政府や公的機関は当時のWinnyとどう向き合ったのか　元行政官が情報漏洩事件の悲劇に対する取り組みを振り返る

EVENT

2023年03月07日に開催

映画『Winny』の公開に伴い、記憶から消えかけている20年前の諸々の思い出話をする「Winnyとは何だったのか v2.0b7.1」。ここで東海大学情報通信学部教授の三角氏が登壇。2005年から流行してきた情報漏洩事件に対して、IPAが取り組んできた対策や、政府機関内で起きた変化について話します。

スピーカー

三角育生

東海大学情報通信学部　教授

2005年6月から2年ほどIPAに在籍していた三角氏

三角育生氏（以下、三角）：三角と申します。私はもともと行政官で、経済産業省などにいました。3年前に退官して今は大学にいるので言論の自由があると考え、少し当時の記憶についておぼろげながら話します。

なぜ私がここにいるのかなと考えると。Winnyのいろいろな事件が世の中で起きていたのがだいたい2005年、2006年ぐらいだと思います。（私は）2005年6月から2年間ほど、経済産業省の独立行政法人のIPA（情報処理推進機構）のセキュリティセンター長をやっていて、ちょうど国の機関や法的な機関でWinnyに関する情報漏洩事件がいろいろあったので、そのあたりをなんとか思い出そうと努力してみました。

（スライドを示して）思い出すにあたって、ChatGPTで「Winny事件ってなんだったの？」と検索したら、こんなのが出てきたんですよね。情報漏洩問題は2003年頃です。問題は赤線のところで、「2006年にIPAはWinnyの情報漏洩の危険性についての報告書を公表し、問題を深刻化させるきっかけになりました」。問題を深刻化させたのはIPAではないから間違いなので正さなきゃいけないなということで、もう1回あらためてなんとか思い出す努力をしたところです。

ChatGPTに聞いたらIPAに対するとんでもない誤解の話が出てきたので、「これはなんとかしなきゃ」「名誉挽回しないといけない」と思ったというところで言いました。

「Antinny」流行時のIPAの対応

三角：私がちょうどIPAに着任した頃にIPAが公表した資料として、「ファイル交換ソフトに潜む罠」ということで、当時のAntinny（について）ですね。ウイルスに感染すると、公開しているつもりのないパソコン内の情報まで、一緒に公開されてしまう事件がありました。

この頃は自治体や警察、防衛みたいなところ、政府、それから医療機関とか学校とか、いろいろなところでこのような情報流出事件が発生し始めていた頃です。当時はまだ、業務上で1人1台のパソコンが与えられていたような時代じゃなかったと思いますし、場所によっては普及率はそうでもなかった。

それからあとは（パソコンを）持ち帰れないような。仕事を家に持ち帰ろうとしたら（それは会社的に）だめで、自宅のパソコンを使ったら子どもがWinnyを使っていて、知らずに感染して情報が流出しちゃったとか。そういう悲劇がたくさん起きていた状況です。なので「気をつけてください」「ネットワーク上に流出したらもう回収は不可能ですよ」ということを（IPAは）言いました。

当時IPAでは日々ウイルスの被害とか、不正アクセスの被害とか、そういったことについての相談を受け付けていて。そこから「こんな事件、こんな被害があった」とか、得られた教訓を一般化して、毎月プレスリリースというかたちで公表していたんですね。

今で言えば、よくニュースで見る「特殊詐欺の被害で、今日はこんな手口がありました」というような感じ（のこと）を毎月やっていたのが当時です。

スパイウェアの事件とか、それこそ「紛らわしいサイトを閲覧していたら請求書を送りつけられました」とか、「脅迫されました」とか。そういう一連の相談の中にWinnyも紛れ込み始めていたぐらいの感じです。

情報セキュリティセンターと官房長官からの注意喚起

三角：こういった事件がいろいろ起きていたので、政府として「さすがにまずい」ということで、当時の情報セキュリティセンターで、今は内閣サイバーセキュリティセンターから「Winnyでやり取りしているファイルを介してWinnyを使っていると、Winnyの中でやり取りされているファイルの中にウイルスであるAntinnyがいて、それに感染すると同じパソコンで利用している情報が流出してしまう事件が多発していますよ」ということを言っていました。

