情報漏えい急増、企業を脅かすWinnyウイルスの破壊力(上)

2006/3/15

 「個人情報保護法以降、業務データの持ち出しや私用PCの業務利用は禁止していた。しかし、対策以前に持ち出されたデータがWinnyをインストールした私用PCから流出した」。顧客の個人情報を漏えいさせてしまったあるベンダの担当者は悔いる。データ管理には自信を持っていたが、対策以前のデータがPCから漏えいし、約2000人分の個人情報がWinnyネットワーク上に流出した。このベンダはWebサイト上での謝罪に追い込まれた。

 PtoPネットワークを使ったファイル共有ソフトウェア「Winny」を悪用するワーム・ウイルスによる情報漏えいが、立て続けに起きている。2006年1月から40件以上の情報漏えいが報道された。個人のデータなど報道されない情報漏えいを含めると、流出件数は膨大になる。

 Winnyウイルスによる情報漏えいは2004年にも話題になったが、2005年後半からは警察や自衛隊、原子力発電所関連、通信会社など社会インフラを担う官公庁や企業からの漏えいが相次いだ。漏えいの危険はすべての企業にあるといっていい。流出の背景や技術的な解説、そして企業が採り得る対策などを3回に分けて紹介する。


◆私用PCの業務利用が危険

 Winnyウイルスによる情報漏えいで顕著なのは、私用PCを使っていてWinnyウイルスに感染したケースが多いことだ。「Antinny」などのWinnyウイルスにPCが感染すると、PC内のファイルが勝手にWinnyの公開フォルダに入れられてしまう。公開フォルダに入れられたデータはほかのWinnyユーザーが自由にダウンロード可能。時間と共にファイルは拡散する。私用PCに業務データや顧客情報を保存していた場合は、そのデータもWinnyネットワーク上でダウンロード可能になってしまうわけだ。

 防衛庁では2月23日、海上自衛隊の暗号関係文書などの漏えいが明らかになった。海自佐世保基地配備の護衛艦「あさゆき」の関係者の私用PCがWinnyウイルスに感染し、データを漏えいした。陸上、航空両自衛隊でも漏えいが発覚。データを自宅に持ち帰り、自宅のPCで仕事をしようとしていたとされる。

 防衛庁は漏えい発覚後に、私用PCでの重要情報の取り扱いを禁止し、Winnyなどのファイル共有ソフトウェアを私用PCから削除するよう指示した。さらに3月8日には私用PCの業務利用を一切禁止し、業務で使用するPCを公費で支給する方針を打ち出した。陸上自衛隊、海上自衛隊、航空自衛隊には約25万人の職員がいるが、PCの支給は7万台に達する見込みだ。

 競売事件の裁判資料などが流出した東京地裁も、データを自宅に持ち帰り、漏えいした。最高裁は漏えい発覚後に、業務データを私用PCに保存しないことや、保存してあるデータの削除を指示した。

1月以降に判明したWinnyウイルスによる主な情報漏えい
判明日、発表日
官公庁、企業など
流出した情報
1月13日
富士通
コールセンターに問い合わせた1950人分の顧客情報
1月19日
筑波大学
学生所有のPCから臨床学習の患者情報などが流出
1月27日
日本郵政公社関東支社
顧客リスト378件と、書留の受領証リスト2460件などの個人情報
1月27日
中部電力
川越火力発電所の点検記録など
2月2日
関電プラント
火力発電所関連研修関係資料、設備点検報告書など
2月9日
各務原市消防署
火災原因調査に関連する個人情報などが漏えい
2月13日
京都刑務所
受刑者、刑務間など5663人分の個人情報。内部文書なども漏えい
2月23日
防衛庁
海上自衛隊の暗号関係の文書。重要度が高い「極秘」の文書を含む
2月23日
名古屋市消防局
消防局員の個人情報などが流出。同市消防局は05年11月にも漏えい
2月23日
NTT東日本・西日本
1396件の顧客情報と229人分の社員情報
2月24日
東京地裁
競売情報に関連する149人分の個人情報。裁判官のメモなども
3月2日
富士宮信用金庫
業務委託先の社員から1万3619件の顧客情報が漏えい
3月3日
岡山県警
約1500人分の操作関連情報。巡査長の私用PCから漏えい
3月6日
日本郵政公社九州支社
116人分の集金一覧リストと21人分の保険団体加入者リスト
3月7日
愛媛県警
捜査資料や犯罪被害者の個人情報、DNA鑑定資料なども
3月8日
NTT東日本・西日本
NTT西日本社員のPCから237件の顧客情報と約2000人分の社員情報
3月10日
アルプス技研
元社員のPCから社員情報と661件の顧客情報が流出、2月23日に判明

