スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

LimeWire、個人情報流出への懸念の矢面に立つ

P2Pによる個人情報や組織内の情報の流出の危険性についてのお話。これに関しては、欧米よりも日本のほうが、ある意味では一歩先行く状況かもしれない。ここで述べられているのは、「誤って」個人情報や組織内の文書を共有してしまう危険性を論じているので、日本のユーザにとって見れば片腹痛いといったところかもしれない。ただ、根本的なところでは一緒なんだろうけど。

原典:Slyck.com
原題:LimeWire Bears Brunt of Identity Theft Concerns
日付:October 30, 2006
著者:Thomas Mennecke
URL:http://www.slyck.com/story1328.html

恐ろしい真実が、オンラインの世界の一部に存在する-それは個人情報の流出*1である。P2Pネットワークが、他の形態のインターネットコンピューティングよりも本質的に危険であるということが、公式の研究からは示されてはいなかったけれども、その広範囲における使用は、P2Pに含まれる多くの問題の最前線に、セキュリティの懸念を挙げた。

長期にわたって、インターネットコミュニティは、P2Pプログラムは個人情報を流出させることもあるだろうと警告されてきた。ファイル共有ユーザ に よる日本の軍事機密情報のアクシデンタルな流出について、多くの記事が書かれた。加えて、銀行関係の書類、納税情報、その他機密文書がインデックスされ、 ネットワーク内のどこからでもアクセスできるという潜在的な危険性について、ネットユーザは絶えず、警告され続けている。

個人情報の流出への脅威が、オンラインの世界を悩ませ続けるということはほとんど疑いのないことである-そして、特にP2Pに非常に集中している。エンドユーザのこのセキュリティへの脅威は、ある一つの理由のために生じる。

Morpheus, Kazaa, BearShare, Azureus, WinMXに関わらず、P2Pプログラムのインストールのプロセスにおいて、空の共有フォルダがインストールフォルダ内に生成される。たとえば、エンド ユーザが「u Torrent」をWindows XPにインストールすると仮定しよう。プログラムは「C:/Program Flie/u Torrent」にインストールされる。そのとき、共有ファイルとしてサブフォルダも生成され、C:/Program Files/u Torrent/sharedの位置に作られる。

この共有フォルダ内には、何も入ってはいない。音楽ファイルも、ムービーファイルも、機密事項の書かれた納税や、会計の書類も含まれてはいない。エ ンドユーザのPC内には銀行アカウント情報が含まれるかもしれない-その中には、オンラインパスワードや退会のための情報がWordファイルで揃っている かもしれない。LimeWireのようないくつかのクライアントは、エンドユーザに手動で共有フォルダを選択することを強制する。その文書が「共有」フォ ルダにおかれなければ、文書がP2Pネットワーク上で共有されるということは根本的に不可能である。

それでは、どのようにして所得申告の書類などが、たとえばGnutellaネットワークにインデックスされたのだろうか?

それは非常に単純である。エンドユーザは、デフォルトで作られる空の共有フォルダを変更しなければならない。PCに詳しい人であれば、機密文書以 外 のものだけを含む特定のフォルダを選択する。残念なことに、すべてのインターネットユーザがセキュリティに関して十分な知識を持っているわけではなく、不 注意にハードディスクを丸ごと共有してしまうこともある。もっと簡単に言えば、エンドユーザが共有フォルダを「C:/」に変更する、ということである。そ うすれば、ハードディスク全体(ハードディスクにあるすべてのファイル)が共有されるのである。

この状況は非常に多く見られ、Denver District Attorneyオフィスも注目することとなった。

「Denver District Attorneyオフィスは、ファイル共有、とくにLimeWireを利用しているコンピュータユーザに緊急の警鐘をを鳴らしている。ルーチンな情報流出 の調査から、デンバー警察署は家宅捜索を行い、およそ75人の個人的、またはフィナンシャルな情報を取り戻した。納税記録、銀行アカウント情報、オンライ ンでの支払いの記録とその他の記録などの情報は直接、LimeWireに用いられたコンピュータから流出したと考えられる。」

これがDenver District Attorneyオフィスからのニュースアラートであることを考えると、この75人にとって非常に深刻な問題となっていることを示している。どのようにして、どのようにして彼ら75人の情報を検索したのだろうか?

