn.ne.jp:146XX   2 4D86 7.07
2007-10-07.04:04:41 2007-10-07.00:47:00 17 pXXXX-ipbf209niigatani.niigata.ocn.ne.jp:146XX   2 4D86 9.00
2007-10-11.01:28:11 2007-10-11.00:32:01 18 pXXXX-ipbf303niigatani.niigata.ocn.ne.jp:146XX   1 4D86 9.93
2007-10-26.05:15:33 2007-10-18.01:49:41 19 124.85.XXX.XXX(OCN):146XX                        2 4D86 10.7
2007-11-11.04:19:36 2007-11-03.01:42:59 20 pXXXX-ipbf306niigatani.niigata.ocn.ne.jp:146XX   2 4D86 10.9
2007-11-11.19:20:25 2007-11-03.01:42:59 21 XXXx120x64x27.ap219.ftth.ucom.ne.jp:93XX        13 4D86 10.9
2007-11-14.03:11:17 2007-11-03.01:42:59 22 222.144.XXX.XXX(OCN):146XX                       1 4D86 10.9
2007-11-17.06:10:31 2007-11-17.04:00:31 23 pXXXX-ipbf403niigatani.niigata.ocn.ne.jp:146XX   1 4D86 11.0
2007-11-18.13:52:34 2007-11-17.04:00:31 24 pXXXX-ipbf203niigatani.niigata.ocn.ne.jp:146XX   2 4D86 11.0
2007-11-25.15:01:14 2007-11-25.09:39:32 25 pXXXX-ipbf305niigatani.niigata.ocn.ne.jp:146XX   1 4D86 14.0
2007-11-30.02:13:34 2007-11-30.00:09:27 26 pXXXX-ipbf201niigatani.niigata.ocn.ne.jp:146XX   2 4D86 14.3
2007-12-14.00:21:02 2007-12-12.05:04:45 27 pdXXXXX.ngyaac00.ap.so-net.ne.jp:320XX           1 4D86 16.5
2007-12-27.17:56:31 2007-12-27.15:23:34 28 pXXXX-ipbf2102souka.saitama.ocn.ne.jp:146XX      2 4D86 17.4
2008-01-02.20:14:16 2007-12-28.02:42:00 29 pXXXX-ipbf302niigatani.niigata.ocn.ne.jp:146XX   1 4D86 17.7
2008-01-16.22:33:42 2008-01-12.23:59:15 30 pXXXX-ipbf311niigatani.niigata.ocn.ne.jp:146XX   1 4D86 18.1
2008-01-27.00:18:51 2008-01-25.22:06:20 31 pXXXX-ipbf402niigatani.niigata.ocn.ne.jp:146XX   1 4D86 18.8
2008-03-14.02:25:59 2008-02-01.22:12:52 32 pXXXX-ipbf402niigatani.niigata.ocn.ne.jp:146XX   2 4D86 19.3
2008-03-21.02:15:39 2008-03-18.03:02:31 33 pXXXX-ipbf309niigatani.niigata.ocn.ne.jp:146XX   1 4D86 19.4
2008-03-23.17:03:26 2008-03-22.05:44:57 34 pXXXX-ipbf302hiraide.tochigi.ocn.ne.jp:51XX      2 4D86 19.4
2008-04-27.16:51:28 2008-04-27.16:35:59 35 124.85.XXX.XXX(OCN):146XX                        2 4D86 19.6
2008-04-28.04:06:00 2008-04-28.00:05:29 35 124.85.XXX.XXX(OCN):146XX                        2 4D86 19.6
2008-04-30.23:16:17 2008-04-28.04:28:40 36 pXXXX-ipbf504niigatani.niigata.ocn.ne.jp:146XX   1 4D86 19.7

この事例で注目すべきは、被参照量が増大しているにもかかわらず、ほとんど他のノードからキーが発信されていないことである。2007年8月26日からポート番号が変わっているが、おそらく同じ人のものだろう。それぞれで一度ずつ埼玉のアドレスから同じポート番号で出ているが、これは、実家か親戚などが埼玉にあってノートPCを持ち込んだということのように見える。

他に4回ほど別のノードからのキー発信が観測されているが、拡散するまでには至らなかったようだ。おそらく、それなりに検索にかかってダウンロードが試みられ、被参照量は共有数にして20相当まで増えたものの、断片がバラバラに沢山のノードに散らばった程度ということなのだろうと思う。

この事例では、クラスタワードは、前半では「氷結野菜 サントラ 劇伴音楽」「【おっぱい星人】 【巨乳・パイズリ】 【人生って不思議ですよね】」「アイドルイメージビデオ」であり(埼玉のノードでも同一)、後半では、「『すいませんちょっと被参照量あげますよ』」「【おっぱい星人】 【巨乳・パイズリ】 【人生って不思議ですよね】」「アイドルイメージビデオ」(埼玉のノードでも同一)であった。いずれも、「Winnyのクラスタワード」として知られているお決まりワードのようだ。これだけ、メジャーなクラスタに属していても、拡散しないで済まされることもあるということのようだ。

上のリストで右から3番目の列の数値は、そのノードが何個のファイルで出現したか(このファイル自身を含む)を示したもので、このデータは流出ファイルだけを対象に集計したものなので、この数値が大きいノードは、流出ファイルの収集家である疑いが濃いということになる。これが「1」や「2」のノードは、流出ファイル収集家ではないと考えられる*6

2007-11-11.19:20:25に観測したキーのノードだけ、これの値が「13」になっている。このノードは少なくとも13個の流出ファイルを持っていた*7ことを意味している。

そして、掲示板にこのファイルのことが書き込まれたのは、そのノードが現れた日の少し後だった。ちなみに、そのノードのそのときのクラスタワードは、「焙煎にんにくえびマヨ味えびチリ風味にんにくマヨソース焙煎えび殻添え」「『すいませんちょっと被参照量あげますよ』」「忘れられないナッツになる納豆甲子園」であった。これもお決まりワードのようだ。

次に、拡散してしまった事例を見てみる。以下の事例では、右から3列目の数値が大きな値となっているノードが多く見られる。これは、流出ファイル収集家らの網に完全にかかってしまった例だと言える。「4284」「1741」「7713」個といった大量の流出ファイルを持っている収集家が現れている。

