Winnyプロトコル互換の閲覧ソフト「Nyzilla」がリリースされる 134
ストーリー by hylom
Winnyキラーとなるか 部門より
Winnyキラーとなるか 部門より
セキュリティ研究者の高木浩光氏が、Winnyプロトコルを使用してWinnyネットワークで公開しているファイルを閲覧するソフト「Nyzilla」をリリースした(高木氏によるリリース告知)。
NyzillaはIPアドレス(もしくはURI)で指定したWinnyノードでどのようなファイルが公開されているかを確認できるソフト。
Nyzillaで閲覧して表示されるファイルは、そのサイトでアップロードフォルダに格納されたファイルか、または、「Cache」フォルダに格納された(他からダウンロードして溜め込んだ)ファイルです。
とのことで、そのノードで意図的に公開したファイルだけでなく、キャッシュについても確認できる。
高木氏は以前より「Winnyなどの日本のP2Pファイル共有クライアントでは、自分がどのようなファイルを公開しているのかが分かりにくい」といった旨(香母酢とライムの違いから日本の異端ぶりを読み解く)や、「Winnyネットワークを可視化するべきだ」などの主張をしており、Winnyネットワークの観測や関連ツールの開発などを行っていた。
なお、NyzillaはWinnyネットワークへのファイルのアップロードや、ダウンロード機能は備えていないとのこと。対応OSはWindows。
日本のP2Pソフトの特徴 (スコア:4, 興味深い)
日本では商売にはならんしね。
ダウンロード・サイトがとっても可愛い (スコア:3, おもしろおかしい)
この娘はなんて名前なのか気になる
ウイニー挿したフォークを持ったXジラも愛嬌があってとってもよろしい
Re:ダウンロード・サイトがとっても可愛い (スコア:2, 参考になる)
つファイル名 http://takagi-hiromitsu.jp/Nyzilla/nijiko.png [takagi-hiromitsu.jp]
Re:ダウンロード・サイトがとっても可愛い (スコア:1, 参考になる)
Re:ダウンロード・サイトがとっても可愛い (スコア:1, すばらしい洞察)
Re:ダウンロード・サイトがとっても可愛い (スコア:1, すばらしい洞察)
なんてこった、俺のひろみちゅが壊れてしまった・・・。
高木先生ってこういうキャラだったっけ?
Re:ダウンロード・サイトがとっても可愛い (スコア:1, すばらしい洞察)
セキュリティホールメモの小島先生@龍谷大もいもうとデスクトップのリリースをチェック [ryukoku.ac.jp]してたりと、セキュリティ業界には隠れ&最近カミングアウトのオタッキーが多いのかもしれません。
Re:ダウンロード・サイトがとっても可愛い (スコア:1)
そもそもオタク属性を持たないIEエンジニア何て居るのか?ITエンジニア⊂オタクなのは常識だし、あえてカミングアウトしなくてもオタクであることは分かるだろう。とんな種類のオタクなのかをカミングアウトする場合はあるだろうけど。
#オタクであることは有能なITエンジニアになるための必須条件です。
Re:ダウンロード・サイトがとっても可愛い (スコア:1)
いや、その AC は私じゃないし……。
----
エリス中尉萌
Re:ダウンロード・サイトがとっても可愛い (スコア:1, 興味深い)
んー、C、いや、Bカップかな
もちつけ、これは罠だ (スコア:2, おもしろおかしい)
なんて状態で何人のマヌケが怪しいファイルを実行してしまうかを監視してニヤニヤしてるとか。
Re:もちつけ、これは罠だ (スコア:1)
彼のwinnyに関する記事を愛読してる人ほどNyzillaの動作は見てみたいが、その他の記事を愛読している人ほど実行できないというジレンマですね(笑 私もその一人です。
実際あれだけ、なんかサービスをやるならセキュリティ対策ちゃんとやってから運用しなさいと言ってたのに、間に合わないという理由だけで対策が甘い?というのは...過去に遡上にあがったサイトのいくつかは、やっぱり期限に間に合わないからという理由でチェックが甘くなってたんじゃないんですかね^^;
Re:もちつけ、これは罠だ (スコア:1)
