iPodが情報盗用アイテムに?
ポッドスラービングとは何か
IT/ビジネス関連の総合情報サイト「CNET Japan」に、興味深い記事が掲載されていた。米国のあるセキュリティ専門家が、重要データを「数分でiPodに格納できる」アプリケーションを考案し、企業に警鐘を鳴らしているという内容だ。CNETの記事によると、このアプリケーションはiPod上で動作する。さらに、PCのUSBポートにiPodを接続するだけで、重要と思われるファイルを2分間に約100MBという速度でスキャン、iPodにダウンロードできるという。
この手口は、iPodにかけて「ポッドスラービング(Pod slurping)」と呼ばれているが、情報セキュリティに深刻なダメージを与えることが予想される。なぜなら、情報を盗難していても、傍目にはiPodで音楽を聴いているようにしか見えないからだ。また、iPodが、どこにでもあるありふれたアイテムとなりつつある点も大きい。学生でも主婦でも、未成年でも老人でも、今やiPodはだれが持っていても違和感がない製品になっている。会社の中でiPodを持ち歩いていても、特に周囲に怪しまれることはないはずだ。さらにiPodには、既存のUSBメモリなどより記憶容量の大きなタイプが存在することも見逃せない。製品によっては数十GBものデータ格納が可能となっており、これだけあればかなり大きなデータの「ブッコ抜き」が可能になるはずだ。
iPodにかぎらず、昨今の技術の進化によって生み出された数々の製品は、われわれに大きなメリットをもたらしている。しかしその一方で、情報漏えいの危険性を飛躍的に高めていることも忘れてはならない。例えば現在では、耳の穴に隠せるほどの小型USBメモリが、わずか1万円少々で購入可能となっている。記憶容量はiPodに及ばないものの、1Gクラスの容量は備えており、これだけで相当のデータを盗み出せる。会社の入り口で身体検査をされても、かなり細かいレベルまで検査されないと見つからないだろう。さらに、まるでおもちゃのようなUSBメモリや、腕時計などに仕込まれたMP3プレーヤなど、探せばいくらでも「盗用アイテム」は存在する。
カメラ付き携帯電話禁止!?
企業のセキュリティ対策の現状
このような事態を受け、昨今は徹底した情報漏えい対策を施す企業が増えている。例えば、ある企業の自動車工場では、カメラ付き携帯電話の持ち込みさえも厳しく管理しているそうだ。もしも最新車種の設計図を撮影され、デザインを盗まれてしまったら、数億〜数十億円規模のプロジェクトが水泡に帰してしまうからだ。
また近年は、前述のポッドスラービングや小型USBメモリなどで情報を盗み出そうとしても、データのコピーどころか、データにアクセスさえできないような仕組みを整えている企業も増えている。PCのデータをすべてサーバ側に集約する「シンクライアント」の導入などは、その代表例であろう。
問題なのが、情報漏えいに対するセキュリティ意識の低い企業だ。IDカードによるオフィスの入退室管理を行ってはいるが、実際はだれかがドアを開けた際にいっしょに入れてしまう。社内にUSBメモリやiPodの持ち込みは自由。業務PCにCD-Rも装備されており、データはコピーしほうだい…。実際、筆者が出入りしている幾つかの企業は、現在でもこのような状態である。しかもその中には、IT業界の最前線にいるような企業も少なくない。
最近、Winnyによる情報漏えい事件のニュースがあとを絶たない。これは、世間一般のWindows全般に対する無知という基本的な「体力不足」はもちろん、セキュリティに対する意識の低さが根底にあることはまちがいない。実際、Winnyウイルスの動きはシンプルでわかりやすく、対策も立てやすいのに、2006年はたった数か月で50件近い被害が発生している。
安倍官房長官のWinny発言と
政府が真に取り組むべき対策とは
先日、安倍晋三官房長官は「最も確実な情報漏えい対策はPCでWinnyを使わないこと」と述べ、国民に注意を促した。また、愛媛県警では、Winnyなどのファイル交換ソフトを使わない旨の誓約書を、職員に提出させると発表している。今後は、官民問わず似たような誓約書を書かせるところが増えるかもしれない。
しかし、このような動きに違和感を感じる読者も多いはずだ。もしも企業の社員全員にWinnyの使用を禁じたとして、情報漏えいは減るのだろうか。筆者はそうは思わない。前述のように、問題はもっと根本的なところにあるからだ。
折りしも、最近はWinnyウイルスをしのぐ脅威のウイルスが猛威を振るっている。「山田オルタナティブ」と呼ばれる新種のウイルスがそれだ。このウイルスはWebサーバの機能を持ち、HDDのすべてのデータをネット上に公開してしまう。また、感染PCどうしが連係し、相互にリンクしあうというからタチが悪い。
Winnyの使用を禁止したとして、この山田オルタナティブのようなもっと強烈なウイルスに感染した場合は、一体どうするのだろう。Winnyウイルスにすら対応できない人が、山田オルタナティブのような、複雑かつ強力なウイルスに対応できるとは思えない。あるいは、冒頭に述べたポッドスラービングや、超小型USBメモリによる情報漏えいにはどう対応するのか。
前述のように、重要なのはユーザー個人がセキュリティに対する意識をしっかり持つことだ。もちろん、ウイルス対策ソフトの使い方やWindowsの怪しい動きについてなど、基礎的な知識を身に付ける必要があるのは言うまでもない。また、企業はきちんとしたセキュリティのルールを作り、社員1人1人にそれを徹底させなければならない。そのような根本的な部分に目を向けず、「Winnyを 使うな」では、何の解決にもならないはずだ。
自動車事故を減らすためには自動車に乗らないこと。エイズを減らすには性交渉を行わないこと。そういう発想は、進歩を遅らせるばかりか、困難に対する「耐性」さえも失わせることになりかねない。
Winnyによる情報漏えい事件に対しては、幾つもの対策が考えられる。例えば、官民が手を組んで、抜本的なWinny対策プロジェクトを開始できないものか。Winny作者にも協力を依頼し、Winnyのウイルス耐性を高め、ネットワークの監視が可能な形にWinnyをアップデートさせるのだ。また、P2Pに流すべきコンテンツを検討し、法整備も含めて、Winnyネットワークをある程度コントロールできる仕組みを、少しずつでも作れないものか。机上の空論かもしれないが、少なくとも「Winnyを使うな」で済ませるよりは建設的なはずだ。
情報漏えいの表面だけに目を向けた、子供だましの対策では意味がない。もう少し前向きで、次の世代に残せるような発想と行動をこそ、政府に期待したいものだ。
NETWORKWORLD6月号(2006年4月18日発売)掲載
|