XXXXXXXXX [仁義なきキンタマ] XXXXX(BXXXXXXX)のドキュメント.zip
2007-05-01.04:19:27 2007-05-01.04:01:22  1 XX.30.30.125.dy.iij4u.or.jp:190XX                45  684A 14.06
2007-05-01.16:20:16 2007-05-01.16:06:58  1 XX.30.30.125.dy.iij4u.or.jp:190XX                45  684A 46.20
2007-05-01.23:04:11 2007-04-30.22:46:33  2 pXXXX-ipad29okayamaima.okayama.ocn.ne.jp:207XX    1  684A  1.15 
2007-05-02.04:41:04 2007-05-02.03:36:08  3 p03XXXX.tokynt01.ap.so-net.ne.jp:76XX            66  684A  0.00 
2007-05-02.06:32:46 2007-05-02.05:53:05  3 p03XXXX.tokynt01.ap.so-net.ne.jp:76XX            66  684A  3.42 
2007-05-02.06:53:19 2007-05-02.05:53:05  3 p03XXXX.tokynt01.ap.so-net.ne.jp:76XX            66  684A  3.42 
2007-05-02.07:35:09 2007-05-02.06:49:55  3 p03XXXX.tokynt01.ap.so-net.ne.jp:76XX            66  684A  4.52 
2007-05-02.19:02:28 2007-05-02.17:20:29  4 59x87x39xXXX.ap59.ftth.ucom.ne.jp:77XX           63  684A  8.93 
2007-05-03.01:14:52 2007-05-02.09:21:00  3 p03XXXX.tokynt01.ap.so-net.ne.jp:76XX            66  684A  5.84 
2007-05-08.11:32:19 2007-05-07.21:20:46  5 pXXXX-ipbf2904marunouchi.tokyo.ocn.ne.jp:158XX 4284  684A  8.01 
2007-05-17.09:34:41 2007-05-16.20:43:41  5 pXXXX-ipbf2904marunouchi.tokyo.ocn.ne.jp:158XX 4284  684A  9.22 
2007-05-19.07:55:11 2007-05-07.21:40:35  6 pXXXX-ipbf608marunouchi.tokyo.ocn.ne.jp:250XX   373  684A  3.86 
2007-05-22.16:23:23 2007-05-22.15:28:05  7 pc6XXXX.tubehm00.ap.so-net.ne.jp:14XX            13  684A  0.97 
2007-05-22.16:23:24 2007-05-22.15:28:05  7 pc6XXXX.tubehm00.ap.so-net.ne.jp:14XX            13  684A  0.97 
2007-05-23.08:44:40 2007-05-22.16:11:08  8 pc6XXXX.tubehm00.ap.so-net.ne.jp:14XX            18  684A  0.98 
2007-05-29.12:51:13 2007-05-28.19:00:54  5 pXXXX-ipbf2904marunouchi.tokyo.ocn.ne.jp:158XX 4284  684A  9.40 
2007-06-15.21:21:14 2007-06-12.11:43:50  9 h219-110-173-XXX.catv02.itscom.jp:243XX        1741  684A  0.00 
2007-06-22.20:47:07 2007-06-22.17:36:40  5 pXXXX-ipbf2904marunouchi.tokyo.ocn.ne.jp:158XX 4284  684A 12.38
2007-06-24.16:34:13 2007-06-21.17:43:18  9 h219-110-173-XXX.catv02.itscom.jp:243XX        1741  684A 12.26
2007-06-28.01:23:47 2007-06-24.11:04:03 10 pXXXX-ipbfp03obiyama.kumamoto.ocn.ne.jp:207XX     1  684A  1.16 
2007-07-14.09:43:52 2007-07-13.12:57:26  9 h219-110-173-XXX.catv02.itscom.jp:243XX        1741  684A 12.33
2007-07-15.05:15:51 2007-07-14.18:25:19 11 pXXXX-ipbf1902marunouchi.tokyo.ocn.ne.jp:252XX  127  684A 13.09
2007-07-22.20:44:41 2007-07-13.12:57:26  9 h219-110-173-XXX.catv02.itscom.jp:243XX        1741  684A 13.12
2007-07-26.17:20:46 2007-07-23.15:26:58  9 h219-110-173-XXX.catv02.itscom.jp:243XX        1741  684A 13.14
2007-08-03.15:25:01 2007-07-26.06:27:25 12 pXXXX-ipad01okayamaima.okayama.ocn.ne.jp:207XX    1  684A  2.33 
2007-08-03.15:25:02 2007-07-26.06:27:25 12 pXXXX-ipad01okayamaima.okayama.ocn.ne.jp:207XX    1  684A  2.33 
2007-08-03.15:25:03 2007-07-26.06:27:25 12 pXXXX-ipad01okayamaima.okayama.ocn.ne.jp:207XX    1  684A  2.33 
2007-08-05.23:47:29 2007-08-05.18:19:19 13 pXXXX-ipad202okayamaima.okayama.ocn.ne.jp:207XX   1  684A  0.22 
2007-08-27.01:16:05 2007-08-11.01:13:02 14 124.84.178.XXX(OCN):129XX                       588  684A 13.30
2007-09-02.18:04:42 2007-08-11.01:13:02 15 pXXXX-ipbf2610marunouchi.tokyo.ocn.ne.jp:252XX   74  684A 13.30
2007-09-06.15:48:21 2007-07-23.15:26:58  9 h219-110-173-XXX.catv02.itscom.jp:243XX        7713  684A 13.30
2007-09-15.06:51:00 2007-07-23.15:26:58  9 h219-110-173-XXX.catv02.itscom.jp:243XX        7713  684A 13.16
2007-09-19.03:09:51 2007-07-23.15:26:58  9 h219-110-173-XXX.catv02.itscom.jp:243XX        7713  684A 13.30
2007-09-21.13:21:25 2007-09-21.05:50:06 16 pXXXX-ipad43sasajima.aichi.ocn.ne.jp:314XX       15  684A 13.31
2007-09-22.08:11:05 2007-07-23.15:26:58  9 h219-110-173-XXX.catv02.itscom.jp:243XX        7713  684A 13.30
2007-09-29.03:44:06 2007-09-28.04:39:04 17 124.84.146.XXX:252XX                             98  684A 13.31
2007-10-07.04:24:05 2007-10-04.03:47:29 18 pXXXX-ipbf4003marunouchi.tokyo.ocn.ne.jp:129XX  311  684A 13.34
2007-11-28.13:06:01 2007-09-08.14:25:56 13 pXXXX-ipad202okayamaima.okayama.ocn.ne.jp:207XX   1  684A  1.89 
2007-12-02.21:16:45 2007-09-08.14:25:56 13 pXXXX-ipad202okayamaima.okayama.ocn.ne.jp:207XX   1  684A  1.89 