その危険回避の方法として一番確実な対策は、Winnyを使わないこと（だ）と呼びかけた。当時の安倍晋三内閣官房長官もこの注意喚起をしたということで、これでかなりキャリーされたというのが当時の状況でした。

この結果、「どうしたらいいんだ？」という話がいろいろ起こったのです。IPAからもすでに注意喚起をしたり、先ほどみたいなプレスリリースを出したり、日々の相談も毎月数件ちょっとはきていた状況でしたが、内閣官房の呼びかけに応じて、政府機関としてもなにかしっかりした取り組みをしなければいけない。

（そういった）経済産業省の意向も受けて、IPAでは日々のウイルスの被害の相談窓口をやっていたわけですが、そこをうまく使ってWinny119番を名乗り、「Winnyに特化した相談受付の開始をします」ということを2006年3月20日に発表しました。

メディアでも「IPAがWinny119番を開始しました」ということをけっこうキャリーしてくれたおかげで、Winnyに関する相談ケースが2006年2月では3件ぐらいでしたが、その開設した月には186件、200件近い件数にポンと跳ね上がって。その後も、2、3ヶ月は相談がそれなりに多かったです。

これは被害を受けただけではなく、「日頃使っているけど大丈夫だろうか」と不安な人たちの相談も受け付けていたので、こんなに跳ね上がったのかなと。ただあとはロングテールで、私が在任中は10件とか20件とか、そのぐらいの数字でずっと推移するという感じでした。

業務用パソコンの流通、情報発信の努力、事故前提社会への方針変更

三角：後半になってくるとAntinny以外のいろいろなウイルスも流れ始めました。これが日本特有の事情などでなかなか……。私の記憶では、グローバルなウイルス対策ソフトというより、やはり日本独自で対処しなきゃいけないような状況に当時はなっていた記憶が漠然とあります。そういったかたちで相談を受け付けていたのが当時です。

やはり多くの人たちが不安を感じているんですね。そういったところから、できるだけ多くの人たちにわかりやすく伝えなければいけないということで、毎月のプレスリリースでもマンガなどを使ってわかりやすく、どういったことが起こり得るのかということを情報発信したというのが当時の取り組み。行政、公的機関といってもIPAですが、（そのようなことに）経済産業省の政策を代表して取り組んでいました。

内閣官房は先ほどお話ししたように2006年3月15日に注意喚起をして、当時の安倍官房長官からも「使うな」と言っていただいたのですが、いつまでも事件はなくならない。

当時システムを使っていた組織などは、内閣官房からだめと言われたこともあったのか、だんだんと個人のパソコンを使うのではなく、正式に（パソコンを）購入する動きに変わっていった。パソコンなどをドンと購入して、それを内部で業務用に展開することが進んだのが、当時の政府の中の動きだったかなと記憶しています。

さらに情報セキュリティセンターでは、セキュリティの基本計画、3年の戦略みたいなものを作っていて、Winnyの呼びかけの直前に「第1次基本計画」を出しました。その時は「IT利用に不安を感じる」ような個人を限りなくゼロにすることを目指したかたちで。

とにかく押さえ込むような意思が出ていたように見えますが、その後、こういった事件は続きました。

最近、当時のNISC（内閣サイバーセキュリティセンター）の人に「基本計画第2次の時に、事故前提社会への対応に変わりましたよね？」と話をしたら、「P2Pのファイル交換ソフトとかそういう事件があって、いくら事前に対処していてもそういうわけにはいかなくて。特に無謬主義、対策していればあとはなにも起こらないような考え方は良くないと考え方の見直しをした上で、きちっと事故前提でどうするのかを考える方針に変わったんだよ」ということを言っていたことを記憶しています。

そういった政府全体の取り組みで、個人持ちのパソコンにディペンドしていた組織も（パソコンを）導入した。それから、わかりやすく情報発信する努力もした。そして政府のその方針も事故前提社会になっていったというような流れを、Winnyの事件が政府や公的機関にもたらしたのかなと思っています。