[轉貼] Winny流出の傾向と対策
發表於 : 2007-12-17, 01:28
Winny流出の傾向と対策
http://internet.watch.impress.co.jp/sta ... 007/12/12/
情報漏洩のマルウェアはなぜWinnyやShareをターゲットにしたのだろうか? 筆者は5つの要因があると考えている。
まず重要なポイントになるのは「日本発のP2Pソフトウェア」であることだ。アプリケーションソフトが日本語環境で確実に動き、パッチを当てることなくメッセージが日本語表示されるのは、プログラムを使う上で敷居が低く、利用者の幅は広がる。現在新たなP2PソフトとしてCabosが人気のようだが、これも日本語で動作するためだろう。
次は、1つ目のポイントにも関連するが、「Winnyを使うための解説記事」が多かったことだ。P2Pの持つ根本的な危険性を把握しない一般ユーザーでも、解説記事を読みながら設定すればWinnyが使えてしまうということが、被害の拡大を生んだといえるだろう。
3つ目は、WinnyやShareの公開時期と日本でのハイスピードブロードバンドの普及がほぼ一致する、という時代背景が挙げられる。Winny以前のP2PといえばWinMXが有名だが、日本におけるWinMX全盛期はまだハイスピードブロードバンドが一般化しておらず、黎明期であった(当時は1.5MbpsのADSLでも速いと言われた)。ハイスピードネットワークが一般化したことにあわせ、「そのあり余る速度を何に使うのか?」という答えのひとつがP2Pという流れになった。
4つ目は、P2Pそのものがマルウェアの効果的な配布方法となりえたことである。マルウェアの配布は、ユーザーに何らかの形でダウンロードさせる必要がある。P2Pの場合、特定のファイルをダウンロードするためだけに使うよりも、好みのファイルが含まれているであろう「キーワード」を使い、これに合致するファイルをダウンロードすることが効率的だ(特にファイルサイズがある程度小さい場合に有用)。
これを逆手にとって、ファイルにマルウェアを混入、あるいはマルウェアにこれらのキーワードを付してネットワーク上に放つことにより、効果的な配布が可能になる。マルウェアに再放流機能を用意しておけば、感染者の取得ファイルを使ってさらに混入ファイルを広げる「擬似ワーム機能」も持たせることができる。
最後にWinnyやShareは、同一プロトコルで動作するアプリケーションが1つだけ、という点が挙げられる。これは、プログラムのファイル構造やディレクトリ構造が解析しやすく、マルウェアを仕掛けるには好都合だ。
本来ネットワーク上で拡散するワームをコーディングするのは難しいし、Windows XP SP2にはファイアウォール機能が初めから含まれているので、ネットワークを使用するマルウェアの存在が「バレ」やすい。しかしキンタマ系ウイルスは、すでにユーザーが許可済みのプログラムを使って拡散させるため、プログラムスキルが低くても実装が可能だ。
http://internet.watch.impress.co.jp/sta ... 007/12/12/
情報漏洩のマルウェアはなぜWinnyやShareをターゲットにしたのだろうか? 筆者は5つの要因があると考えている。
まず重要なポイントになるのは「日本発のP2Pソフトウェア」であることだ。アプリケーションソフトが日本語環境で確実に動き、パッチを当てることなくメッセージが日本語表示されるのは、プログラムを使う上で敷居が低く、利用者の幅は広がる。現在新たなP2PソフトとしてCabosが人気のようだが、これも日本語で動作するためだろう。
次は、1つ目のポイントにも関連するが、「Winnyを使うための解説記事」が多かったことだ。P2Pの持つ根本的な危険性を把握しない一般ユーザーでも、解説記事を読みながら設定すればWinnyが使えてしまうということが、被害の拡大を生んだといえるだろう。
3つ目は、WinnyやShareの公開時期と日本でのハイスピードブロードバンドの普及がほぼ一致する、という時代背景が挙げられる。Winny以前のP2PといえばWinMXが有名だが、日本におけるWinMX全盛期はまだハイスピードブロードバンドが一般化しておらず、黎明期であった(当時は1.5MbpsのADSLでも速いと言われた)。ハイスピードネットワークが一般化したことにあわせ、「そのあり余る速度を何に使うのか?」という答えのひとつがP2Pという流れになった。
4つ目は、P2Pそのものがマルウェアの効果的な配布方法となりえたことである。マルウェアの配布は、ユーザーに何らかの形でダウンロードさせる必要がある。P2Pの場合、特定のファイルをダウンロードするためだけに使うよりも、好みのファイルが含まれているであろう「キーワード」を使い、これに合致するファイルをダウンロードすることが効率的だ(特にファイルサイズがある程度小さい場合に有用)。
これを逆手にとって、ファイルにマルウェアを混入、あるいはマルウェアにこれらのキーワードを付してネットワーク上に放つことにより、効果的な配布が可能になる。マルウェアに再放流機能を用意しておけば、感染者の取得ファイルを使ってさらに混入ファイルを広げる「擬似ワーム機能」も持たせることができる。
最後にWinnyやShareは、同一プロトコルで動作するアプリケーションが1つだけ、という点が挙げられる。これは、プログラムのファイル構造やディレクトリ構造が解析しやすく、マルウェアを仕掛けるには好都合だ。
本来ネットワーク上で拡散するワームをコーディングするのは難しいし、Windows XP SP2にはファイアウォール機能が初めから含まれているので、ネットワークを使用するマルウェアの存在が「バレ」やすい。しかしキンタマ系ウイルスは、すでにユーザーが許可済みのプログラムを使って拡散させるため、プログラムスキルが低くても実装が可能だ。