2007-12-06.21:34:09 2007-09-08.14:25:56 13 pXXXX-ipad202okayamaima.okayama.ocn.ne.jp:207XX   1  684A  1.89 
2007-12-06.21:34:09 2007-09-08.14:25:56 13 pXXXX-ipad202okayamaima.okayama.ocn.ne.jp:207XX   1  684A  1.89 
2008-01-09.02:02:14 2007-12-28.13:42:40 19 pXXXX-ipbf709marunouchi.tokyo.ocn.ne.jp:111XX  5693  684A 13.42
2008-01-09.02:02:14 2007-12-28.13:42:40 19 pXXXX-ipbf709marunouchi.tokyo.ocn.ne.jp:111XX  5693  684A 13.42
2008-01-15.16:04:24 2007-12-28.13:42:40 19 pXXXX-ipbf709marunouchi.tokyo.ocn.ne.jp:111XX  5693  684A 13.42
2008-01-16.01:34:16 2008-01-15.06:22:34 20 pXXXX-ipad03okayamaima.okayama.ocn.ne.jp:207XX    1  684A  0.23 
2008-01-16.11:41:01 2007-12-24.03:32:13 21 pXXXX-ipbf1004marunouchi.tokyo.ocn.ne.jp:129XX  226  684A 13.42
2008-01-18.04:39:00 2007-12-28.13:42:40 19 pXXXX-ipbf709marunouchi.tokyo.ocn.ne.jp:111XX  5693  684A 13.43
2008-01-19.09:37:30 2007-12-24.03:32:13 22 pXXXX-ipbf1808marunouchi.tokyo.ocn.ne.jp:129XX   95  684A 13.42
2008-01-26.07:37:33 2007-12-28.13:42:40 19 pXXXX-ipbf709marunouchi.tokyo.ocn.ne.jp:111XX  5693  684A 13.42
2008-01-28.05:49:42 2007-12-24.03:32:13 23 pXXXX-ipbf603marunouchi.tokyo.ocn.ne.jp:129XX   153  684A 13.42
2008-02-04.11:58:26 2007-12-24.03:32:13 24 pXXXX-ipbf3307marunouchi.tokyo.ocn.ne.jp:129XX  300  684A 13.42
2008-02-04.11:58:27 2007-12-24.03:32:13 24 pXXXX-ipbf3307marunouchi.tokyo.ocn.ne.jp:129XX  300  684A 13.42
2008-02-04.22:55:01 2007-12-24.03:32:13 25 pXXXX-ipbf4207marunouchi.tokyo.ocn.ne.jp:129XX   71  684A 13.42
2008-02-08.20:41:50 2008-02-05.02:16:36 26 pppXXXX.ohashi02.bbiq.jp:115XX                    1  684A 13.45
2008-02-08.20:42:01 2008-02-05.02:16:36 26 pppXXXX.ohashi02.bbiq.jp:115XX                    1  684A 13.45
2008-02-09.05:38:27 2007-12-24.03:32:13 27 pXXXX-ipbf607marunouchi.tokyo.ocn.ne.jp:129XX    57  684A 13.42
2008-02-12.17:47:10 2007-12-24.03:32:13 28 pXXXX-ipbf612marunouchi.tokyo.ocn.ne.jp:129XX   379  684A 13.42
2008-02-16.02:00:44 2007-12-28.13:42:40 19 pXXXX-ipbf709marunouchi.tokyo.ocn.ne.jp:111XX  5693  684A 13.46
2008-02-16.02:00:45 2007-12-28.13:42:40 19 pXXXX-ipbf709marunouchi.tokyo.ocn.ne.jp:111XX  5693  684A 13.46
2008-03-08.07:56:30 2007-12-28.13:42:40 29 softbank221082156XXX.bbtec.net:246XX              1  684A 13.43
2008-03-08.23:16:45 2008-02-20.06:54:42 30 pXXXX-ipbf4908marunouchi.tokyo.ocn.ne.jp:129XX  148  684A 13.43
2008-03-25.07:11:17 2008-02-18.03:05:01 20 pXXXX-ipad03okayamaima.okayama.ocn.ne.jp:207XX    1  684A 13.46
2008-03-25.07:20:56 2008-02-18.03:05:01 20 pXXXX-ipad03okayamaima.okayama.ocn.ne.jp:207XX    1  684A 13.46
2008-03-27.20:49:01 2008-03-27.08:07:57 20 pXXXX-ipad03okayamaima.okayama.ocn.ne.jp:207XX    1  684A 13.50
2008-03-28.14:39:30 2008-02-20.06:54:42 31 pXXXX-ipbf4001marunouchi.tokyo.ocn.ne.jp:129XX  216  684A 13.43
2008-04-07.13:03:19 2008-02-20.06:54:42 32 pXXXX-ipbf4802marunouchi.tokyo.ocn.ne.jp:129XX  148  684A 13.43
2008-04-08.14:25:00 2007-12-28.13:42:40 33 pXXXX-ipbf609marunouchi.tokyo.ocn.ne.jp:211XX  4277  684A  0.00 
2008-04-15.17:26:25 2007-12-28.13:42:40 34 FLH1AhpXXX.kng.mesh.ad.jp:80XX                    1  684A 13.43
2008-04-23.02:20:41 2008-04-07.00:58:08 35 pXXXX-ipad207okayamaima.okayama.ocn.ne.jp:207XX   1  684A 13.50
2008-04-26.05:12:27 2008-02-20.06:54:42 36 pXXXX-ipbf2310marunouchi.tokyo.ocn.ne.jp:129XX  528  684A 13.43
2008-04-28.11:25:26 2008-04-26.08:43:42 35 pXXXX-ipad207okayamaima.okayama.ocn.ne.jp:207XX   1  684A  0.02 
2008-05-01.09:48:26 2008-02-20.06:54:42 37 pXXXX-ipbf4608marunouchi.tokyo.ocn.ne.jp:129XX  113  684A 13.43
2008-05-05.00:57:18 2008-02-20.06:54:42 38 pXXXX-ipbf3402marunouchi.tokyo.ocn.ne.jp:129XX 1114  684A 13.43
2008-05-05.01:27:09 2008-02-20.06:54:42 38 pXXXX-ipbf3402marunouchi.tokyo.ocn.ne.jp:129XX 1114  684A 13.43
2008-05-10.14:02:55 2008-02-20.06:54:42 39 EATcf-XXXXXX.ppp15.odn.ne.jp:126XX                1  684A 13.43
2008-05-12.02:23:38 2008-02-20.06:54:42 40 pXXXX-ipbf4902marunouchi.tokyo.ocn.ne.jp:129XX  178  684A 13.43
2008-05-14.11:28:14 2008-02-20.06:54:42 41 pXXXX-ipbf3505marunouchi.tokyo.ocn.ne.jp:129XX   64  684A 13.43
2008-05-29.16:50:02 2008-02-20.06:54:42 42 pXXXX-ipbf4904marunouchi.tokyo.ocn.ne.jp:129XX  368  684A 13.43

