宮本氏の自己紹介
宮本久仁男氏(以下、宮本):「Back to 2004年ごろ」ということで、(この頃は)もうブレーキがバンバン利いていたのですが、起こったこと、やれたこととして、政府系の話、世の中の話をまとめて、「こんな感じだったんじゃないかな」ということをお伝えします。
ちなみに、スライドはもう少し参考資料などを加筆した上で後で公開するようにします。
いろいろ調べてなるべく間違いがないようにしていますが、あくまで私見です。事実を陳列して、そこに私見を載せたような感じです。
今の自分の立場は、CSIRT(Computer Security Incident Response Team)の運用に携わり始めて10年以上、セキュリティ技術者(として)は20年以上。手掛けた書籍も多く出ました。攻めるか守るかといわれると、どちらかというと守る側、守り気味になっています。そんな感じです。
当時の立場はなんだったかというと、あくまで個人のセキュリティ技術者でした。駆け出しでもなく、中堅かなという感じがします。企業内でオープン系の技術を手掛ける者で、ネットワークやOS(技術)中心。情報セキュリティ、サイバーセキュリティ関係は知っているし、調べているし、いろいろ発表していますが、当時(これら)は(自分の)職業ではありませんでした。
その中で、Winnyも含めたいろいろなことを、調べてまとめたりしていたこともあります。ただ、Winnyそのものの解析などには携わっていません。あと、当時の「Slashdot Japan」というニュースサイトの編集者の1人でもありました。
本セッションの3つの内容
今日の内容は大きく3つで、Winny関連の事案やセキュリティ関係の事案、あとはブレーキとやれたこと、最後にWinnyとは何だったのかという感じでまとめておきます。
Winnyがリリースされた頃に何が起きていたのか
最初に関連の事案ですね。(スライドを示して)まずWinnyがリリースされた頃の話なのですが、時系列では大きくこんなかたちになります。2002年5月頃がWinnyのイニシャルリリース、2004年頃に「LimeWire」、2006年から2007年あたりで「Cabos」「Share」「Perfect Dark」あたりが出てきています。
これらは全部P2Pファイル共有を行うソフトウェアです。プロトコルが違っていたり、(それぞれの)実装は当然違いますが、一応P2Pファイル共有を行うことを目的にしたものと見ています。
そんな中で暴露ウイルスの出現。2004年3月頃、いわゆる“キ○タマウイルス”というもの(が出現しました)。暴露ウイルスによると思われる情報漏洩も、このあたりから次第に増加していきます。
「Antinny」は全部が暴露ウイルスかというと実はそういうわけではなくて、最初のAntinnyに暴露の機能はありません。いわゆる“キ○タマウイルス”の「Antinny.G」や「Antinny.K」、「仁義なきホニャララ」あたりは暴露機能を持っていますが、最初のAntinnyは暴露機能はないと記憶しています。
漏洩の話でいうと、2004年2月あたりにACCS(一般社団法人コンピュータソフトウェア著作権協会)の個人情報漏洩案件に関連して、初の逮捕者(が出ました)。いわゆる「ACCS事件」と(いうものです)。
これは不正アクセス禁止法の話ですが、漏洩の舞台になってしまった「A.D.ホニャララ」は無期限開催停止になりました。このあたりからみなさんがだんだん漏洩の話にセンシティブになってくるような流れになっています。
相次ぐ情報漏洩ニュースと法律制定の動き
2004年4月頃から、Winny経由での情報漏洩ニュースが相次いでいます。誤操作、要は操作・設定ミスで漏洩したという話もあれば、記事の中に「ウイルス感染」とあって、もろにキンタマ(ウイルス)に感染しただろうというものもありました。いろいろなかたちのものがあります。
2005年以降は、ウイルス感染をトリガーに漏洩した案件がとにかく増えてきます。ウイルスも単純にポンと置くだけではなくて、いかにもダウンロードしたくなるようなファイル名の偽装。例えば右から左に読ませるUnicode right-to-left markなどの悪用や、キリル文字の悪用。あとはアイコンそのものを偽装するなどいろいろありましたが、マルウェアを踏ませる工夫が進んだ感があります。
