パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

サンクリ事務局が流出を確認、サンクリ43は開催中止」記事へのコメント

  • by Anonymous Coward on 2009年01月19日 12時24分 (#1494074)

    無料セキュリティソフトですら検出できる代物なのに

    • モラルやセキュリティを気にする人は、そもそもWinnyを使いません。
      流出させるような人が気軽に仕事の情報を個人のPCに移したり、家に持って帰ったりします。
      馬鹿がいるからフールプルーフが必要なのです。教育や啓蒙ではなく、システムとして「権限の無い人間にデータを触らせない」「コントロールできるように情報を取り扱う」ことが必要です。(それができるなら家に持って帰ろうが出先で使おうが自由です。盗難の危険などでほどほどのコストで可能な方策がないから社内から出さないようにしてるだけ。社内だから流出しないわけじゃないしね)

      親コメント
      • これほど事件が起きてもWinnyは大人気ソフトの1つであることは間違いないわけで、それだけ有用と考える人が多いということです。

        著作権侵害というモラルの問題はありますが、そのために大きなセキュリティリスクを蔓延させることは決して良策ではなく、そろそろ「安全なWinnyの使い方」とか啓蒙する方がよっぽど効果的に思えます。たとえばVMの上で使えとか。

        そもそもWinnyウイルスの蔓延は京都府警の愚行がかなりの部分を占めると思うんですけどねー。開発者の逮捕さえなければとっくに塞がれていた問題です。こう言うのも何ですが著作権問題なんてWinnyウイルスが引き起こした問題に比べたら極めてどうでもいい問題です。防衛関係の機密情報が漏れたという話もありますがこんなのは国家転覆にも繋がりかねず、著作権如きを引き合いに出して脆弱性を放置する方がどうにかしています。

        • サブジェクトには賛成だけど、中身には異論がありまくりなのでマジレス
          まず、今回の件でサンクリ事務局とその関係者が責められるべき点は2点あって
          1.誰がどのデータを持ってるか判らないくらい、データの管理がずさん
          2.データが入ったPCで、低セキュリティな管理をしていた
          このうち、他の方も書かれているように、本質的な問題は1番です。2番は、1人の馬鹿が堤防を決壊させれば無駄です。
          # モラルの問題に関して言えば、著作権侵害とか別にどうでも良い。「漏れたら関わった団体に迷惑がかかるデータ」を不用意に取り扱う(コピーしてしまう・保管してしまう・期間が終わった後に削除しない)のが低モラルなのですから。

          >これほど事件が起きてもWinnyは大人気ソフトの1つであることは間違いないわけで、それだけ有用と考える人が多いということです。
          あれだけ危険性が叫ばれているにもかかわらず使う馬鹿が多いだけです。酒気帯び運転・酒酔い運転は、未だに大人気な乗り方の1つであることは間違いないわけですが、それを有用と考える人が多いのは嘆かわしいだけです。
          # まあ、PC普及率が73.1%(http://www.esri.cao.go.jp/jp/stat/shouhi/shouhi.html)に達する中、
          # Winnyを使っているのは24万人程度(http://www.itmedia.co.jp/news/articles/0901/07/news049.html)なので、
          # Winny使用率0.67%(世帯数4900万で計算。http://www.stat.go.jp/data/kokusei/2005/kihon1/00/04.htm)を「世の中が間違ってる」と言えるほど多いと考えるかによりますが:p

          >そもそもWinnyウイルスの蔓延は京都府警の愚行がかなりの部分を占めると思うんですけどねー。開発者の逮捕さえなければとっくに塞がれていた問題です。
          今、流出騒ぎのメインになっている「.exeを思わずクリックしてしまう」は、防げません。OSで対処しても「承認を受けていない実行ファイルだけど?」と聞かれても無視して実行する人(実行させようとするファイル)には効果が無いでしょう。(推測。もしかしたら効果が十分に上がってるのかも知れないけど)

          >こう言うのも何ですが著作権問題なんてWinnyウイルスが引き起こした問題に比べたら極めてどうでもいい問題です。防衛関係の機密情報が漏れたという話もありますがこんなのは国家転覆にも繋がりかねず、著作権如きを引き合いに出して脆弱性を放置する方がどうにかしています。
          その場合も、防衛関係の機密情報管理に問題があるのであって、
          ・PCそのものが脆弱な場合
          ・データが管理されていない場合
          は、分けて考えることが必要です。いくら侵入やウイルスに強いマシンにした所で、ほいほい脆弱なPCにデータが移動できたら一緒です。Winnyウイルスが引き起こした問題ではありません。

