|
「徹底追及 Winny事件」
第1回 相次ぐ情報流出事件の『深層』
ファイル交換ソフト「Winny(ウィニー)」の利用者による情報流出が止まらない。NTT東日本、東京放送(TBS)、海上自衛隊、愛知県警、関西電力——。誰もが聞いたことのある、名だたる企業や組織が、WinnyとWinny上で暗躍するコンピューターウイルスに振り回されている。
過去1年に新聞紙面上を賑わしたWinny事件だけでも50件を大きく上回る。印象の強い事件だけをまとめても長大な表になる(表)。流出した個人情報は、表に示した事件の件数を合算しただけで4万件以上。もちろん、これらが氷山の一角であることはいうまでもない。
テレビや新聞の社会面にまで「Winny」という言葉が頻出するようになったのは2006年3月ごろから。これにより、ユーザーの不安はさらに増大した。もはや、Winnyという言葉はすでに情報流出とセットになっている気さえする。
この惨状に、セキュリティ関連メーカーの多くがWinnyの危険を回避するための情報やツールを提供し始めた。例えば、セキュリティ対策メーカーのマカフィーは事態のあまりの深刻さに、急きょWinnyに関するセミナー開催を決定。参加者を募集して2日間で100人以上の応募が殺到し、当初1日の予定を2日に分けて行わざるを得なくなった。
情報は2年以上前から漏れていた
実は、Winny上での情報流出は2年以上も前から起こっていた。これは、2004年3月に発見された「Antinny.G」というウイルスが引き起こした。以後、Antinny(アンティニー)の亜種や変種が次々と出現し、“無法”ともいえる状態が今も続いているのだ。
このウイルスは、Winnyネットワーク上でのみ感染を広げる。Antinny.Gの場合、感染すると、Windowsのデスクトップ上のファイルや、パソコンに登録しているユーザー名/組織名などを勝手に公開。他のWinnyユーザーが自由に見られる状態にしてしまう。結果、感染したユーザーの個人情報がWinnyユーザー間で流通し、大きな話題となる。
最初に注目を集めたのは、ある男性ユーザーが女性と交わした“いけない会話”だ。これは2004年3月のことである。
他人に聞かれると恥ずかしい女性とのチャット内容が、メールアドレスなどの個人情報とともにWinny上に流出。多くのWinnyユーザーの手に渡り、その男性ユーザーの素性に関する話題で、インターネット上の匿名掲示板が一時騒然となった。同時期、京都府警が捜査関係書類をWinny上に流出したことも明らかになった。
恥ずかしい写真やメール、マル秘情報…なんでもアリ
Antinnyウイルスが持ち出すのは、テキストファイルだけではない。仕組み上、どんな種類のファイルでも流出する危険性がある。マル秘情報を収めたWordファイル、企業の会計情報が記録されたExcelファイル…など、ファイルの種類は関係ないのだ。
もちろん画像ファイルも例外ではない。実際、デジカメで撮影したプライベートな写真が、Winny上で数え切れないほど流れている。なかには、恋人の裸体を撮影した画像や、個人が隠し持っていた恥ずかしい写真などもある。
これらの話題が口コミで広がり、“のぞき見趣味”のWinny利用者が増える。そのユーザーがウイルスに感染し、さらにプライベートな情報や企業の貴重な情報が流出——という悪循環に陥いる。これが今回の事件の「深層」だ。Winnyの作者が逮捕されたという事実も、Winny利用者を増やす効果的な“宣伝”として機能したようだ。
私物パソコンを使ってほめられる?
