これまで、ファイル交換ソフトによる情報流出が明るみになったケースをみてみよう。原発に関する内部情報が流出した三菱電機プラントエンジニアリング、人事考課データ395人分が流出したNECファシリティーズ、携帯電話基地局の情報が流出したNTTドコモ東海などがある。個人情報保護法の対象外ではあるが、市民名簿1万1255人分が流出した秋田県湯沢市役所、捜査情報が流出した愛知県警などもある。

　こうしてみると、日頃からセンシティブな情報に接しているはずの事業所が多い。一体どこに落とし穴があったのだろうか。

ファイル交換ソフトは「ピア・ツー・ピア」の申し子

　不特定多数のユーザー間で、サーバーを介さずに、直接データのやり取りを行うインターネットの利用形態を「ピア・ツー・ピア (P2P、PtoP)」と呼んでいる。このP2P技術をベースに開発された代表的アプリケーションが、ファイル交換ソフト（例．ウィニー）である。主に、音楽、映像などのファイルのやりとりに利用されている。他のP2Pアプリケーションとしては、インスタントメッセンジャー（例．MSNメッセンジャー、Yahoo!メッセンジャー）、インターネット電話（例．Skype）などがある。

　企業で一般的なクライアント／サーバー環境とは異なり、P2P環境では、いちいちサーバーを介する必要はない。個々のパソコン同士で、データやメッセージをリアルタイムにやりとりする。ファイル交換ソフトを利用すれば、バケツリレー式に世界中の見知らぬユーザーと音楽や映像のデータを交換して楽しむことができるのだ。

　パソコンを追加し、アプリケーションをインストールするだけでネットワークを拡張することができるし、集中的な運用管理も必要ない。社団法人コンピュータソフトウェア著作権協会（ACCS）と社団法人日本レコード協会（RIAJ）の「ファイル交換ソフトの利用実態調査」によると、日本国内に現在約130万人ものファイル交換ソフト利用者がいるという。

利便性の裏側に潜むセキュリティのリスク

　利便性の高いP2Pアプリケーションだが、その裏ではセキュリティの問題がつきまとう。例えば、ファイル交換ソフトを使って他人のパソコンのファイルを入手できるということは、他人も自分のパソコンのファイルを入手できることを意味する。そのファイルに個人情報が含まれていたら、一瞬にして100万人以上のファイル交換ソフトユーザーに広がる危険性がある。しかも、流出した情報を回収することは不可能に近い。この点を突き、Winnyを媒介として感染するのが、「W32/Antinny (アンティニ−)」というコンピュータウイルスである。

　ところで、サーバーを介さないで通信／データ交換を行うということは、サーバー側でP2Pのアクセスやトラフィックを制御できないことを意味する。即ち、サーバー側にウイルス対策ソフトを装備しても、ファイル交換ソフトを悪用しようとするウイルスを検出できないのだ。

　最新のトラフィック管理ツールには、P2Pアプリケーションのトラフィックを検知・制御する機能を備えたものもあるが、中堅・中小企業が装備するようなレベルには至っていない。P2Pアプリケーションにはこのような落とし穴があるので、個々のパソコン側でウイルス対策を施すことが必要になる。

個人情報の置き場所にはインストールしない

　ファイル交換ソフトによる情報流出事件をみると、私物のパソコンが「W32/Antinny」に感染したというケースが多い。いずれにせよ、個人情報を保管するパソコンには、ファイル交換ソフトをインストールしないのが最善策だ。その他、ファイル交換ソフトの具体的対策については、独立行政法人情報処理推進機構 (IPA)のホームページの「ファイル交換ソフト使用上の注意事項」(http://www.ipa.go.jp/security/topics/20050623_exchange.html)に掲載されているので一読しておくとよい。

　次回は、USBメモリなど、便利になった外部メディアに関連して起きた事件を取り上げる。