おそらく、3行目に観測されているノードが流出元であろう(流出の瞬間は観測できなかったものと思われる)。このノードは、その後8月と11月、12月、翌年1月、3月、4月にも現れ、被参照量の小さいキーを発信している。6月に熊本から同じポート番号での発信があるが、これもノートPCの持ち込みであろうか。

このノードのクラスタワードは、5月のときは指定なしだったようで、それより後では「焙煎にんにく えびマヨ アルバム DVDISO」「[AV]」だった。熊本のノードも同一だ。

被参照量は共有数にして13相当程度で止まっている。よく見てみると、流出元の他は、ほとんど丸の内の収集家「129XX」が発信しているだけになっていたようだ。この丸の内の収集家は、ポート0での運用だった。

さて、ここで話を最初に戻す。

7日から始まった「XXXXXXX(BXXXXXXX)のドキュメント vol.7.zip」の再流通は、これらの事例に比べると急速に拡散していると言える。もう一度リストを示すと、冒頭はこうなっている。

15xxxxxxx [仁義なきキンタマ] XXXXXXX(BXXXXXXX)のドキュメント vol.7.zip
2008-09-02.16:17:50 2008-09-02.14:01:32   1 119-228-114-XXX.eonet.ne.jp:A                 3 54E9  6.08 
2008-09-02.16:25:04 2008-09-02.14:01:32   1 119-228-114-XXX.eonet.ne.jp:A                 3 54E9  6.08 
2009-01-07.22:48:57 2009-01-07.01:29:59   2 EM114-48-20-XXX.pool.e-mobile.ne.jp:B         1    0 10.62
2009-01-07.23:49:09 2009-01-07.23:24:44   3 sXXX.HtokyoFL31.vectant.ne.jp:C             467    0 11.52
2009-01-07.23:49:53 2009-01-06.23:28:24   4 EM114-48-48-XXX.pool.e-mobile.ne.jp:D         1    0 11.26
2009-01-08.00:17:12 2009-01-07.23:02:25   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 11.94
2009-01-08.00:39:43 2009-01-07.23:45:22   6 zXXX.61-125-43.ppp.wakwak.ne.jp:E           270 54E9 12.32
2009-01-08.00:40:35 2009-01-07.23:02:25   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 11.94
2009-01-08.02:30:43 2009-01-06.09:06:56   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 18.02
2009-01-08.02:38:30 2009-01-07.23:45:22   7 r-123-48-50-XX.g101.commufa.jp:F             13 54E9 18.10
2009-01-08.02:56:00 2009-01-07.23:45:22   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 19.27
2009-01-08.03:00:35 2008-09-05.12:55:52   8 softbank221101206XXX.bbtec.net:G              8 54E9 19.99
2009-01-08.03:19:04 2009-01-06.09:06:56   6 zXXX.61-125-43.ppp.wakwak.ne.jp:E           270 54E9 20.45
2009-01-08.04:12:42 2009-01-08.04:02:55   9 plXXX.nas933.p-aichi.nttpc.ne.jp:H          116    0 21.41
2009-01-08.04:16:25 2009-01-08.02:36:41   6 zXXX.61-125-43.ppp.wakwak.ne.jp:E           270 54E9 21.41
2009-01-08.04:49:53 2009-01-08.03:53:16   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 21.99
2009-01-08.04:49:54 2009-01-08.03:53:16   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 21.99
2009-01-08.05:08:02 2009-01-08.04:07:54  10 janis220254096XXX.janis.or.jp:I               4    0 21.41
2009-01-08.06:23:19 2009-01-08.03:50:55   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 24.01
2009-01-08.06:30:20 2009-01-08.03:50:55   5 PPPbm39XX.tokyo-ip.dti.ne.jp:B                2 54E9 24.01
(以下略)

ここで注目すべきは、1月7日に最初に観測したキーのトリップ番号が「0」になっていることである。これは、この場合、アップロードフォルダに故意に放流したもの(またはそれ由来のコピー)であることを意味している。元の流出ファイル由来のキーであれば「54E9」となるはずである。

再放流されたものに由来するコピーは、他のノードにも広がっている。その一方で、元の流出ファイル由来のものも広がっているように見える。元の流出ファイルは観測されなくなっていたはずなのに、これはどういうことか。おそらく、元の流出ファイルの断片を持っていたノードに、再放流したファイル全体がコピーされ、キーが発信され始めたのだろう。このような場合にトリップが「0」から「54E9」に書き換えられるらしい。金子勇著「Winnyの技術」p.117にそれらしきことが書かれている。

2番のノード(EM114-48-20-XXX.pool.e-mobile.ne.jp:B)が再放流の犯人かどうかは定かでないが、4番のノードも怪しい。4番ノードの方が発信しているキーのタイムスタンプが古く、2009-01-06.23:28:24となっている。じつは、ポート番号「D」は「B」と1番違いである。また、5番のノードから多くキーが発信されているが、ポート番号が(偶然かもしれないが)2番ノードと同じだ。

これらのノードのクラスタワードと稼働時間について調べてみたところ、2番ノードは「[仁義なきキンタマ]」「[仁義なきキンタマ]」「[仁義なきキンタマ]」で、4番ノードはそれと同一だった。2番ノードは7日18時に観測した後、7日23時まで稼働していた。4番ノードは7日21時に観測した後、8日0時まで稼働していた。

5番ノードは、クラスタワードが「XXXXXXXX」「XXXXXXXX」「[仁義なきキンタマ] 」で、8日の0時に観測した後、8日の6時まで稼働していた。クラスタワードの「XXXXXXXX」は、特定の流出ファイルを示すキーワードなのでここでは伏せたが、この文字列でWeb検索して調べたところ、日本IBM関係の別の流出ファイルのファイル名だった。これはかなり怪しい。

放流されたファイルは、流出ファイル収集家である3番ノード(467個の流出ファイルを持っている)や6番ノード(270個の流出ファイルを持っている)に補足されたようだ。これらのクラスタワードは、それぞれ「[仁義なきキンタマ]」「[殺人] 2008」「[殺人] 2009」と、「[写真集][IV]」「[仁義なきキンタマ]」「[殺人] 」であった。3番ノードは4日に9時から14時まで休止したのを除いて元旦からずっと稼働し続けており、6番ノードは5日7時から7日21時まで休止していたのを除いて元旦から稼働していた。

再放流者は、流出ファイル収集家のクラスタに接続して放流することで、早く拡散させるのに成功したことが窺える。

このように、拡散の広がり具合の観点からも、過失で流出してしまう場合と故意に放流する場合とでは大きく違う。故意に放流したものは被害は甚大になる。

いいかげん流通させている輩を罰せないか

以前から気になっていたが、新聞記者は国語力が欠如しているのか内容を理解していないのか、新聞各社の記事では、故意に放流する行為を指して「流出」と書いている。これが一般の人の理解を妨げる原因になっている。INTERNET Watchの記事ではちゃんと「流通」「再放流」などと区別して書かれている。「流出」とは、自動詞的に(情報が)出て行ってしまう事態を指す言葉であり、過失で漏らしてしまう事態を指す言葉ではあっても、人が故意に流す行為に対して用いる言葉ではないはずだ。それがなぜか情報漏洩事件の記事ではずっと「流出」と書かれ続けていて、記事の内容によっては読者を混乱させるものになっている。今回の神奈川の記事でも、次のように「流出」と書かれている。

  • 11万人の個人情報、再流出?削除要請にソフト変え…神奈川, 読売新聞, 2009年1月8日23時47分

    8日に記者会見した山本正人県教育長は「個人情報をお預かりし、適切に管理する責任がある教育委員会としておわび申し上げる」と謝罪。その上で「現在の法では、個人が個人情報を流出させることを規制できない。法改正を国に求めていきたい」と述べた。

この記事で本当に言いたいことは、過失での話ではなく、故意に流す行為を指して立法措置をという意味のはずだ。このままでは読者に「企業の過失さえ罰することができないのに、どうして個人だけ?」と疑問を持たれてしまうのがオチだ。たしかに「放流」という言葉はWinny等における俗語なのでそのまま新聞に使うわけにはいかないだろうが、正確な言葉遣いができないものか。

それはともかく、再放流する輩や公衆送信されることを知りながら送信可能状態で溜め込む輩を罰することには賛成だ。ウイルス罪新設の刑法改正案が(共謀罪と抱き合わせのために)店晒しになっている現状では、ウイルスによる情報漏洩での社会的混乱は深刻さを増すばかりだ。立法措置も、副作用なく可能ならそうしてほしいところであるが、現行法でも、業務妨害罪で立件することくらい可能なのではないか。

ほとんど誰も困らない「爆破します」といった掲示板の書き込みを逐一立件しているくらいなら、実際に社会を混乱させ業務を妨害し被害者を不安に陥れている、漏洩ファイルの再放流者をなんとかしてほしい。

今までずっとそれらを放置してきたツケで、騒ぎ方はどんどんエスカレートし、昨年あたりから本当に酷くなってきている。

Winny/Shareの暴露ウイルスの被害も、初期のころは、「本当に流出したファイルなのか」と慎重に見極めながら事態が次第に表沙汰になっていくという感じだった。それが今ではどうか。そういう慎重さが皆無になってきている。流出ファイル収集家がダウンロードできたものをどんどん掲示板に暴露していき、そこに集まる輩がそれを元に騒ぐという形が、システム化して確立してしまっている。

