金子勇とWinnyの夢を見た　第19話　杉浦隆幸とネットエージェント

※この記事は、Advent Calendar 2023 『金子勇とWinnyの夢を見た』の二十日目の記事です。

金子勇とWinnyの夢を見たのカレンダー | Advent Calendar 2023 - Qiita

起業

　杉浦隆幸氏は、1998年に個人事務所として、ネットワーク・セキュリティ監査サービスを提供するNetAgentを設立し、技術責任者となりました。

　独自に開発した「サイトアナライザー」が公開され、無料で利用できましたが、ログの診断報告書が5万円、対策方法も付けた診断書が15万円で販売していました。

　また、ネットワーク内部を検査する「サイトエージェント・ローカル」も提供しており、料金は50万円からとなっています。

　2000年６月１日に東京理科大学を中退してネットエージェント株式会社を設立し、9月に「Packet Blackhole」を発売しました。通信内容をパケット単位で記録・解析し、社員による機密漏洩や外部からの不正利用を防げます。

Winny対策

　2004年1月27日、SoftEtherや2チャンネルなどの通信をブロックする「One Point Wall」の販売を開始しました。

　ブロックする対象毎に「One Point Wall ２ちゃんねる書き込み」「One Point Wall SoftEther」「One Point Wall WinMX」「One Point Wall FFXI」と、4つの製品が用意され、複数のコンテンツを1台にまとめた「One Point Wall カスタム」もあります。

　開発のきっかけはSoftEtherのベータ版が公開停止になったことでした。2003年12月から解析を進め、1月6日頃に原型が出来上がります。

　Winnyについては、2003年10月頃から解析を始めていました。通信の中身をキャプチャーしたり、メモリダンプも行い、解析には、Packet Blackholeが役に立ちました。誰もがお手上げだったWinnyだったのですが、ホワイトハッカーの杉浦氏は、糸口を見つけ出します。

　先の製品を発表した後で、Winnyも対象にしてほしいという要望があり、2月27日に「One Point Wall Winny」を発売することになりました¹。世界で初めてWinnyの暗号解読に成功したことで、杉浦氏の名前が広まりました。

　この製品の登場によって情報流出が止まると期待されましたが、そうならずに次々と出てきます。通常、そのような場合はソフトウエアをバージョンアップします。しかし、Winnyは作成者が逮捕され、バージョンが固定されてしまいました。対策ソフト作成側としては新たに対応しなくて済みますが、開発者として見ると「困ったなぁ」という状態でした。

Winnyを悪用するウイルス

Antiny

　Winnyでアップロードを許可すると、ユーザーが指定した公開フォルダーの内容が公開され、他のWinnyユーザーは検索に引っかかったフォルダーの中身を自由にダウンロードできます。

　2003年8月に見つかった「W32.HLLW.Antinny」はこの機能を悪用し、ユーザーが意図しないファイルやフォルダーを勝手に公開してしまいます。何が公開されるかは、その時のウイルスの挙動次第で、運悪く機密情報や個人情報が保存されたフォルダが対象となると、そのファイルが拡散することで情報流出となります。

　それだけでなく、自分自身のコピーを公開フォルダーに紛れ込ませ、増殖していきます。

Antiny.G

　Antinnyの亜種「Antinny.G」は、通称キンタマウイルスと呼ばれ、2004年3月に見つかった更に悪質な暴露ウイルスです。

　Antiny.Gは、スクリーンショット、デスクトップの全ファイルをWinnyネットワークに流出させ、警察の捜査情報、自衛隊の内部資料などが流出しました。デスクトップには重要なファイルが置かれていることが多いので、致命度の高い攻撃です。

　また、このウイルスは、コンピュータソフトウエア著作権協会（ACCS）のWebサーバに対してDoS攻撃をしたとも言われています。2004年9月9日にACCSがwww.accsjp.or.jp を破棄せざるを得なくなる事件の原因となったのかもしれません。