          親コメント
          • すごく賛成。

            強いて言えば、

            >そもそもWinnyウイルスの蔓延は京都府警の愚行がかなりの部分を占めると思うんですけどねー。開発者の逮捕さえなければとっくに塞がれていた問題です。
            今、流出騒ぎのメインになっている「.exeを思わずクリックしてしまう」は、防げません。OSで対処しても「承認を受けていない実行ファイルだけど?」と聞かれても無視して実行する人(実行させようとするファイル)には効果が無いでしょう。(推測。もしかしたら効果が十分に上がってるのかも知れないけど)

            開発者が頑張って「特定のファイルの流出を抑止する機能」を実装すれば、被害は最小限に収まるかも、という程度かしら。特定のフォーマットでBlack Listを流すと、それもファイル交換と同時に交換され、そのBlack Listに含まれているファイルはキャッシュを所持していたら削除する、というような仕組みならある程度構築できそう。もちろん100%拡散を防げるわけじゃないし、Black Listの配布・交換を止めるようなパッチを開発するお馬鹿が出てきてイタチごっこになりそうな気もするけど。
            でもそれってベターであってベストじゃないわよね。(ベストは「Winnyを使わないことで、流出させないこと」ですもの。)

            あ、でも、それはそれでいいんじゃないかしら。そうなれば当然、権利侵害になるファイルはこぞって抑止されるでしょうから、Winnyで入手できるのは合法なファイルだけ、ということになるし。そうなればもう誰もWinnyを使わないからめでたしめでたし、ということに……なるかも?

            親コメント
            • >開発者が頑張って「特定のファイルの流出を抑止する機能」を実装すれば、被害は最小限に収まるかも、という程度かしら。特定のフォーマットでBlack Listを流すと、それもファイル交換と同時に交換され、そのBlack Listに含まれているファイルはキャッシュを所持していたら削除する、というような仕組みならある程度構築できそう。

              その通りなのですが、、それは恐らく普及しないでしょうね。。

              この仕組みにより、皆が不当だと思うような削除要求(たとえば告発系のファイルの削除要求など)は無視され、皆が非倫理的だと思うようなファイルの流通は止められるという、バランスの取れたP2P型ファイル流通システムになっていた。だが、2ちゃんねる掲示板では、これは罠だから使っちゃだめだという主張が繰り返され、プログラムの品質に問題があるといった指摘をからめて、作者のやる気を削いで開発を中止に追い込むという事態になっていた。

              なぜ彼らが危機感を持ったか。それは、「squirt」で削除要求を無視するチェックボックスにチェックを入れる行為は、「私はそのファイルを公衆送信可能化する意思があります」という利用者の意思表示になるからだ。
              Winnyは、そのような意思を隠せる、あるいはそのような意思をあえて持たないでいられるように工夫されたシステムであったからこそ、今の日本の法制度上、普及したのであり、この性質をなくせば使われないのであるし、この性質をなくさない限り、情報流出事故の被害拡散の防止が実現できない。
              -- 高木浩光@自宅の日記 [takagi-hiromitsu.jp]

              親コメント
            • by Anonymous Coward

              >開発者が頑張って「特定のファイルの流出を抑止する機能」を実装すれば、被害は最小限に収まるかも、という程度かしら。

              そんな回りくどいことしなくてもupフォルダへのファイル投入を防ぐ仕組みを入れるだけでこの手のウイルスは壊滅するのでは?たとえば
              ・ウイルスがupフォルダの所在を突き止められないように暗号化してフォルダ名を乱数にする
              ・upフォルダ自体も暗号化してユーザが決めたpasswordがなければ投入できない
              などなど。

              守ってもらえない社会的規範を唱えて、より大きなリスクの温床になってしまうのは愚かなこと極まりありません。パチンコとか飲酒運転とか、全くベクトルの違う問題を持ち出してる人もいますが、「飲酒運転はそれ自体が危険極まりない」「パチンコを取り締まってもより大きな問題が蔓延することは考えづらい」という決定的な違いがある詭弁です。似た問題とするなら「性病蔓延の防止のために未成年者の避妊具購入を容認するか否か」というのがありますが、これも極めて愚かな議論が行われているようです。

