【第3回】Winnyで広がる暴露ウイルスが内部統制を脅かす（前編）

2006年に入りWinnyネットワーク経由の情報流出がどうにも止まらない。毎日のように情報流出が報告されており、内閣官房長官が国民に対しWinnyの使用を控えるよう呼びかけるほど事態は深刻だ。Winnyは基本的に利用者本人がアップしたファイルしか公開されないが、その仕組みを悪用する暴露ウイルスに感染するとパソコンに保存されているファイルを勝手に公開されてしまう。流出した情報が利用者個人のものなら自己責任だが、組織の機密情報や顧客情報が公開されるとなると、コンプライアンスの観点からも、内部統制の観点からもとうてい看過することはできない。

Winnyユーザーの広がりと暴露ウイルス

　Winnyを介した情報漏えいが起きる原因となる、暴露ウイルスによる問題が表面化したのは2004年3月のことである。京都府警の巡査の私物であるパソコンから捜査情報が流出した。この巡査は日頃からWinnyを使用しており、Winnyのネットワークに仕込まれた暴露ウイルスに知らないうちに入り込まれてしまった。暴露ウイルスがパソコンに保存されているファイルをネットワーク経由で外部に送り出した結果、捜査情報が流出してしまったわけだ。この暴露ウイルスの危険性は当時から指摘されてきたが、ここにきて情報流出の報告が後を絶たず、深刻さは日に日に増している。

　そして、Winnyをターゲットにした暴露ウイルスである「Antinny」の感染により、数多くの企業や組織の情報が流出していることが次々と判明している。判明していると述べたのは、第三者からインターネット上に情報が暴露されているとの通報を受けて、はじめて過去の流出が判明するケースが少なくないからだ。

　組織の外部のパソコンから情報流出が起きたケースもある。その一例が、在日米軍三沢基地への通行許可に関するデータの流出したケースである。このケースは、三沢基地の工事を請負っている造船会社の下請け建設会社社員が自宅にこのデータを持ち帰り、暴露ウイルスに感染している自分のPCに機密データを保存したため、Winnyのネットワーク上に流出させてしまった。また、2006年2月には、海上自衛隊の暗号や乱数表を含む内部情報が、多数流出していることが明らかになったが、これも同隊通信員が自宅の感染PCからWinny経由で流出させてしまった事件だった。このほか、Winnyのネットワークには、住所や携帯電話番号、年収まで含む12万人分もの個人情報が流出していることが判明しているが、その流出もとは明らかになっていない。

　それでは、なぜこのように情報漏えいの続出や、出所すら分からない情報漏えいが起きるのか？　Winnyのようなファイル交換(P2P)ソフトの特性に起因している。ファイル交換(P2P)ソフトは、パソコン内に保存されているデータをPCからPCへと次々とコピーしていくことでファイルのリストを作成し、利用者が目的のデータにたどり着く仕組みになっている。つまり公開元PCとダウロードPCとの間に位置するPCに一時複製が残るのだ。

　そして、頻繁にダウンロードされるデータほどネットワーク上の複製数は増加する。悩ましいのは、情報の流出が報道されると、流出情報のダウンロード数が確実に急増することだ。野次馬が群がって、流出情報はますます拡散してしまう。これが、いったん流出した情報の回収は不可能と言われる理由である。