一説には、「Winnyで流通しているファイルの大半がウイルスじゃないか」とか、「そこ(Winny)がファイル偽装の博覧会みたいに見られていた」という話も聞いたことがあります。
一方で、法律制定の動きも淡々と進んでいます。1988年のものは古すぎるので(気にしないで)いいですが、1999年公布、2000年施行の不正アクセス禁止法。あとは2003年公布、2005年全面施行の個人情報保護法といった法律ですね。特に漏洩というと個人情報保護法がやはり1つのエポックメイキングなものになってくるとは思っているのですが、そんなかたちで法律制定が動いています。
インターネット接続関連の発展
(スライドを示して)一方でインターネット接続関連のサービスやインターネット経由で使うサービスについては、こんなかたちで流れているのかなと。
1990年代前半から中盤ぐらいまではまだダイヤルアップ接続が(中心で)、1990年代後半ぐらいから常時接続が普及し始める。1996年には「OCN(Open Computer Network)」がサービスを開始しています。いわゆる「OCNエコノミー」もこのタイミングでサービスを開始しています。
それから3年後、1999年に東京めたりっくが「ADSLサービス」を開始、NTT東西も「フレッツADSL」を開始、「2ちゃんねる」もたしか1999年に開設しています。
それから1年後(の2000年に)はNTT東西のBフレッツ開始。(フレッツ)光ですね。そして2001年に「Yahoo! BB」がサービスを開始するというかたちで流れがきています。Yahoo! BBのADSLサービスで、いわゆるブロードバンド人口が爆発的に増えたと言われています。
2003年から2004年で起きたことのまとめ
(スライドを示して)こんなかたちで時系列で何が起こったかをザッと述べたのですが、マップしていくとこんな感じになります。大変雑です。すみません。
2003年から2004年あたりでどういうことが起こったかをザッと見てみると、いろいろなものが収束してくるんですね。私はこれを見て、接続技術やサービス、インターネット経由で利用可能なサービス、あとは関連法、アプリケーション、そして被害と、全部出揃った直後の非常に悪いタイミングだったんだろうなと見ています。
ここまできて世の中的に「なんかけしからん」みたいな話が出てくると、別に技術がけしからんわけでもなんでもないのに、技術が槍玉に上がるようなことも当然出てきます。
“効きすぎたブレーキ”によって起きたこと
では、ブレーキとやれたこと。最初にブレーキの話を述べるわけですが、例えばこんなことが起こりました。
まず、効きすぎたブレーキ。このあたりのタイミングで、攻撃色が強かったり、制約を突破するとか制約を回避するイメージを持たれたものは忌避された。これはあくまで一般というか、多くの普通の人の感情ですね。
例えば2003年7月に「セキュリティ甲子園」の開催を発表したのですが、外部からの批判を受けて開催延期と(なりました)。これは攻撃・防御という話をしていたのですが、攻撃という部分をクローズアップされて見られ(てしまっ)た感はあります。2003年12月の「SoftEther」の公開も、外部からの意見を受けて一時停止となりました。
セキュリティ甲子園は、2003年8月に(高校生が)攻撃・防御技術を競う会としてやるつもりだったのが延期になりました。その後どうなったかというと、2004年8月に20歳以下を対象とした「セキュリティ・キャンプ」に衣替えして開催しています。
この中では一応法律・倫理面を重視した講義も実施しているのですが、これはセキュリティ甲子園でも予定していた内容なので、「なんじゃいな」という感じはしています。
SoftEther(について)は2003年12月に(SoftEther)1.0が公開されました。でも、12月24日に公開一時停止、12月27日に公開再開しています。これ(について)は、次の年の2004年に対策用ソフトウェアのOne Point Wall SoftEtherやSoftEther Alert、SoftEther Blockなどが順次リリースされています。
ほかにブレーキ&やれたこととして挙げてみると、P2P系の研究が、見える範囲ではありますが、停止したり縮小したりしたように見えてきています。セキュリティ関係の勉強会の勢いが一時期衰えていました。
あとは攻撃じゃなくて防御系、検知系ですね。例えばテイント解析による情報追跡など、情報漏洩追跡系の研究が一部で盛んになりました。関連法やガイドラインなどに対する理解を深める動きも見えています。