              • by Anonymous Coward on 2009年01月21日 13時00分 (#1495893)

                そんな回りくどいことしなくてもupフォルダへのファイル投入を防ぐ仕組みを入れるだけでこの手のウイルスは壊滅するのでは?たとえば
                ・ウイルスがupフォルダの所在を突き止められないように暗号化してフォルダ名を乱数にする
                ・upフォルダ自体も暗号化してユーザが決めたpasswordがなければ投入できない

                そんな稚拙な方法で防げるなんて思っちゃうのは、セキュリティの素養がないからにすぎません。フォルダ名なんかいくらでも取得できますし、暗号っていっても鍵をどう隠しますか。原理的に考える素養があれば無理とわかることです。

                親コメント
          • by Anonymous Coward

            Winnyの欠陥を放置するのはどうよ?って話なのに、話が脱線しすぎてはいないか?アップロード内容をユーザが認識が出来る仕組み(意図的なファイルしか放流できない仕組み)さえ組み込めば、「Winnyウイルスによる情報漏洩」は確実に激減する。(さらにVMなど「重要なデータが存在しない環境」でP2Pを実行すれば100%流出しないな)

            「嘆かわしい」とか感情論はどうでもいい。君が嘆けば流出事故は減るのか?「ほいほい脆弱なPCにデータが移動できたら一緒」なわけあるか。特性的に削除不能なネットワークにさえ放流されなければデータ回収の可能性は格段に上

        • by Anonymous Coward

          社会的な問題はあるが、それを取り締まると間接的にもっと大きな問題になるので見逃せって事ですよね。
          パチンコ取り締まったら、困る人が沢山いるから見逃せと。
          まぁ、現実にパチンコは取り締まられてないから、Winnyも見逃すべきかもしれませんね。
          でも、パチンコもWinnyも両方取り締まれって人も多そうですよ。

        • by Anonymous Coward
          直したとしても、古いバージョン使い続けてる人ばかりだったりになりそうな気がするが。
          こういう問題起こす人は、機能が上がったとかでもないとわざわざアップデートしないでしょう。

          そもそも、逮捕されなければ塞がれていた問題って根拠あるの?。可能性はあるかも知れないけど。
          • by Anonymous Coward

            >直したとしても、古いバージョン使い続けてる人ばかりだったりになりそうな気がするが。
            >こういう問題起こす人は、機能が上がったとかでもないとわざわざアップデートしないでしょう。
            旧バージョンは互換性が無くなるので必然的にアップデートせざるを得なくなる。
            わざわざ「旧バージョンネットワーク」を作る有志がいれば別だが。

            >そもそも、逮捕されなければ塞がれていた問題って根拠あるの?。可能性はあるかも知れないけど。
            あれだけユーザの声を聞きながら細かくアップデート繰り返した作者が放置するほうが考え辛い。

      • でも家族が使ってるかもね
    • by Anonymous Coward

      無料セキュリティソフトで検出できるものが有料セキュリティソフトでは未対応とかよくあること

      # オフトピなのでAC
      # 新しい派生種の可能性のあるのでこの間 [srad.jp]のような不注意とは限らないかも
      # そもそもAntinnyに感染する100%は不注意ですかそうですか

      • >新しい派生種
        Winny同梱型のトロイなんて来たら結構怖いものがあります。
        すぐ現れるかと思っていたけど、意外にまだ現れていない(はず)ですね。

        親コメント
        • by Anonymous Coward

          >Winny同梱型のトロイなんて来たら結構怖いものがあります。
          >すぐ現れるかと思っていたけど、意外にまだ現れていない(はず)ですね。

          面倒なだけで無意味だからでしょう。

          • by Anonymous Coward
            無意味じゃないよ。とんでもない大フェスティバルになるよ。
            夕刊フジや日刊ゲンダイの記者から流出とか、
            ネトラン編集部、探偵ファイルから流出とか、
            キンタマウイルス作者のソースコードが流出とか、
            毎日新聞サイバー取材班と協力者のやり取りメールとか、
            超絶的な大祭りになるよ。
      • # そもそもAntinnyに感染する100%は不注意ですかそうですか

        流出して困るようなデータが入ってるPCでWinnyやってる時点で100%不注意じゃないの?
        Winny等のファイル交換アプリ以外から感染したAntinnyだった、というなら判らなくもないけど、そんなのってあったかしら?

