Winnyとウィルスとセキュリティホールと
Winnyが残したもの - アンカテから。毎日のようにWinny関連の情報漏洩が取り上げられ、Winnyに対して変な観念が生まれつつある中で感じたことです。
Winnyはバージョンアップを停止しているにもかかわらず、致命的なセキュリティーホールが発見されてない。これは、天才プログラマーの仕事としては当然のことなんだろうが、普通のことではない。
(中略)
Winnyは安全である。メーラーやブラウザのように、外部から来たデータがオペレータの意図に反して、間違って実行されてしまうことがない。
(中略)
Winnyが危険であるというのは全くの間違いで、外部から来た信頼できないデータをプログラムとして実行してしまうことが危険なのである。「暴露ウィルス」では、実行するのは馬鹿なユーザであって、Winny本体が勝手に外部から来たデータを実行することはない。
Winny自体は安全なソフトウェアであって、危険なのはWinny上で広まっている暴露ウィルス(とそれを実行するユーザ)であるということがid:essaさんの主張です。セキュリティホールが出ていないので、そんじょそこらのソフトウェアより安全なソフトだろうということです。
しかし、自分はちょっと違った観点が思い浮かびました。セキュリティホールが見つかっていないのは、アタッカーがセキュリティホールを見つける必要がないからではと。
最近話題になっているように、Winny上を流れる暴露ウィルスに引っかかるユーザが後を絶ちません。アタッカー側からしてみれば、頑張ってセキュリティホールを見つけなくとも十分に悪さが可能なのです。もちろん、Winny自体にセキュリティホールを見つければ今以上に高度な悪さができることは確かでしょうが。
これは、Winnyが今までのソフトウェアに比べてより一般ユーザに親しみやすいソフトであったために起こった現象かもしれません。
例えば、WebやEメールを使用してもファイル交換はできますが、まだ結構な手間がかかるためこの用途で積極的に使っている人は多くありません。こういう状況下では、ユーザが限られているしウィルスの扱いに慣れたユーザが多いので、なかなかウィルスに感染する人はいません。とすると、アタッカーからしてみれば、Webサーバやメールサーバのセキュリティホールを狙う方がウィルスを作成するより効率がいいということになります。
しかし、Winnyは(ファイル交換という点では)画期的なソフトウェアで、一般ユーザにとっても扱いやすい便利なものでした。このため、あまりウィルスの取り扱いに詳しくないユーザでもWinnyをどんどん導入し、その結果暴露ウィルスに引っかかる人が増えたというわけです。この状況下では、必死にセキュリティホールを探さなくともアタッカーは目的を達成することが可能となります。
解決策としては、Winnyというものを分かった上で導入するべきですね。ただ便利というだけで安直に導入しない。メリット・デメリットを把握した上で使用するということですね。
しかし、これが一番難しいのですよね。だって人は一度便利さに慣れたら、不便な状況に戻りたくない生き物ですから…