それから、これはおそらくP2Pにはあまり関係なく前から検討を進めていたと思うのですが、早期警戒パートナーシップの整備・公表。先ほど三角さん(三角育生氏)からもありましたが、安倍官房長官による注意喚起などが起こっています。
感覚的に、当時は興味や好意的反応が、防御と検知・ガバナンスのほうに向くようになってきたのかなと。ただ、2004年当時はまだセキュリティはおまけみたいな(もの)。今思えば「なんじゃいな」という感じのことが起こっていました。
一方で、当然ですが、攻撃を想起させるような技術については普通の企業では嫌われたようにも見えます。私自身も、攻撃に使うつもりはまったくなかったのに、相当疎まれました。少し前に発表したもの(DNSのレスポンス偽装技術)も、タイミングや使いどころが悪かったらきっと死ぬほど叩かれたでしょう。
“効きすぎたブレーキ”の後にやれたこと・起きてきた動き
やれたこととしては、だいぶ後(のこと)になりますが、セキュリティ甲子園でやろうとしたことを「SECCON」で実現できたように思います。あとはサイバーセキュリティ分野の研究について、研究倫理をきちんと掲げて、確認をする、チェックをする、相談を受けるという動きが学会などで見られています。そしてCode of Conductを明示して開催するような催事が増えています。
それとはまったく別方面ですが、攻撃とか悪意があることを織り込んだオフェンシブな取り組みも、もちろんディフェンスに寄与するという目的ではありますが、好意的に見られるようになりました。例えばRed Team Testがそうです。
P2Pは死んでおらず、情報漏洩も減っていない
P2Pネットワークは盛り上がっては衰退してといろいろ(動きが)ありますが、一方で「情報漏洩は減ったのか」と言われると、そんなことはない。情報漏洩自体は増えています。これはいろいろな契機で増えていますし、APT(Advanced Persistent Threat)(攻撃)、ランサムウェア、外部者の攻撃による持ち出しなどが増えています。悪意のないカジュアルな持ち出しも増えています。ただ、カジュアルに持ち出すのがけっこう難しくなったぶん、たちの悪い持ち出し方はきっと増えていますね。
「P2Pは死んだのか?」というとぜんぜん死んでおらず、主要な研究テーマの1つになっているような感じです。実は先ほどAki@めもおきばさんの話にありましたが、P2Pのベースになるような技術、(例えば)DHT(分散ハッシュテーブル)やオーバレイネットワークといった技術は、単独のテーマとして成立・発展しているので、ある意味より発展しているじゃないかという気がします。P2Pという言葉を使っているかどうかは別ですが。
何でもそうですが、使う(技術)、検知(する技術)、止める(技術)。そういったものが全部揃って使う時にも安心して使えるという話にならないと、どうも世論がうるさそうだろうと。WinnyについてもSoftEtherについても、どうも通すばかりで止められないあたりが問題視されたのかなと見えていますし、実際SoftEtherには、「止めているはずなのに全部無駄になる」というような論調の批判があったようです。
あとは技術者や研究者がエシカル、要は倫理的に正しいことを求められるのですが、きっと「うかつなことはするな」ということでしょうね。
評価できる部分があったからこそ、Winnyは目をつけられた
まとめます。Winnyとは何だったのか。WinnyはPure P2Pのファイル共有ソフトで、流通制御はやらずというかできずというか。逮捕されてしまったので触れず、悪意あるものも流通(してしまいました)。
「大したことない」とディスる向きも一部にはあったようですが、まずP2Pでモノを流通させる部分を実用的に動かした点ですごく評価できます。だからこそ目をつけられたんじゃないかなと。
あと、あらゆる議論の発端になったという点ではすごく着目すべきものだと思います。この会というか、セミナーもその1つかなと感じています。
おわりに。これは本当に実感なのですが、P2Pの有無に関係なく、仕事は減りそうにありません。仕事が減る時というのは本当に世の中が安全になる時、サイバーセキュリティがなんとかなっている時なのでしょうが、おそらくまだまだ減りそうにないだろうなということで、雑にまとめて私のお話は終わりでございます。以上です。