TORJ_ANTINNY.C

　2005年3月には「TORJ_ANTINNY.C」（通称、欄検眼段）が見つかります。

　このウイルスは、ディスク中のデジカメ画像（DSC*.JPG）を検索し、Winnyネットワークに流出させます。中でも極めてプライベートな写真が流出すると、興味本位で多数の人にダウンロードされてしまいます。

　その後も、流出するファイルや流出先を変えた多数の亜種が出現しました。

山田オルタナティブ

　山田オルタナティブは2006年2月ごろに発見されました。

　このウイルスは、Winnyネットワークで感染・増殖し、HTTPプロトコルを使って情報を流出させます。感染したパソコンがWebサーバーとなり、パソコンの中身を全世界に向けて公開してしまうのです。

　山田オルタナティブは、Winnyを動かす必要なく情報公開されてしまうため、極悪非道、凶悪なウイルスと呼ばれ、恐れられました。

原田ウイルス

　2007年末頃から広まり始めた原田ウイルスは、ウイルスファイルを実行した際に「原田」と名乗る人物画像が表示されるため、この名称が付けられました。ただし、この「原田」という人物はウイルスの作成者ではなく、作成者の同級生でした。

　画像表示と同時にダウンフォルダ内部の動画ファイルが全削除されたり、デスクトップ画面をキャプチャしてメール転送されるなど、様々な挙動をするものがありました。

　原田ウイルスは専用のソフトウェアを使って容易に作れるため、亜種は100種類を超え、駆除方法も1つではありません。

　原田ウイルスMk-Ⅱは、Program Filesフォルダのファイルを削除したり、不正ファイルをインターネットからダウンロードします。削除しても、再感染させる仕組みも備えています。

　ウイルスの作成に使用するソフトウエアは、P2P-Destroyer Proと呼ばれ、GUIで操作できます。ウイルスの中に、以下のようなテキストが埋め込まれていました。

伝説の男原田＜省略＞参上！！
今すぐここにTELだっ！
さもないと、原田＜省略＞が君の家にやってくるかも！
TEL054-＜省略＞-8900(笑)
このファイルは原田ウィルス付きですぽ
すでにあなたの情報は世界中に漏れてますぽ
だからP2Pは早くやめろよ!
..このファイルは捏造です。
今すぐP2Pをやめなさい
でないと、原田＜省略＞があなたのお宅にやってきます
TEL077＜省略＞-2809(嘘)
この捏造ファイルはウィルス付きですよ
すでにあなたの情報は世界中に漏れてますよ
だからP2Pは早くやめろー!

『「原田ウイルス」について』²より

　P2Pの危険性を示し、利用をやめるよう説得しています。制作者は、違法行為を取り締まる正義の味方のつもりだったようです。最近の私人逮捕事件と同類のように思えます。

　2008年1月24日、京都府警ハイテク犯罪対策室と五条署は、「原田ウイルス」を作成した大学院生を著作権法違反容疑で逮捕しました。ウイルス作成者の逮捕は国内で初めてとなり、またもや京都府警ハイテク犯罪対策室が「初」をゲットしました。

　しかし、日本でウイルス罪が設けられたのは2011年からです。従って、京都府警ハイテク犯罪対策室の「裏技」の出番となります。作成された複数のウイルスの中に、アニメ「CLANNAD」の静止画が使われているものがあり著作権の侵害とします。また、ウイルス名にもなった同級生「原田」さんの画像を使用したことで名誉毀損を加えました。

　2008年5月16日に、原田ウイルスの作成者に京都地方栽培所は、懲役2年、執行猶予3年の有罪判決を下しました。

タコイカウイルス

　2009年に被害が見られたタコイカウイルスは原田ウイルスの亜種で「破壊型」ウイルスです。実行するとダミーの動画が再生されるだけのように見えますが、裏ではパソコンに保存されているファイルを、イカ、タコ、ウニ、モグラなど17種類の画像で上書きしてしまいます。上書きなので、復旧が困難で、システムファイルが上書きされると起動もできなくなります。