まぁそうですし、実際に日記のほうにもそう書いてありますね。
でももしやっぱり分からない人はhttpで署名なしでとってきて実行しちゃうんじゃないですかね。そういう習慣は良くないと何度も書いてますよね...正しいことをいつも書いてますが、時には名指しで、できることをやっていない人に、なんでやらないか、と書いてきてますからね^^; ここ読者多いから知人のページが題材に上がったときは心配しましたよ。指摘は正しくて知人は優秀な人でしたので、すぐ修正したから良かったですが。
twitterによると書類きたみたいですね。
Re:もちつけ、これは罠だ (スコア:1)
いえ、そんなことはないです。上にあげた事例は個人のソフトウェア開発プロジェクトです。
確かに個人で署名をする環境がなかなか整ってないのが現実ですし、みなそうすべきとは思わないのですが、高木さんですからね。しかもこれもし間違ってにせNyzillaが出回ったら危ないです。
Re:もちつけ、これは罠だ (スコア:1)
対策が甘いという話で遡上に上がって結果的に個人で署名をするようになった感じなので、ちょっと蒸し返したくはないです。
個人でソフトウェアに署名というのが初ということはないかと。x64 Windowsでは現在ドライバは署名が必須なので個人でドライバを作成されている人の中には署名している人もいます。まだまだ少ないですし、手間や料金面で大変みたいですが。
Re: 残念ながら、コード署名用の本人確認通知が StatCom CA からまだ届かないので (スコア:2)
そーか、OpenPGP はおよびではないのか。
Re: 残念ながら、コード署名用の本人確認通知が StatCom CA からまだ届かないので (スコア:2)
つなぎで この鍵 [nic.ad.jp] でも使っておけばいいのに。いや、もちろん https も併用でさ。
それとも、実は別人?
いや、だから三文判感覚で普段からあちこちに署名しておくといいと思うんだけどね。セキュリティ関係者ならなおのこと。
リリースを見て思ったこと (スコア:1, 興味深い)
Winnyの問題点は脆弱性に対応が追従出来ない点じゃないの?
違法コンテンツそのものが社会的混乱を招くわけもなく。
可視化するのは公開情報確認の一つの手段であり、そもそも不要な情報を公開しないように未然に防ぐ手段の方が大事だろう。
Re:リリースを見て思ったこと (スコア:2, 興味深い)
実際、無罪判決を勝ち取ったのに、作者は修正してないよね。
> 違法コンテンツそのものが社会的混乱を招くわけもなく。
いや、もう大混乱を招いているけど。
ダウンロード違法化や児童ポルノ単純所持違法化っていう動きには
Winnyでばら撒かれる違法コンテンツそのものが影響してる。
> 可視化するのは公開情報確認の一つの手段であり、
> そもそも不要な情報を公開しないように未然に防ぐ
> 手段の方が大事だろう。
Winnyは、作者が違法コンテンツを脱法スレスレにばらまくための
ツールとして作ったもので、第三者に二次配布させるのが特徴。
第三者は、自分がどんな違法コンテンツをばら撒いているのか
わからないので、警察に逮捕されても「知らなかった」と言える。
ところがNyzillaを使うと、誰がその違法ファイルを配布してるのか、
自分がどんなファイルを配布しているのか分かるわけ。
このようなツールが存在する以上、自分は善意の第三者でただの
利用者に過ぎず、違法コンテンツ配布に意図的に手を貸してはいない
と逃げることが難しくなるかも。
Re:リリースを見て思ったこと (スコア:2, すばらしい洞察)
>実際、無罪判決を勝ち取ったのに、作者は修正してないよね。
大阪高検が上告しているのでまだ判決は確定していないからです。
Re:リリースを見て思ったこと (スコア:2, 既出)
検察が最高裁へ上告したので、判決が確定したわけじゃないですね。
Re:リリースを見て思ったこと (スコア:2, 興味深い)
そもそも公開しちゃうのはWinnyの脆弱性じゃないだろうに。
もちろん実体を言ったらその通りなんだろうけど技術論から言ったらNyzillaだって流通しているファイル"名"を知るソフトでしかないわけだ。
あのexeのファイルがウイルスだって誰が証明するん?