「国内のコンピュータにある、すべてのファイル、すべての文書に違法にアクセスすることを可能にするために、ファイル共有プログラムが利用(exploited)されたとみられる。」

Denver District Attorneyのプレス声明は『exploit』と強調するが、取り立てて専門的な技術が用いられたわけではない-そして、この状況は、 LimeWireに特有のものではない。多くの機密文書は標準的なテキストベースのファイル形式であるので、テキストに関連した文書の検索クエリを用いれ ば、膨大な数の検索結果が得られるだろう*2

一部のエンドユーザは、最新のセキュリティアップデート、シマンテックのアップデート、強固なファイヤーウォールなどを備えているかもしれないが、 この件に関しては、それらで解決できるものではない-Limewireはウィルス、スパイウェアを含まないし、firewall-to-firewall 転送もサポートしている。言い換えると、これらのセキュリティ技術はハードディスク全体の非共有をするわけではない。

rootディレクトリやハードディスク全体が共有されていないことを確実にしておくことは、エンドユーザに義務として課される。P2Pの新規ユーザは、LimeWire.comの提供しているユーザーガイドをすべて読むべきであり、それに加えて、安全にP2Pを利用することについてのマニュアルにも目を通すべきであろう。エンドユーザは、インターネットの力に用心深くなくてはならない-責任を持って共有するか、それとも何も共有しないか-

*1indentity theft、直訳すると個人情報の盗難であり、個人情報流出を意味しているわけではないのだけれど、こと日本においては、先ごろの騒動を考えると「流出」としてしまったほうが、理解しやすいと思われるので、情報流出とする。

*2ちょっと回りくどい表現だけれども、たとえば、MS Word形式の拡張子『.doc』やPDF形式の拡張子『.pdf』で検索を掛けるとかなりの数の個人的な文書や内部文書が引っかかるかもしれないってこ とでしょう。それに『決算』とか『秘』などという言葉を加えると、この手の人たちのほしがる文書が引っかかるかもしれない。

簡単に言ってしまえば、設定ミスでドライブ全体を共有してしまったり、誤ってパーソナルなファイルの入ったフォルダを共有してしまう人がいて、それ によって個人情報が流出しているよってことみたい。まぁ、日本でも同じようなことをしている人が、チョコチョコいるようですが。マイドキュメントごと共有 している猛者とか。それ以外でも、HybridP2Pなんかだと、"マイドキュメントを共有している&PCのアカウントを本名にしている"な人をフルパス で参照すると、本名モロばれとか。まぁ、その辺はかわいいもんですが。

本に限らずだろうけど、P2Pの敷居が、その危険性や脅威の可能性に比べて低くなってるのかもしれない。別にそんなに高いものでもないとは思う け れど、少なくとも基本的な知識や構造の正しい理解、それに関する周辺的な知識ってのをもってないと、個人情報云々だけでなく、トラブルに陥る可能性が高い だろうし。とりあえず、PCの基本的な知識がない人は使わんほうが良いと思う。まぁ、それは初心者だけに言えた話じゃないんだろうけど。

心者でも、マニュアルを穴が開くほど読みながら導入する用心深い人もいるだろうし、自分は上級者だと思い込んで肝心な知識を持っていない中級者、ヒューマンエラー的なミスを犯してしまう上級者もいるだろうから、一概に初心者だけが注意すべきって話でもないだろうね。

で、日本ではそんなことよりも、ウィルスによる情報流出のほうが深刻だったりする。いわゆる金玉ウィルスですな。引用記事にある不注意な設定ミス による情報流出とは異なるけれど、それでもダウンロードしたファイルを扱う際の不注意や、知識のなさが問題だと言えば、根本は同じなのかもしれない。

ntiny系のウィルスも、情報流出騒動のずっと前から存在しているわけで、仁義なきキンタマ等の極悪なキンタマが現れる前から、回避する術は知 れ渡っていたはず。にもかかわらず、これほど多くの人が引っかかっているのを見ると、P2P歴に関わらず、一部の人たちの致命的な知識不足が否めない感が ある。

は、なぜ知識が不足してるのだろうか?クライアントで検索可能なPureP2P(nyとかshareとか)では、ファイル共有はP2Pだけれど も、それ以外の部分では自己完結的だと思うのですよ。クライアント立ち上げて、検索して、登録して、放置。おそらく導入やトラブルのときには、本なりサイ トなりで調べたりするんだろうけど、それ以外ではまったく興味がないって人が多い気がする。まぁ、P2Pソフトを使うことが目的じゃないんだから、そりゃ そうなんだろうけど、危ない橋を渡っている割には、危険に無自覚っちゃ無自覚だよねぇ。

Trackback

Trackback URL
http://peer2peer.blog79.fc2.com/tb.php/22-594e849c

Comment

Comment Form
公開設定

プロフィール
heatwave Author
:heatwave

RSS Jamendo twitter tumblr Creative Commons Attribution 2.1 Japan
ブログ内検索
記事リスト
最新の記事
全記事一覧
他所で書いてるブログ

P2Pとかその辺のお話@はてな

アーカイブ

カテゴリー
最近のコメント
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。