特に酷いと思ったのは、昨年の年末の事例だ。暴露ウイルスで流出した写真に女性の裸が含まれていたということで、産経新聞社が夕刊紙にその写真をカラーで掲載してしまった。いまさら社会的には目新しくもない話題で何の正当性もないのにだ。これには心底酷いと思った。何の落ち度もない一般の女性が乳丸出しの裸写真を掲載されてしまう。いつまでこんな事が許されるのか。

どう見てもこの新聞社は「ひどい」なんて思ってない。楽しくてしょうがない様子に見える。一昨年4月のときも、産経新聞社は、流出した動画についてこんな顔で「いい女でしたよ〜」とコメントしていた。

画面キャプチャ
夕刊フジTV 2007年4月10日より、批評に必要な範囲で引用

こういうことが横行する背景には、「流出を引き起こした当人がWinnyやShareでろくでもないことをしていたのだから、擁護に値しない。何されてもかまわないはずだ。」という認識があるのだろう。

実際、今月の日本IBMの事例でも、産経新聞社だけ「自業自得」とする見出しで報道していた。

  • IBM自業自得? 個人情報11万件、何者かが再放流, 産経新聞社, 2009年1月9日

    完全版は、同社が監視を始める前にウィニー上に流通していたデータを取得した人物が再放流した可能性が高い。ネット上には「よくやった」といった声もあがっており、IBMの“逆襲”が火に油を注いだことになる。

    ジャーナリストの井上トシユキ氏は「もともとはIBM自身がまいた種。最初から高圧的に迫ったのはいかがなものか」と語る。事実はその通りだが、だからといってユーザーの行為が正当化されるものでもない。大企業と一部ユーザーのバトルに一般人が巻き込まれるという最悪の結果となってしまった。

「よくやった」なんて声はいったいどこにあがっているのか? 産経新聞社自身が、そういう空気の場に入り込んでいるだけじゃないのか。「正当化されるものでもない」などとオマケで付け加えているが、どう見ても産経新聞社がそういう空気を育てているではないか。

この新聞は先月も次のように報道していた。

  • IBM大逆襲にネットで賛否…情報流出犯に内容証明, 産経新聞社, 2008年12月26日

    これを知った多くのネット住民は一斉に反発。「ファイル共有ソフトで“自発的”に発信したファイルの削除・破棄を要求する権限など(IBMには)ない」といった声が噴出している。

    流出した情報は多くのユーザーが取得しているとみられるが、現在はどこにも公開されていない。内容証明を送られたユーザーが情報を削除し、IBMに名乗り出たかは不明だ。

「多くのネット住民」? 「噴出」? いったいどこの世界の世論の話か? 「多くのユーザが取得している」ですって?? それはあなた方自身の話ですか?

怖いのは、「つこうた私刑」に「冤罪」が発生する危険性が高まっていることだ。

以前から書いてきたように、Winny/Shareネットワークが危険なのは、そこにウイルスが蔓延しているからだけではない。WinnyやShareを使っていない人でも、Winny/Shareネットワークにファイルを放流されてしまうウイルスが登場した際の危険が大きい。

ウイルスによってWinnyがインストールされ、見えないところで稼働し、暴露ウイルスを自動的に起動して、「tab.txt」などの検索ログも勝手に作られて、あたかもそういうキーワードで検索してWinnyを使っていたかのようにされて、写真やメールを流出させられたら、どういうことになるか。

今の空気なら、それが本当に本人によるものなのか検証されることもなく、すぐに騒ぎ始められるだろう。何の落ち度もない人が、プライベート写真やメールを暴露され、あることないこと騒がれることになるだろう。誰もブレーキをかけられない。著名人は簡単に陥れらることになりそうで、おそろしいことだ。

それでも、「ウイルスにひっかかる奴が馬鹿なんだから、やっちゃえ」とか言う輩が出てきそうだが、ウイルス感染を防ぐことなんてできないんだよ。私だって防げない。そういうウイルスを作ることはソフトウェア開発者であればできてしまう。

ウイルス感染しても被害者が救われる世の中に、日本の向かっている方向をなんとか矯正できないものか。

関連:

*1 ただし、たとえばこの値が10のとき、必ずしもファイル全体が10人に渡ったことを意味しない。ファイルの半分ずつが20人に渡った状況でもこの値は10となるし、ファイル全体が5人に渡りファイルの半分が10人に渡ったときにもこの値は10となる。

*2 これは必ずしも、Winnyネットワークに当該ファイルが1つもないことを意味するわけではない。観測の巡回速度を向上させれば観測されていた可能性は残る。実際、最初に観測した時点で、被参照量の値が、6ノードに共有されたのに相当する値になっていたことからも、観測できない場合があることがわかる。

*3 同じ方法で2008年5月までのデータで再集計したデータ。

*4 正確には、これらの日の前24時間以内に発行されたこのノードからのキーが観測された。

*5 ポート0ノードのクラスタワードは、このクローラでは観測していない。

*6 この値が「2」のノードが多く見られるが、これは、流出ファイルが「vol.2」などのように複数セットで流出するためである。5個セットで流出するタイプであれば、流出元ノードでもこの値が「5」となることもある。

*7 IPアドレスが変わらない期間のうちに13個の流出ファイルのキーを送信していたという意味であり、実際にはもっと多く持っていたことも考えられる。

本日のリンク元 TrackBacks(85)

2009年01月17日

Winny媒介型暴露ウイルスによるファイル流出被害発生件数の推移 その2

昨年3月2日の日記に書いた「Winny媒介型暴露ウイルスによるファイル流出被害発生件数の推移」について、その後の状況を調べた。集計方法は同じ。グラフの表示方法を若干改良した*1が、読み方の注意点は前回と同様である*2

図1は、1日当たりの流出ファイル流通量(赤い点)(目盛りは左の縦軸)と、1日に新たに発見された流出ファイルの数(緑の線)(目盛りは右の縦軸)と、1日に新たに発見された同トリップ数(青の線)(目盛りは右の縦軸)の推移である。暴露ウイルスは一度に複数のファイルを放流し、その個数もまちまちであるので、緑の線は大きく変動する。被害発生件数は青の線で読み取ることができる。

グラフ
図1: 1日当たりの、流出ファイル流通量、新規流出ファイル数、新規流出件数の推移

新規流出件数(図1の青い線)の全体的な増減傾向を見るために、1か月ごとに集計したものを図2に示す。

グラフ
図2: 1か月当たりの新規流出件数の推移

暴露ウイルスの被害は減少傾向にあるようだ。2007年5月に被害が急増した*3が、2007年8月には元に戻り、その後は減少が続いた。ただし、ここ数か月は下げ止まっているように見える。

一方、流出ファイルの流通量(図1の赤い点)は、2007年5月をピークに減少に転じたものの、2008年1月ごろからは再び緩やかに増加している。

後で図5に示すように、Winnyネットワーク全体のノード数が減少し続けていることから、被害発生件数が減少しているのは利用者が減ったためとも考えられる。それにもかかわらず、流出ファイルの流通量は増大している。流出ファイルの流通量は、Winnyネットワークに流れるファイルに占める当該ファイルの割合を概ね示していると考えられる*4ので、流出ファイルの流通量が増加するのは、単純に、流出ファイルの総数(過去に流出したものを含む数)が増加することに伴って、ファイル全体に占める割合が増加していることによるものなのかもしれない。