作者が落として確認していない以上、単なる言いがかりだよね
Re:リリースを見て思ったこと (スコア:1, 参考になる)
>自分がどんなファイルを配布しているのか分かるわけ。
わかるけど、かなり手間(他のIPを用意して自分のWinnyを覗く)をかけないとわからないわけで、それをするくらいならwinny cache infoとかで定期的に変なものが意図せず混じっていないかをチェックした方が簡単だと思う。
Re:リリースを見て思ったこと (スコア:2, おもしろおかしい)
「知らん」で済んだらケーサツは要りません。
Re:リリースを見て思ったこと (スコア:3, すばらしい洞察)
教育
ちゃんとした使い方? (スコア:1)
Winny で、ゲットするというのは、
ちゃんとした使い方なのだろうか?
Re:このツールが最高にヤバイのは、有名人のIPアドレスがバレたときw (スコア:2)
クリエイターAさんが、個人事務所のようなことをしておき、従業員の中のバカ1名がnyやってたとする。
そしてもクリエイターAさんの罪になってしまうのか。
#監督責任か・・・致し方ないか。
-- gonta --
"May Macintosh be with you"
Re:このツールが最高にヤバイのは、有名人のIPアドレスがバレたときw (スコア:1)
実名公表はしていませんが、高木氏自身も2009年08月30日の日記「ダウンロード違法化反対家の知られるべき実像」 [takagi-hiromitsu.jp]で、似たようなことをしてますね。
この場合、Nyzilla ではなく、独自の情報収集データからの調査ですが、
Winnyはポート番号がランダムなために、「ある日時でのIPアドレス」から、
その後IPアドレスが変わってもポート番号で追跡調査可能というすごいことになってます。
そもそも外国にソフトを送信するのは関税法違反では? (スコア:1, 興味深い)
そもそも外国にソフトを送信するのって関税法違反じゃないのかね。
そう言う意味では、外国人からお前の日本製ソフトを
送ってくれと言われたら関税法に違反するからダメだと断らなくてはいけない
と思うんだが。
法学的にはセーフなんだろうか、アウトのような気がするんだけどな。
この手のソフトの誤解 (スコア:1, すばらしい洞察)
Re:この手のソフトの誤解 (スコア:3, すばらしい洞察)
ヘッダ程度がダウンロードテストできるようですね。実行形式とかなら取り敢えず判別出来るでしょう。
Winny だと偶然知っている IP アドレスにつながるのを待たなきゃならないけど、
これだと特定の IP アドレスで Winny やってるかが狙い撃ちで調べられるってことなのかな?
閲覧にはポートが必要っぽいからポートスキャンも必要になるかねぇ?