        親コメント
    • by Anonymous Coward

      それより、antinyなんてセキュリティソフトがなくても引っ掛かってはいけないウイルスだと思うの。explorerが勝手に展開して発動する・・・とかだったらともかく、これはzipの中に露骨なexeでウイルスが入ってるわけで、この程度の危険認識すら出来ない人間はアングラに手を染めちゃイケナイ。

      圧縮フォルダや一括解凍ソフトを平気で使うリテラシーの低さもともかく、explorerで見ればフォルダとファイルの区別くらい出来るだろうに・・・・

      • いや、わかってても、なにかの弾みで実行しちゃう事はあるんだよ。
        シングルクリックするつもりが、手がすべってダブルクリックしちゃったり。
        キーボードに物を落としてキーを押してしまったり。

        ウィルスとかワームじゃないけど、間違ってexe実行しちゃって、ああぁぁぁってなった事があって、そのとき実感した。

        親コメント
        • by Anonymous Coward
          そういう時はシャットダウンするなりLANケーブル抜くなりするから情報流出しないのでは?
          • 自宅でウィルス対策ソフトを「たまたま」OFFにした状態で、
            寝ぼけてうかつなファイルをダブルクリックした経験者ですが、
            そういう状況で「すぐLANケーブルを...」とかってのはなかなか出来ないものです。

            まぁ被害を最小限にとどめることは出来るかも知れませんが「情報流出しない」と
            言い切るだけの措置をとるのはほぼ不可能と見ておいた方が安全でしょう。

            #あれ?おや?と思ってる間にファイルが消えていく。

            親コメント
        • by Anonymous Coward

          >手がすべってダブルクリックしちゃったり。
          >キーボードに物を落としてキーを押してしまったり。

          [XXXを実行して良いですか? Y/N]
          [XXXを実行して良いですか? Y/N]
          [XXXを実行して良いですか? Y/N]
          [XXXを実行して良いですか? Y/N]
          [XXXを実行して良いですか? Y/N]
          [XXXを実行して良いですか? Y/N]
          [XXXを実行して良いですか? Y/N]
          [XXXを実行して良いですか? Y/N]
          [XXXをインストールして良いですか? Y/N]

          「あ、しまった」ということはあるかも。
          #だからダイアログを乱発するのは危険だとあれほど。

          • by Anonymous Coward on 2009年01月19日 21時50分 (#1494532)
            「はい」と「いいえ」が適度に入れ替わるような質問にすればOK。

            [XXXを実行して良いですか? Y/N]
            [XXXの実行を中止しますか? Y/N]
            [本当にXXXを実行して良いですか? Y/N]
            [ではXXXを実行して良いですね? Y/N]
            [XXXの実行を承認しますか? Y/N]
            [やっぱりXXXの実行をやめますか? Y/N]
            [この確認ダイアログは6個目? Y/N]
            [ちょっとその場で立ってみてください Y/N]
            [あ、今「どっこいしょ」って言いませんでした? Y/N]
            親コメント
      • むしろExplorerで見ると.EXEファイルと.ZIPファイルの区別がつかない場合があります。

        .EXEファイルのアイコンリソースに.ZIPファイルのフォルダっぽいアイコンを付けておくそうです。

        親コメント
        • by Anonymous Coward

          未だに拡張子を見る癖をつけられない様な奴にPC使わせるなよと思う

      • by Anonymous Coward

        >explorerで見ればフォルダとファイルの区別くらい出来るだろうに・・・・

        いいえ。アイコン偽装されている場合は区別できません。

        • リスト表示にすれば、ファイル名が変に長かったりファイル種類が「ファイルフォルダ」ではないとか
          ファイルサイズがあったりとか、そんなんで一目瞭然ですが。
          親コメント
        • by Anonymous Coward

          ツリー表示されるのはフォルダだけだから、アイコン偽装されてても区別できるよ。
          その程度も分からない奴は関わるなって話じゃない?

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...