あるいは、流出ファイルの収集家が増えている(あるいは減っていない)ことによるものとも考えられるが、全体的に見て、2007年2月から2007年11月にかけてブームが生じていただけで、それが過ぎ去った後の流通量の増加傾向は、元からのものだったとも言えるかもしれない。これについては、流通ファイルの寿命別の分析や、流出ファイル収集家の動向を集計することで解明できるかもしれない。

次に、拡張子偽装ファイルについて、流通量と新規発生数の推移を図4に示す。

グラフ
図3: 1日当たりの拡張子偽装ファイルの流通量と新規発生数

流通量(赤い点)が2008年1月あたりから急激に減っているように見える。それまでも減少していたが、質的な変化があって減少しているように見える。ウイルス作者が逮捕された(著作権法違反と名誉毀損罪で起訴)のは2008年1月24日であったが、これはその影響だろうか。新規発生数の減り方より急激に見えるので、拡張子偽装ファイル(ウイルスファイル)の収集家が減ったのかもしれない。これは、拡張子偽装ファイルの寿命を調べれば解明できるかもしれない。

新規発生数を1か月当たりで集計してみたところ、図4のようになった。2008年2月に半減しているが、元から減少していたので、これがウイルス作者逮捕事件の影響かどうかは不明だ。

グラフ
図4: 1か月当たりの拡張子偽装ファイルの新規発生数

拡張子偽装ファイルは大幅に減少したものの、それでも今もなお、新たに作り続けている輩がいて、1日に数百個ほど放流されているようだ。ここ数か月は、流通量も横ばいとなっている。


なお、暴露ウイルスはこれらの拡張子偽装ファイルだけに潜んでいるわけではなく、zipファイルの中に含まれるものもあるので、この結果から単純にウイルスが減ったと言うことはできない。

最後に、Winnyネットワーク全体のノード数の推移を図5に示しておく。引き続き減少中のようだ。

グラフ
図5: Winnyネットワークのノード数の推移

Winnyにおける流出ファイルの流通寿命と共有数

上記図1の集計に用いたデータから、それぞれのファイルの寿命*5を求めてみた。

図6と図7は、流出ファイルのそれぞれについて、最も古いキー時刻から最後に観測された時刻までの経過時間(日数)をプロットしたものである。縦軸がその日数であり、横軸は、図6では最後に観測された時刻とし、図7では最初に観測された時刻とした。ファイル数は8万4千個であるが、グラフが濃くなりすぎたので半分に間引いて表示している。

グラフ
図6: 流出ファイルの寿命日数(横軸は最終観測時刻)

グラフ
図7: 流出ファイルの寿命日数(横軸は最初の観測時刻)

これから何が読み取られるか。

まず、図6の右端に集中している部分は、今も流通し続けているファイルを示している。それより左にプロットされたファイルは、今は流通していないファイルである。ここで、縦方向に集中した塊がいくつか見える。たとえば、2008年11月中旬から12月中旬までにかけた大きな塊がある――(A)し、2008年4月、3月や、2007年9月にも同様の塊があるように見える。

これは、そこにプロットされたファイルがその時刻以降観測されなかったことを意味しているのであるから、そのときに集中して、流出ファイルの共有が止まったことを意味している。流出ファイルの共有をやめた者がいたのだろうか。

これらの塊は図7においては斜めの線状の塊として現れている。(A)の塊に対応する斜めの塊について見ると、2007年11月までに集中していることから、流出ファイルを2007年11月まで収集していたノードが、その共有を2008年12月中旬にやめた(あるいは2008年11月中旬ごろに共有状態にして12月中旬ごろにやめた)ということだろうか。

これらが、一人の者の行動が現れたものなのか、それとも、同時期に中止する者が多数現れたものなのか、別の集計で調べてみればわかるかもしれない。

次に、「被参照量」から算出した共有数(転送されたブロック数を表す被参照量をそのファイルサイズで正規化した値)の(各ファイルにおける)最大値と、寿命日数の関係を図8に示す。(8万4千個の全データ。)

グラフ
図8: 寿命日数(横軸)と共有数(縦軸)の関係

寿命の長いものが共有数も多くなる傾向は若干見られるが、寿命が短いものでも共有数が大きくなっているファイルも多数ある。

また、共有数について900あたりに上限があるように見える。これは何だろうか。流出ファイルの収集家が900人くらいいるためなのだろうか。(関連「キンタマコレクターは約1000人もいるらしい」)

図9は、ファイルの出現時刻ごとにその共有数をプロットしたものである。

グラフ
図9: 出現時刻ごとの共有数の分布

これを見ても、共有数900あたりに上限が見られる。これが流出ファイル収集家の人数を表しているとすると、人数はほとんど変化していないということだろうか。

また、2007年5月上旬に、共有数が3000くらいまで伸びたという特徴が見られる。やはりこのときは異常な事態になっていたようだ。

最後に、流出ファイルの流通寿命日数の頻度を示す。

寿命	件数	累積割合
0	9002	10.7%
1	1979	13.1%
2	1220	14.5%
3	918	15.6%
4	723	16.5%
5	670	17.3%
6	635	18.0%
7	563	18.7%
8	514	19.3%
9	401	19.8%
10	348	20.2%
11	369	20.6%
12	372	21.1%
13	377	21.5%
14	346	21.9%
15	301	22.3%
16	290	22.6%
17	285	23.0%
18	269	23.3%
19	255	23.6%
20	257	23.9%
21	276	24.2%
22	242	24.5%
23	243	24.8%
24	233	25.1%
25	230	25.4%
26	217	25.6%
27	218	25.9%
28	207	26.1%
29	197	26.4%
30	210	26.6%
(以下略)

寿命が0日だった、つまり一瞬観測されただけでそれ以降現れることのなかった流出ファイルは、約8万4000件のうちの約9千件で、10.7%を占める。寿命が1日だった(翌日まで観測された)ものが1979件で、0日のものと合わせて13.1%を占める。寿命が10日以内だったものが 20.2%を占め、30日以内だったものが26.6%を占めている。つまり、30日より長く観測された流出ファイルが 73.4% を占める。

なお、この値は、最近流出したばかりでこの後どうなるか未定のものも含まれているので、短いものが多めにカウントされている点に注意。

これをグラフにしたものを図10に示す。

グラフ
図10: 寿命日数の頻度分布

「流出したもののすべてが永久に流通するわけではない」とよく言われるが、短期間で消えるものは思ったより少ないようだ。(もっとも、このクローラで一回も観測されなかったものが存在して、ここにはカウントされていない可能性もあるが。)

これは、流出ファイルを集めて共有し続けている悪質な輩がたくさんいるからであり、この流通を止め、存在期間を短くする方向になんとかもっていけないものだろうか。

*1 観測停止期間の値を0として表示するようにした。赤い点が0を示している期間が観測停止期間である。

*2 緑の線と青の線がときどき急激に高い値を示している部分があるが、これは、観測停止期間の直後に起きているもので、観測停止期間中に発生した流出のファイルは、観測再開後に集中的に新規発見として観測されるため、このように件数が急激に高い値を示す。特に半月にわたって停止していた6月前半の直後の高い値が目立つが、これらの部分は無視して読めばよい。同様に、赤い点がときどき極端に小さな値を示している部分があるが、これも1日のうち部分的に観測が停止していた時間があるために観測数が少なくなっていることを意味している。

*3 2006年11月くらいまでの値は、観測の初期段階であるため、古い流出ファイルが初めて観測される事態が起きるため、他の期間より大きな値となっていると考えられるので、信頼できない。