# 企業、自鯖を標的にして晒し上げとかが起きるのかな?
Re:この手のソフトの誤解 (スコア:2)
Re:この手のソフトの誤解 (スコア:3, すばらしい洞察)
ちゃうちゃう。
ファイル名が著作権侵害してそうだからって、中身が本当にそれか分からないということでしょ。
「水戸黄門 The Movie.avi」というファイルをDLして、開いたら「無断アップロードは違法」ですって文字が流れてるだけかもしれないし、ウィルスかもしれない。
ファイル名だけ見て、権利侵害してるファイルが90%流通してる!と判断するのは早計であるってことじゃない。
Re:この手のソフトの誤解 (スコア:1)
こういうツールが3年前にあれば…… (スコア:1)
金子氏逮捕のかわりに捜査協力要請してこういうツールを作ってもらえば、状況はだいぶましだったんじゃないでしょうかね。
たとえ金子氏の協力が得られなかったとしても、開発環境丸ごと押収してたんだからソースコード解析できればあっさり作れたんじゃないかという気がするんですが……。
まあ、結果論なんでいまさら穿り返してもしょうがないですが。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:こういうツールが3年前にあれば…… (スコア:1, 興味深い)
警察もセキュリティを商売にしている各社も似たようなツールは既に持っているでしょう。
じゃなきゃWinnyのノード数の統計とか発表できないし。
高木氏は建前としては一般ユーザーへの啓蒙として公開していますが、現実にはそんな一般ユーザーが
Nyzillaまでたどり着く可能性は低いし、導入して反省する可能性はもっと低いでしょう。
Re:こういうツールが3年前にあれば…… (スコア:1)
少なくとも、Winnyユーザーに脅しをかけるために金子氏を訴える必要はなくなったんじゃないかと思うわけだが。
訴訟がなければ、その後に発生したAntiny問題があそこまで無対策のまま放置されることもなかったわけで。
ツールの有効性がさほどなくても、金子氏謹製のツールを使って捜査しているという事実があれば、当時割れ厨の間に広がっていたWinny神話はあっさり崩壊しただろうし、影響は大きかったんじゃないかなぁ。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Nyziula? (スコア:1, すばらしい洞察)
何が高木先生を……… (スコア:1, 興味深い)
アイコンとか外注する気にさせたのか知りたい………
Re:DATA LINK ESCAPE (スコア:1)
間違えて CTRL+P あたりを押してしまった typo ではないのでしょうか。
Re:閲覧サイト検索機能が無い (スコア:3, 参考になる)
自社のIPアドレスを検索したら転送リンク使用可否テストで停止だったので、ちょっぴり安心しました。
>Winny利用者の方がNyzillaを使用する場合、自分のWinnyを閲覧する際に、
>同じコンピュータでNyzillaを動かしてもアクセスできません。
>プライベートアドレスを入力してもアクセスできません。
> また、グローバルIPアドレスを入力しても、プライベートアドレスの割り当てられた
>同じLAN 上のコンピュータからでは、アクセスできません。これは、Winny側の制限によるものです。
外からやんないとだめぽ。
Re:閲覧サイト検索機能が無い (スコア:1)
閉じた環境で適当なアドレスを振って作った my internet じゃダメなんですか?
Re:閲覧サイト検索機能が無い (スコア:3, おもしろおかしい)
> そんな仕様なら、ソフトウエア公開じゃなくてWebサービスの方が便利だった
> のかも…とか一瞬考えたりしたのですが。当然、そんなWebサービスのIPは蹴る
> 手段が出回るだろうから、各自が色んな場所でインストールするソフトウエア
> じゃないとマズいんですね。
そこでP2Pなんかどうでしょうかね?
Re:これ使っても法的に問題ないの? (スコア:3, 参考になる)
ので問題ないのではないでしょうか。
それにしても、Javaアプリっぽいけど、なんでWindows版のみなんだろう。 開発中画面はMacOS Xだったんだけどなぁ。
ネイティブコード化 (スコア:2, 興味深い)
>Javaアプリっぽいけど、なんでWindows版のみなんだろう。 開発中画面はMacOS Xだったんだけどなぁ。
Javaだと簡単に逆コンパイルができて、それを元にBetter Winnyが作られる可能性があるからかなあ。
Re:これ使っても法的に問題ないの? (スコア:1, 参考になる)
で、ポエム取得してどこが違法なんだよ。
Re:これ使っても法的に問題ないの? (スコア:2, 興味深い)
ドウシテオレハ、ココニイルンダ!
Re:これ使っても法的に問題ないの? (スコア:1)
って、作者が「公開されているデータと考えるべき」と言ってるから問題ないのか。
Re:これ使っても法的に問題ないの? (スコア:1)
Re:これ使っても法的に問題ないの? (スコア:1)
音でも映像でもないファイル名とノード情報だけだから関係なさそうだし、問題になるとしてもユーザーじゃなくて高木氏だし、刑事じゃなくて民事だけど。