Winny事件のもう一つの特徴が、情報流出の原因となったパソコンの多くが私物だったことである。個人的な興味で、私物パソコンにWinnyをインストール。そのパソコン上で業務をこなした結果、企業や組織のマル秘情報、顧客情報などがWinny上に流出したのだ。
会社の情報を家に持ち帰ることや私物パソコンを会社に持ち込むことを禁じられている企業のユーザーにとってみれば、「どうして?」と思うかもしれない。しかし、実際には私物パソコンを使って業務をこなしているユーザーは多い。
なかには、「私物パソコンを使ってまで仕事をするなんて、君は熱心だね!」という“悪しき風潮”が色濃く残っている組織もある。パソコンが1人に1台の割合で行き渡らず、上司がお願いして私物パソコンを持ってきてもらう組織もあったと聞く。この日本的ともいえる文化が、Winny事件の背景にあったのは間違いない。
流出した情報は永遠に削除できない
一連の事件で、ユーザーが被る決定的な痛手は「流出した情報を取り戻すことができない」ことだ。削除しようとしても、数十万人ともいわれるWinnyユーザーの誰が情報を取得したのかを知るすべがない。元ファイルを消し去っても、どこかのWinnyユーザーがその情報を持っている限り、半永久的にWinnyネットワーク上で流通し続けるのだ。
Antinnyウイルスの場合、パソコンにウイルス対策ソフトをインストールしておけば、ほとんどの亜種・変種を検知・削除できる。一連の事件は、「ウイルス対策ソフトを使う」というセキュリティ対策の基本中の基本が徹底されていないことも、白日の下にさらした。加えて、ウイルス対策ツールを使用する、重要ファイルの扱いに関する規定や私物パソコンの取り扱い規定をきちんと作成して徹底を図る、などの基本的なセキュリティ対策の重要性をあらためて再認識させてくれたのではないだろうか。
■ここ1年で発覚した代表的なWinnyでの情報流出事件
概要 流出物
秋田・旧湯沢市住民の氏名・住所などが合併協議会事務局職員のPCから流出 旧湯沢市住民の個人情報
愛知・一宮市の小学校の児童・教職員の名簿が流出 児童・教職員の名簿
三菱電機プラントエンジニアリングの社員PCから原発点検情報や作業員の個人情報が流出 点検結果など内部情報
三菱重工業高砂製作所の協力会社技術者の個人PCから流出 点検結果など内部情報
九州電力社員の個人PCから火力発電所の資料が流出 点検結果など内部情報
日本航空乗務員の自宅PCから空港の暗証番号が流出 空港制限区域への暗証番号
社員個人PCから関西電力の原発データや関係者名簿が流出 耐震強度データ
関西電力の社員個人PCから技術資料や関係者名簿が流出 点検資料
NECフィールディング社員の自宅パソコンから顧客情報流出 顧客情報
筑波大学付属病院の入院患者診療情報が学生所有のPCから流出 患者の診断情報
中部プラントサービス社員の自宅PCから火力発電所資料が流出 点検記録などの技術資料と技術員の個人情報
銚子郵便局の貯金課職員の自宅PCから顧客情報流出 京橋郵便局の顧客情報
海上自衛隊佐世保基地配備の関係者のPCから自衛隊名簿などが流出 「極秘」記載書類や自衛官の名簿
NTT東日本の社員自宅PCから顧客情報流出 NTT東西の法人/個人顧客情報
モスフードサービスの従業員と顧客の個人情報が社員個人PCから流出 顧客、従業員情報
倉敷警察署の警官個人PCから捜査資料が流出 捜査情報、事件関係者の個人情報
愛媛県警察の警部個人PCから被害者の個人情報などが流出 捜査資料、犯罪被害者の個人情報
富山県の長谷川病院の職員PCから手術症例と手術を受けた患者の個人情報が流出 患者の手術情報
住友生命の米国子会社で顧客情報が流出 取引先の個人情報
NTT西日本社員の個人PCから顧客情報が流出 NTT東西の法人/個人顧客情報
空港の暗証番号が全日本空輸の機長自宅PCから流出 空港制限区域への暗証番号
TBSの番組出演者や番組スタッフの個人情報が外部スタッフの個人PCから流出 出演者の個人情報
フジテレビジョンのイベント懸賞当選者の個人情報が外部契約社員の個人PCから流出 懸賞当選者の個人情報
近畿日本鉄道社員のPCから賭けゴルフの名簿が流出 参加者、賭け金額
日本ケミファ社員の個人PCから顧客情報が流出 大分県内の顧客情報
ジャスダックのシステム開発委託先日立製作所のシステム開発手順などのファイルが流出 取引システム関連情報
Yahoo!ショッピング出店企業の情報が業務委託先のネオ・コミュニケーションズ・オムニメディアから流出 出展企業情報
Yahoo!ショッピング出店企業の社内PCから顧客情報が流出 個人情報
|
コメント(0)