*4 全体ノード数の減少にともない、クローラーの巡回周期は短縮化されるが、時間あたりに観測されるキーの総数は一定である(1日に約1500万個のキーを観測している)。

*5 正確には、寿命というより、現時点での生存期間。

本日のリンク元 TrackBacks(65)

2009年01月18日

続・Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根

明日から、Winny作者著作権法違反幇助事件の控訴審が始まるそうだ。個人的心情としては、金子さんには無罪になってほしいと思うが、そのためにWinnyに対する評価がねじ曲げられたり、学究的真理が歪曲されるようなことがあってはならない。このことについては地裁判決が出る前日の日記に書いた。

それから2年もの月日が流れたが、その間にも懸念していた状況は続いた。特に、一審では検察側が、作者がアップデートを続けていたことを幇助とみなす理由の一つとしたことから、アップデートが許されないことによってウイルス被害が続出しているというアピールが展開された。金子氏本人も一審の公判で、フラッシュメモリを手にとって裁判長に見せるアピールをしていた。ソフトウェア作者にとってアップデートを続けるのは当然のことであるというのは、その通りだと思うが、そのアピールが弁護戦術的に世間に広められたことから、世間の人々に「Winny媒介型暴露ウイルスの被害は簡単に防げる」「できるのにやらせてもらえないんだ」という誤解が広がってしまった。先日、敬愛する落合先生さえそのような誤解に基づくことをブログに書かれていて残念に思った。

携帯電話による弊害があるから携帯電話はなくしてしまえ、winnyがあるから家庭が崩壊しかねないからwinnyをなくしてしまえ、といった発想を始めると、飛行機がなければ墜落事故も起きないから飛行機をなくす、家庭で火を使わなければ火事が起きないからガス器具等を使えなくする、といったことになりかねません。(略)

winnyについては、開発者による改善が行われない現状の中で、それを使うべきかということを、まず考える必要があり、使うという選択をする場合も、万が一(千が一以上の確率かもしれませんが)ウィルスに感染した場合にも最悪の結果を招かないため、共用PCでは使わない、流出してはならないファイル等が入ったPCとは別のPCで利用する、といった最低限の注意は欠かすべきではないでしょう。

[話題][P2P]Winny利用の果て――家族崩壊した銀行マンの悲劇, 弁護士 落合洋司(東京弁護士会)の「日々是好日」, 2009年1月14日

なぜ残念なのかは、2006年12月12日の日記に書いた通りである。

また、MIAUの発起人の一人である榎本温氏*1にいたっては、根拠なく「ごく簡単にセキュリティ対策を講じることができる」と断定したうえ、他の研究者らに対して、対策しないのは「情報漏洩に対する積極的な幇助行為があると認められる」などと、身勝手な論が飛び出す始末だ。

「できるのにやらない」はけしからんという率直な立場

刑法の世界だと、死にそうな奴を発見したところで、助けなくても、犯罪にはならないが、いったん助けて、それからやっぱり無理だと言って放置したら、遺棄罪や遺棄致死罪になる。これはいったん手を出したことで作為義務が生じるから。(下手に助けなければ他の人が助けてくれたかもしれないわけだから、手を出したことでかえって状況が悪化している。)

それと同じように、Winnyをリバースエンジニアリングして、プロトコルやネットワークを研究して、それに対するセキュリティ対策ソフトや何らかの成果を公開しているセキュリティ研究者に対しては、もはやWinny作者と同様の作為義務があって(これを不思議に思うことがないよう、わざわざ上の例を示していることに思い至るべし)、ごく簡単にセキュリティ対策を講じることができるのに、それをせずに、自らのソフトウェアのみを改良する行為は、セキュリティホールを悪用した情報漏洩に対する、積極的な幇助行為があると認めることができるのではないかと思われる。

Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか, ものがたり, 2009年1月13日

「セキュリティホールを悪用した情報漏洩」とあるが、Winnyにセキュリティホールがあるせいでウイルス被害が発生しているわけではない*2。たとえば、メールソフトで添付ファイルをダブルクリックで開けるのをセキュリティホールと呼ぶかといえば、(技術論としては)呼ばないわけで、Winnyでダウンロードしたファイルを開けるのは、Winnyのセキュリティホールではないし、たとえば、hostsファイルを自由に書き換えられることをセキュリティホールと呼ぶかといえば、(技術論としては)呼ばないわけで、Winnyのアップロードフォルダに自由にファイルを入れられることがセキュリティホールかといえば、それは普通の機能であってセキュリティホールではない。

ファイルを開き難くするとか、設定ファイルを書き換え難くするという対策は、やらないよりやった方がよいが、効果は限定的であろう*3。また、それはWinnyの改良によって行うしかないわけではなく、外付けのソフトウェアによって実現することもできる。ウイルス対策ソフトが一般的に実施している対策と同様である。しかし、対策ソフトを作ったとしても使ってもらえるかという問題がある*4。第三者の対策ソフトが出ても使わない人はかなりの数にのぼると思われるから、Winny開発者自身がバージョンアップとして出せば普及するだろうということはあるかもしれない。

「Winnyをリバースエンジニアリングして、プロトコルやネットワークを研究して、何らかの成果を公開しているセキュリティ研究者」は、今現在、数十人くらいいるだろうと思う。それぞれ、情報漏洩被害を食い止めたいと願って研究を進めているところで、何人かの人の事例を私は知っているが、それを榎本温氏は「情報漏洩に対する積極的な幇助行為」と非難する。

彼がそのように言い出したのは、Winny作者が対策しないことを「けしからん」と言う人がいたからなのだろうか。しかし、「Winny研究者」でそのようなことを言う人を私は知らない。「Winny研究者」は、効果が限定的となる可能性やいたちごっこになる可能性*5を踏まえて行動しているので、Winny作者が対策しないことを「けしからん」などと考えるはずがない。

一般の人の中には、Winny作者が対策しないことを「けしからん」と言っている人はいるかもしれない。たしかに、匿名掲示板などで罵詈雑言としてそのように言う人を見かけるが、それは、作者ら自身が「簡単に対策できる」とアピールしてきたことが、ブーメランとなって返ってきていると言えるのではないか。

本来、係争中のこの事件において、被告の責任に関して情報漏洩問題は関係がないはずだ。情報漏洩のことでWinnyに対する無根拠の悪印象が生じて、その悪印象に基づいて判決が下されるようなことがあってはならない。だからといって、それを阻止しようと、Winnyがもたらす不利益(漏洩情報の無限流通とそれが人々にもたらすモラル崩壊の問題)の原因から目をそらそうとする行いは慎むべきである。

控訴審が始まることで再び様々なWinny論が展開されるようになるだろう。結論ありきのトンデモ論が出てきたら、ちゃんと批判していくことが大切である。わかっている人たちには、そうした労を惜しまないようお願いしたい。

関連

*1 法律の専門家であるかのような発言をされているが、この方は本当に法律の専門家なのだろうか? 所属や経歴が不明なのでよくわからない。

*2 Winnyにはバッファオーバーフロー脆弱性の存在が確認されている(JVN#74294680)が、暴露ウイルスはそれを突いて起動するわけではない。

*3 ファイルを開き難くしても、開く人は開くだろうし、設定ファイルを書き換え難くしても、高度な方法で実現しないと回避されてしまう。抜本的な対策は、ウイルスの流通を阻止することであり、それについては2006年7月2日の日記「ウイルス駆除のためWinnyのCacheフォルダを仮想ドライブ化してはどうか」に書いた。これを個人で実現した人もいる

