及川です。
皆さんすでにご存知のとおり、Winny をはじめとする P2P ファイル交換/ファイル共有ソフトウェアによる情報漏えいの問題が社会問題化しています。少し前の日経 BP さんの「Winny 商法」にご用心にも書かれていますが、Windows の標準機能を用いることで、この問題に対応することが可能です。
ソフトウェア制限ポリシーでの対応
私の友人である PTRS の吉田氏のサイトにこのソフトウェア制限ポリシーでの対応の仕方とそのためのハッシュ値情報が掲載されました。
まず、吉田氏のサイトのソフトウェア制限のポリシーで P2P ファイル共有ソフトを実行させない方法をご覧下さい。ここでは、P2P ファイル共有ソフトウェアをソフトウェア制限ポリシーを用いて、その実行を禁止させる方法が解説されています。吉田氏のサイトではローカルセキュリティポリシーを用いた方法が解説されていますが、Active Directory とグループポリシーを用いた集中管理を行うことで中~大規模な環境における効率的な制御が可能です。
グループポリシーを用いて、ソフトウェア制限ポリシーを設定するには、MMC のグループポリシー スナップインから行います。適切なポリシーを選択し(以下の画面図ではローカルコンピュータポリシーを選択してしまっていますが、通常は OU などの Active Directory のコンテナを選択します)、[コンピュータの構成] → [Windows の設定] → [セキュリティの設定] → [ソフトウェア制限のポリシー] をクリックします。そこで、マウスの右ボタンで表示されるコンテキストメニューから [新しいハッシュの規則] をクリックします。
グループポリシーの図(クリックして拡大)"
ここで、たとえば Winny なら Winny のハッシュ値を入れることになります。再び、吉田氏のサイトの
P2P ファイル共有ソフトの「ソフトウェア制限のポリシー」用ハッシュ値一覧をご覧いただき、ここから実行を制限する Winny のハッシュ値をコピーし、[ファイル ハッシュ] の欄に貼り付けます。
これで該当の Winny の実行が禁止されます。試しに、Winny を起動してみると、次の画面のように、エラーが表示され、実行できないことがわかります。
これを実行を制限したい P2P ファイル交換ソフトウェアの分だけ行うことで、Active Directory 管理下にある Windows での実行を禁止させることができます。
Winny は亜種を含め、全部で 82 種類ほどあると言われています。残念ながら、吉田氏のサイトでもすべては網羅されていません。ですが、最近のポピュラーなものはカバーされていますので、これらの制限をかけるだけでも、かなりの効果があると思います。
参考情報: Windows XP におけるソフトウェア制限ポリシーの説明
サードパーティアプリケーションの利用
ご存知のように、サードパーティアプリケーションからも Winny 対策のソフトウェアが提供されています。その1つが Winny を介して感染する Antinny を削除するものです。これは、マイクロソフトからも悪意のあるソフトウェアの削除ツールとして提供されています(悪意のあるソフトウェアの削除ツールは Windows Update およびダウンロードページからダウンロードできます)。
多くのウィルス対策ソフトウェアではすでに Antinny の対応は行われているようですので、確実に最新のパターンファイルがダウンロードされていることを確認していただければと思います。
もう1つが Winny そのものを検出もしくは削除するものです。いくつかのベンダーがすでにこのようなツールを提供しているようです。その中にはネットワーク上流れるパケットを解析し、Winny の実行を検出するものもあります。ですが、この方法では、社員が Winny を社内ネットワークで実行した場合しか検出することができません。帰宅後にだけ Winny を使っているような場合には、この方法では検出できないことになります。これとは別にウィルス検出の場合と同じように、Windows のフォルダをスキャンし、Winny を検出/削除するものもあります。
後者のものを提供しているベンダーをここではいくつか紹介します。
シマンテックさん: Winnyによる情報漏えい対策に関するシマンテックの考え
シマンテックさんからは単体で Winny を検出することができるツールが無償で提供されています。こちらは GUI を表示させずに動作させることができ、上のサイトではログオンスクリプトで動作させることも簡単に解説されています。ログオンスクリプトである共有フォルダに検出ツールのログを吐き出させるなどすると良いでしょう。
マカフィーさん: Winny による情報漏えいにご注意を
マカフィーさんは製品の一部として Winny 自体を検出/隔離/削除するソリューションを提供しています。
トレンドマイクロさん: Winnyによる情報漏えい対策
トレンドマイクロさんは製品の一部として Winny 自体を検出/削除するソリューションを提供しています。
アークンさん: 情報セキュリティ対策製品 評価版ダウンロード
アークンさんからは単体で Winny を検出/削除するツールが無償で提供されています。ざっと見たところ、GUI は表示されるようですので、サイレントにログオンスクリプトで動作させることは難しいようですが、こちらは削除まで可能ですので、社員の方に協力を得て、定期的に起動していただくことを義務付けるのも良いかもしれません。
以上、4 社を取り上げさせていただきましたが、おそらくこれ以外にもあると思います。是非、自社で使われているセキュリティ製品を確認し、Winny 自体の動作を停止させたり、削除するようなソリューションがないかを確認していただきたいと思います。
Winny 自体が悪か?
もしかしたら、Winny 自体を削除する必要があるのかという疑問もあるかもしれません。
個人的には、P2P アプリケーションというのは、技術的にも社会的にも可能性を秘めた優れたアプリケーションだと思っています。ファイル交換ソフトウェアも著作権を無視し、不正にファイル交換してしまうユーザーの存在が問題にはなっていますが、技術的には非常に興味深いエリアで、今後発展の可能性も高いと思います。
しかし、少なくとも Winny に関してはバッファーオーバーフロー(ヒープオーバーフロー)の問題が指摘され、現時点では残念ながら修正が期待できないとなると、Winny を使うことそのものが極めて危険といわざるを得ません。現時点では、Winny の使用は禁止するしかないでしょう。
参考情報
以下、いくつかほかの参考情報です。
Winnyによる情報漏えいを防止するために(IPA さん)
こちら IPA さんから情報は一般的な Winny による情報漏えいのリスクから技術的および管理上の対策がカバーされています。
ファイル共有ソフトによる情報の流出について(マイクロソフト)
こちらは主に一般ユーザー向けの啓発を目的とした情報です。
企業向け: ファイル共有ソフトによる情報漏えいの防止策(マイクロソフト)
こちらは企業向けユーザーに対し、情報漏えいのリスクと対策について解説してあります。
SMS 2003による企業内のファイル交換ソフト、ネットワーク構築・通信ソフトの検出(マイクロソフト)
こちらは SMS を用いた対策が紹介されています。SMS ではソフトウェアインベントリーにより P2P ファイル交換ソフトウェアの検出やソフトウェアメータリングによる起動の監視を行うことができます。
今日は、Winny をはじめとする P2P ファイル交換ソフトウェアの対策について整理してみました。いくつかはすでに知られているものだと思いますが、現時点で有用と思われるものを整理してみましたので、皆様のご参考になれば幸いです。
マイクロソフト
及川卓也