 民間企業でも私用PCから情報漏えいするケースが相次いでいる。NTT東日本は約1400人分の顧客情報を流出させた。NTT東日本栃木支店の社員が業務データを自宅に持ち帰り、作業をしていた。そのPCがWinnyウイルスに感染、漏えいしてしまったようだ。岡山県警や愛媛県警などのケースでも私用PCからデータが漏えいしている。私用PCの利用がWinnyウイルスによる情報漏えいを招いているのは明らかだ。

◆対策は「徹底しかない」のか

 漏えい事件発生後の対策で多いのは、私用PCの業務での使用禁止だ。自宅のPCを社内に持ち込んでもいけないし、業務データを持ち帰って私用PCで作業することも禁止する。しかし、多くの企業では私用PCでの業務を禁止すると、業務自体が回らなくなることが考えられる。自宅で作業せざるを得ない業務環境を変えるのは難しいのが実際だ。“しかたなく”持ち帰った作業で漏えいする危険がある。

 また、私用PCの業務利用を禁止しても、私用PCに過去の業務データが残っているケースがある。冒頭で紹介したあるベンダのケースでは、個人情報保護法をきっかけにデータ管理を強化してデータの持ち出しを禁止していた。しかし、対策以前のデータがPCに残っていて、流出してしまった。そもそも過去の業務データは管理されていなくて、どのデータを誰が保有しているか、企業が把握していることは少ない。私用PCから業務データを完全になくすには、1台1台のPCのハードディスクをのぞく必要があり、現実的ではない。

 では、Winnyの利用自体を禁止することは有効だろうか。漏えい事件を受けて防衛庁や警察庁は私用PCでのWinnyの利用を“厳禁”とした。しかし、Winny自体には違法性がなく、一般企業が社員のプライベートな利用を禁止するのは難しいとみられる。また、禁止したところで家族がWinnyを使ったり、本人が故意で使うケースも考えられる。

 冒頭のベンダは情報漏えい対策として、業務データの持ち出し禁止を基本に、もし持ち出す場合は利用するPCを登録した上で、業務用PCと同等のセキュリティレベルにすることを規定している。具体的にはデータ暗号化やBIOSパスワードの設定などだ。もちろん業務で使うPCではWinnyの利用は禁止。担当者は「この対策を徹底するしかない」としているが、個人が保有している過去の業務データやWinnyの扱いは、個人の善意に頼るしかないのが現状だ。

(@IT 垣内郁栄)

[関連リンク]
IPAのWinnyウイルス対策ページ

[関連記事]
情報漏えい急増、企業を脅かすWinnyウイルスの破壊力(中) (@ITNews)
情報漏えい急増、企業を脅かすWinnyウイルスの破壊力(下) (@ITNews)
ISS、同社製品でWinnyの通信を検知できるように (@ITNews)
止めます! Winnyからの情報漏えい、フォーティネット (@ITNews)
「情報がWinnyに流出?」を調査、ネットエージェント (@ITNews)
Antinnyの威力は800Mbps〜ボットネット調査から (@ITNews)
40%のAntinny駆除に成功するも、古いWindowsがネックに (@ITNews)

情報をお寄せください:


@IT Special

- PR -

TechTargetジャパン

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

TechTargetジャパン