スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

--年--月--日 スポンサー広告 トラックバック:- コメント:-

Winnyに脆弱性だそうです

 私は基本的にWinny自体が悪だとは思っていません。政府の言うようにWinnyの使用を中止することが根本的な漏洩対策だとは思っていないのが本音です。(最近では漏洩対策などを啓蒙する場所が増えてきたのは好ましい状況です。でも政府の啓蒙は十分とは言えません。)

 しかし、こんな記事を見るとWinnyを使い続ける人はどうかと思わざるを得ません。

 ・Winnyにバッファオーバーフローの脆弱性、回避策は「利用の中止」のみ(IT Media)

 P2Pファイル共有ソフト「Winny」に、バッファオーバーフローの脆弱性が存在することが4月21日明らかになった。

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が運営する脆弱性情報公開サイト、JVN(JP Vendor Status Notes)によると、Winny 2.0 b7.1およびそれ以前の通信処理に脆弱性が存在する。細工を施されたパケットを受け取るとにバッファオーバーフローが発生し、Winnyが異常終了する可能性がある。米eEye Digital Securityの鵜飼裕司氏が発見し、IPAに問題を報告した。

 開発者による脆弱性への根本的な対策(パッチや新バージョンなど)は存在しないため、Winnyの利用を停止することが回避策となる。

 JPCERT/CCによると、設定の変更などによる回避策は確認されていない。

 またWinny作者の金子勇氏は、JVNの情報の中で「諸般の都合により、Winnyのアップデートおよび脆弱性の具体的な検証が困難な状況にある」とコメントしている。

 JVNではこれまで、「情報セキュリティ早期警戒パートナーシップ」に基づき、基本的に対策が準備された後に脆弱性情報を掲載してきた。しかし今回のWinnyの脆弱性については、対策が存在しないままの情報公開となる。金子氏本人、あるいは第三者によるパッチの提供が、著作権違反の幇助、もしくは幇助の幇助になる可能性があるためだ。

 なおJPCERT/CCによると、この脆弱性を悪用した実証コードや攻撃などの情報は確認されていない。

 また、一般にバッファオーバーフローの脆弱性は、システムを停止(DoS)状態に陥れるだけでなく、任意のソフトウェア(悪意あるソフトウェアも含む)が実行される可能性がある。これに対し金子氏は、Winnyについてはさまざまな部分でチェックをしているため、「仮に仮にバッファーオーバーフローの脆弱性への攻撃を想定した場合でも、これによりあらゆる任意のコードが実行が可能という訳では無いと判断」しているという。


 どの程度の攻撃が可能なのかは分かりませんが、開発者によるパッチが出せない以上、Winnyを使い続けることは危険だと言わざるを得ません。

 しかし、勘違いしてもらって困るのは、今までの一連の情報漏洩事件が「漏洩者の知識・意識の低さが原因で起こるものであり、ソフトウェアは引き金に過ぎない」と言うことです。

 もともとPCをインターネットに接続するということは自分のPCに外部の世界との扉を作るということです。その扉からは有用な情報を得ることも出来るし、必要な情報を相手に送ることも出来ます。ただ、同時に自分が出したくない情報まで出してしまう可能性も当然あるのです。

 これがアナログの情報(例えば銀行の預金通帳など)であれば勝手に第三者に渡してしまう可能性は低いでしょう。しかし、デジタル情報になると知らないうちに漏洩してしまう可能性は高くなります。

 このようなリスクはどんなソフトを使おうがPCをインターネットに繋いでいる以上背負わなければいけないものです(もちろんリスクの大小はありますが)。そのような意識改革をしないままにWinnyの使用を禁じるのはインターネットの負の側面だけ強調するようなもので、将来日本でのインターネットの発展を阻害するものです。

 多少話が横道に逸れてしまいましたが、今後Winnyは使い続けない方が良いです。これだけは言えます。

 (追記)

 KNTYさんからトラックバックをいただいているのですが、表示されないようなので、記事内にリンクを入れます。私の記事より「バッファオーバーフロー」など専門用語にも詳しく説明を入れています。

 ・Winnyにバッファオーバーフローの脆弱性、回避策は「利用の中止」?(One And Only)
スポンサーサイト




出来れば二つほどクリックをお願いします。→ FC2 Blog Ranking







2006年04月21日 セキュリティ トラックバック:- コメント:5

全国の警察の調べでは、数百台のPCからウイニーパソコンが発見されたみたいですね。
業務としてPCを使う以上、最低限の知識と意識を持ってほしいと思います。

PS.その後何度かTBかけているんですが、届かないようです。

もうしばらく、様子見ます。

応援クリックさせていただきました。

2006年04月21日 KNTY URL 編集

KNTYさん、
トラックバック効かないようであれば本文にリンクを入れておきます。
私のせいではない(と思う)のですが、本当に申し訳ないです。

2006年04月21日 さいごう URL 編集

ん~!!未だにWinnyを使い続けてる人って、この手のニュースを見てないか、セキュリティ意識が全く無い方々なんじゃないでしょうかねぇ・・・なんて思ってしまう今日この頃

2006年04月22日 お調子者 URL 編集

最近のニュースで興味を持った人でウィニー使い始めた人は増えてるかもしれませんよ。

2006年04月22日 おいどん URL 編集

お調子者さん、
意外と自分は知識があるから大丈夫と思っている中途半端に詳しい人が多いのでは?なんて私は思っている今日この頃(笑)

おいどんさん、
私は使い方さえ考えれば別にいいと思いますが、今後はそうも行かないですね。

2006年04月22日 さいごう URL 編集












管理者にだけ公開する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。