*4 私もこれまでに、対策ソフトの開発を検討したことがあるが、広く使ってもらうためにはそれなりの信頼あるところからリリースされる必要があり、また継続的メンテナンスが必要であることからタダでできることではなく、適切なパートナーが確保できず断念したことがある。

*5 新たな別のWinny風ソフトウェアに移行してしまう可能性を含む。

本日のリンク元 TrackBacks(10)

2009年01月25日

Nyzillaをリリースすべきか迷う

29日補足: 以下について「u-aizu.ac.jpは国立大学ではない」といった指摘を受けた。「ある国立大学」とは図1のことではないのだが、最初の段落が長過ぎて読み難かったようなので、改段落を2つ挿入して段落を3つに分割する修正を施した。

大学や会社で稼働するWinny

ある国立大学の事務系部局のものと思われるドメイン名のIPアドレスが、2006年からずっとWinnyネットワーク上に観測されている。これは何なのかと以前から気になっていた。[改段落挿入29日]

最近はどうなっているのかと、2009年1月20日〜24日の期間に「WinnyWalker」で観測されたWinnyノードの全部について、IPアドレスをDNSで逆引きしてドメイン名を集計してみたところ、他にも大学のドメイン名上で稼働しているWinnyノードがいくつか見つかった。[改段落挿入29日]

研究上の実験目的と思しきものを除いて7つあった。そのうち、25日の時点でこちらからTCPで接続できたのは、図1のところだった。

画面キャプチャ
図1: u-aizu.ac.jp上のWinnyノードの稼働状況
(2009年1月25日午前6時ごろ「Nyzilla」による閲覧)

これは何なんだろうか。FQDNが大学のドメイン名の直下のホストになっている。念のためIPアドレスの所有者も調べてみたがこの大学のものだった。「WinnyWalker」の記録を調べてみたところ、このホストのノードは、2007年5月から2008年7月まで継続して稼働した後、再び2009年1月11日から継続して稼働しているのが観測されている。その他の挙動からして、研究上の実験というより、私的な用途で普通に本物のWinnyを長時間稼働させた状態のように見える。

他にも、co.jp の会社のドメイン(ISPを除く)上で稼働しているWinnyノードも15か所見つかった。それらの多くは、「dns.example.co.jp」「ns.example.co.jp」「gw.example.co.jp」「router.example.co.jp」といったホスト名で稼働していた。Port0ではないノードも4か所あり、25日朝の時点で、こちらからTCPで接続できて「Nyzilla」で閲覧できるところも2か所あった。いずれも小さな会社のようだ。

大学関係では他に、「hiroshima-u.supercsi.jp」というドメイン上のノードが2つ見つかった。これは何だろうか。

画面キャプチャ
図2: hiroshima-u.supercsi.jp上のWinnyノードの稼働状況
(2009年1月25日午後6時ごろ「Nyzilla」による閲覧)

「Nyzilla」に類する機能をWebページ上で提供する「nygi」というページが以前はあったが、現在は「Internal Server Error」となって動いていないようだ。

2006年6月11日の日記「Winnyの可視化と無断リンク禁止厨の共通関係に見る問題の本質」に書いていたように、自分が何を送信可能化しているか(そして他人が何を送信可能化しているか)自覚するべきであるという点で、こういうブラウザが誰にでも利用できるとよいと思うのだが。

「WinnyPot」の製作

問題の国立大学の事務系サブドメインのノードは、どうもPort0ノードのようで、キーの発信もほとんどなく、隣接ノード情報として観測されているようだ。研究上の実験目的のものにしては、事務系のサブドメインというのが解せない。

とりあえず、クローラ「WinnyWalker」、ブラウザ「Nyzilla」に加えて、接続待ち受け型のWinnyネットワーク観測プログラム「WinnyPot」の製作も始めてみた。これでPort0ノードの観測ができるかもしれない。

行動ニーゲティング広告「ad4ny」とかどうか

Webページ上で、アクセス元のIPアドレスから、Winnyで共有しているファイル群を調べ出して、それに応じた最適な広告を表示するというネタはどうか。

本日のリンク元 TrackBacks(100)

2009年01月31日

旧はてなブックマークで社内情報が漏洩していた可能性

昨年11月上旬に、はてなブックマークでプライベートアドレスが登録されていることが話題になっていた。

たとえば次などがそれだ。

「こういう使い方をする人がいるとはね」と思ったが、ここで気になったのは、タイトルが登録されていることだった。これらのタイトルが、はてなのサーバがアクセスして取得したものでないことはあきらかである。そういえば、はてなブックマークのブックマーク登録用ブックマークレット(旧版)は、次のようになっていて、ユーザが閲覧中のページのタイトルを取得して、b.hatena.ne.jp に送信しているのだった。

javascript:window.location='http://b.hatena.ne.jp/add?mode=confirm&title='+escape(document.title)+'&url='+escape(location.href);

私の勤務先にも組織内部からにアクセスを限定しているサーバがあるが、大丈夫かと心配になり、調べてみたところ、2つのページが登録されていた。

画面キャプチャ
図1: 組織内サーバのページがタイトル付きではてなブックマークに登録された事例 その1

幸い、とくに問題のある情報が漏れたわけではなかった*1。うちの研究所や大学のようなところでは、機密に該当する情報を扱うことは少ないだろうからいいにしても、営業機密にあたる情報をタイトルに含み得る企業では、死活問題になるケースもあるのではないか。

URLがRefererで送出されるのはもはやしかたのないことだろう(だから、URLは社内サーバであろうとも公開前提の内容とするべきである)が、タイトルについてはそうはいかない。これは、はてなのブックマークレットがタイトルを送信するのが不適切だ。

この問題は、そのすぐ後の11月下旬にリニューアルされた新はてなブックマークで、対策されていた。

新はてなブックマークでは、はてなのサーバが当該URLにアクセスして得られたタイトルを登録するようになっているため、組織内限定サーバのページタイトルが登録されてしまうことはなくなった。

しかし、過去に登録されてしまったものはそのまま放置されている。11月に話題になってからだいぶ経ったので、こうした問題に敏感な企業では既に対策をとられたのではないかと思うが、はてなからはアナウンスがないので、まだこの事態を知らない企業もあるのではないか。

そこで、私が調べられる範囲で同様の事例を探してみたところ、いくつか見つかった。以下は問題の少ないと思われる事例である。

画面キャプチャ 画面キャプチャ
図2: 組織内サーバのページがタイトル付きではてなブックマークに登録された事例 その2

この事例は、社内に設置されたRSSフィーダか何かがブックマークされた事例のようで、タイトルは公開サイトのものなので、許される範囲のものだろう。

画面キャプチャ
図3: 組織内サーバのページがタイトル付きではてなブックマークに登録された事例 その3

この事例も、社内ブログか何かだろうか、許される範囲のものと思われる。

ここでは研究系のところだけ示したが、営業機密にかかわるようなところでは、同様の事案がないか確認した方がよいのではないか。

また、ブックマークレットにはこういう危険があるので、業種、職種によっては、ブックマークレットの使用に制限を設けるべきところもあるかもしれない。

*1 一応、はてなに削除を依頼してみたが、どのように判断されるだろうか。

本日のリンク元 TrackBacks(100)

最新 追記

最近のタイトル

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|
最新 追記