ウィニーで漏えいするとはどういうことか?
ウィニー等匿名P2Pソフトウェアによる情報漏えい事件は、本件に限らず多数報道されている。
一部ではウィニーが漏えいさせているという誤解もあるが、ウィニーをインストールするだけでは漏えいは起きない。暴露ウイルスに感染するということが必要である。
こうした漏えい事件の背景には、P2P技術を使ったウィニー等のファイル交換ソフトが普及していること、インターネットへの常時接続環境が普及していること、暴露ウイルスなどコンピュータ・ウイルスの猛威にさらされていること等がある。
それに加えて、コンピュータ・ウイルス対策ソフトの導入や最新ファイルへの更新などを怠ることなど十分な情報セキュリティ対策を講じていないという現実がある。また、家族など複数人で1台のパソコンを利用することで、誰がいつ何をしているかパソコンの管理が行き届かないという利用実態もあるだろう。最低限の情報リテラシーが備わっていないまま情報化が進展していることの現れでもあろう。
本件では、まさにこうした諸条件がほぼ全て揃ったことで、漏えいしている。
暴露ウイルスは、オフィス文書類が入ったフォルダをzip化し、デスクトップの画像をJPEG化してウィニーのアップロードフォルダに格納して「仁義なき○○○○〜」という統一名称を自動的に付してアップロードしていく機能を有している。パソコン利用者の知らぬ間にパソコン内の情報をどんどんかき集めては、ウィニー利用者間で共有できるようにしていくのである。
初動を早く、対応を確実に 流出範囲と経路特定を急ぐ
漏えいの事実を掴んだなら、まずは漏えい元を特定し、漏えいしている状態を止め、被害の拡大を抑えることが先決である。次に原因を探るために、この場合は、なによりも漏えい元となったパソコンを確保することが重要である。流出データの範囲と内容を特定しなければならないからである。
本暴露ウイルスの場合は、このアップロードフォルダを確認すると何を共有化したかを知ることができる。それから、このパソコンは当該社員の法的責任を追及する上での証拠ともなる。
なお、証拠として用いるためには、PCの電源を入れずにHDを取り出して専用機でコピーするなど特別の作業が必要となる。電源を入れることで、証拠とすべきファイル等の日付などのログが書き換わることがあるからである。
これはデジタル・フォレンジックの問題として今日研究が進展している分野であり、対応技術やツールの開発も進んでいる。社内で対応できなければ専門の組織に委ねるのが賢明であろう。
いずれにせよ初動の早さと対応の確実さが共に求められるところである。
ウィニーに流れればおしまいなのか?
個人データがウィニー上に流れてしまえば、大海に魚を放流したように、もうなす術もないと諦めるほかないのだろうか。
かつては、ISPなどの情報ブローカーを介在せず、P2Pでデータ共有される世界では、それらのデジタル・コピーを抑止しコントロールすることは困難だとみられていたが、今日ではウィニー・ネットワークを監視することも、あるダミー情報を流しウィニー利用者にいわばゴミ情報と誤認識させることで、特定個人データのダウンロードを抑止していく手法などが開発され、すでに対策として行われている。
漏えいした事業者は、漏えいした個人データを閲覧する者をできる限り抑え、本人の被害の拡大を阻止する責任があるといわなくてはならない。
新たな技術や有効な手法の登場とともに、事業者のなし得る対策のオプションも拡大するが、またそれに応じて事業者に期待される内容もまた拡大していくのである。特に二次被害が発生し易いクレジット情報などの場合は、事業者においても損害賠償額の拡大を阻止するためにも必要な作業である。