カーネギーメロン武田教授、「日本はサイバーテロ状態」

2006/3/25

 カーネギーメロン大学日本校は3月24日、東京都内で情報セキュリティセミナーを開催、このなかで同校の武田圭史教授は「現在、日本のセキュリティは最悪に近い状態にある」と語った。

カーネギーメロン大学日本校の武田教授

 武田氏は、国内で情報漏えいが多発しているWinny上の暴露ウイルスについて、「マスコミでは組織の情報漏えいがクローズアップされているが、プライベートな情報の流出が深刻。人間関係が破壊されるなど、クレジットカード情報の流出よりもリスクが高い。結果的に日本はいま、サイバーテロのような状態だ」と話した。

 武田氏は、2006年1月から3月中旬にかけて一般報道された情報セキュリティ事故の内訳を示し、「Winnyを通じた情報漏えい、メーリングリストの操作ミス、Webアプリケーションの脆弱性による情報漏えい、個人情報入りパソコンまたはメディアの紛失・盗難に対応すれば85パーセントの事故は防げる」と指摘。

 セキュリティ対策では、これまで不正侵入検知やフィッシング、ボットネットなどに焦点が当てられてきたが、武田氏は脅威が変化していること、そして国内特有の新たな攻撃やウイルスが進化していること、を踏まえた現実的な対策が必要だと話した。

 Winny上の暴露ウイルスに象徴されるPtoP型情報漏えい事故の特徴は、自宅の私有パソコンで発生していること、自分に過失がなくとも第三者からの漏えいが起こること、漏えい情報の拡散が急速で広範囲であること、そして漏えい情報は基本的には回収不可能であること。このうち後2つはP2P型に特有の現象だと武田氏はいう。

 組織における情報漏えい対策として、組織内におけるWinnyの利用制限、重要情報の持ち出し制限、社員の私有パソコンの安全対策、そして可能性としては、Winny通信が制限されたISPを自宅で用いるよう、企業が推奨することも考えられると話した。

 Winny経由の情報漏えい事故が発生してしまった場合の対応策は、被害者の救済を軸にしなければならないと武田氏は語った。「情報の流出を不用意に公表してしまうと、情報の拡散を助長してしまうケースも見られる。個人の尊厳にかかわることもあるので、(個人情報の場合は)本人にまず確認するなどが必要だ」

 Winnyではユーザーが知らないうちに、暗号化されたキャッシュとしてデータを保持する仕組みであるため、キャッシュ保有者をIPアドレスで特定し、ISPに削除を依頼してもらう方法があるが、こうした対応はISPによって異なるため、公的な対策が必要になるかもしれないと武田氏はいう。

 考えられるもう1つの対策は、PtoPネットワークのポイゾニングと呼ばれる手法。漏えい情報と同様なファイル名で多数のファイルを意図的に流すことにより、漏えい情報が埋もれてしまうことを狙うというものだ。これが「合法的にできる一番手っ取り早い方法」(武田氏)。

 事故の防止対策としては、事故が発生したP2Pソフトウェアの使用制限、善玉ウイルスの配布、PtoP広告の促進などが考えられるという。

 「(Winny経由の情報漏えいにより)日本のセキュリティは最悪に近い状態にある。今後もっと悪い方向にいくかもしれない」と武田氏は話す。ほかのP2Pアプリケーションへの波及や複合的脅威への発展の可能性もあり、被害防止には早急な取り組みが求められると武田氏は訴えた。

(@IT 三木泉)

[関連リンク]
カーネギーメロン大学日本校

[関連記事]
情報漏えい急増、企業を脅かすWinnyウイルスの破壊力(上) (@ITNews)
情報漏えい急増、企業を脅かすWinnyウイルスの破壊力(中) (@ITNews)
情報漏えい急増、企業を脅かすWinnyウイルスの破壊力(下) (@ITNews)
止めます! Winnyからの情報漏えい、フォーティネット (@ITNews)
ISS、同社製品でWinnyの通信を検知できるように (@ITNews)
「情報がWinnyに流出?」を調査、ネットエージェント (@ITNews)

情報をお寄せください:


@IT Special

- PR -

TechTargetジャパン

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

TechTargetジャパン