　自身で感染を広げる機能や、脆弱性を悪用する機能はなく、単機能のソフトウエアでしたが、ファイル名やファイルサイズを偽装することで被害が拡大しました。

　このウイルスを作成したのは、「原田ウイルス」を作成し、先に逮捕された人物と同一人物でした。「原田ウイルス」の時は、使用した画像が著作権などに抵触したのが問題となり、ファイルの削除については取り上げられませんでした。そこで、画像を自作すれば罪に問われないと考えての犯行でした。

　男性は、執行猶予中で既に就職していたようですが、警視庁は2010年8月4日に器物損壊容疑で逮捕し、2011年7月20日、東京地裁は懲役2年6ヶ月の実刑判決を下しました。

「ウイルスによりパソコンに保存されたデータがイカやタコの画像ファイルに置き換えられると、いくらパソコンが動いても、あるいは初期化すれば買った時の状態からまた使うことが出来るとしても、そのパソコンを実際上使えないようにしたといえる」³と言う理由で、ウイルスによるハードディスク破壊に器物損壊容疑を適用したのは初めての事例でした。

フォレンジック・サービス

　ネットエージェントは、2004年5月13日に、Winny上にどのようなファイルが共有されているかを調べ、共有者を特定するクローラーを開発します。そして、2005年6月からフォレンジック・サービスを開始しました。

　ノードクローラーを動かし、情報漏洩があったら会社名もすぐわかるような仕組みを作りました。できる限り沢山のISP（Internet Service Provider）と契約し、ISPのどこかがWinnyネットワークを止めても継続して調査できるようになっています。

　また、「Winnyファイル拡散防止サービス」を作ります。アップロードされてもファイル所有者が少ない時に対応すれば、拡散を防げる仕組みです。情報漏洩ファイルだけを狙い撃ちでダウンロードできなくする仕組みで、通常のWinnyユーザーの邪魔はしないようになっていました。

　Winnyを使った情報流出は、2006年前半に大きな話題になりましたが、その後は報道も少なくなり、沈静化したと思われていました。

12月上旬時点のウィニー利用者は、34万~45万人。昨年9月頃と比べてあまり減少は見られない。流出した企業にはなるべく公表しないよう呼びかけていることが、表面化が少なくなった1つの理由だ

『終わらない情報流出　フィーチャー～消えない過去に盲点　水面下で流出が加速』⁴より

　公表すると流出した情報を手に入れたいと考える人が増えて、被害が一層広がります。広報の教育とやマスコミ対応が非常に重要となります。

あまり知られていないが，漏えいしたファイルの半分くらいは自然に消えている。なぜかというとＷｉｎｎｙのユーザーはキャッシュがたまってくると削除するのが普通だからだ。漏えいファイルのキャッシュを持っている人がいなくなれば，Ｗｉｎｎｙのネットワークからは消えていることになる。人気が無く，注目度の低いファイルほど，しばらくすると自然に消える。
《中略》
我々の技術でキャッシュが消えているか消えていないかは完全に分かる。キャッシュを誰が持っているかも分かる。Winnyユーザー50万人の動向をだいたい2週間くらい見ていれば把握できる。2週間かかるのは土日しかWinnyを使わない人もいるからだ。

『特集～根本対策は業務と私有パソコンの「完全分離」』⁵より

　しかし、それでも消えないケースはあります。その場合、キャッシュを持っているユーザーにお願いして、キャッシュを消してもらうしかありません。時間が経つと更に拡散されるので、スピード勝負で非常に労力がかかりますが、半分くらいは消すことができたということです。

Winnyの利用者計測

　Winnyの利用者を計測は、初期は2003年頃から株式会社ネットアークがP2Pノード自動探索システム「P2P FINDER⁹」を使って行っていました。

　もう1つは、2001年からコンピュータソフトウェア著作権協会（ACCS）が行っていたアンケート調査です¹⁰。裁判に証拠として提出されたものの、利用者数についてはあくまでアンケートなので不正確です。2007年からは「P2P FINDER」を使用したクローリング調査を追加しています。しかし、調査手法が限定的であるため、信用性は高くないと思われます。

　一方で、ネットエージェントは高度な技術力を用いて、独自のクローラーで調査をおこなっていました。

　ネットエージェントの調査によると、Winnyの利用者数は、2006年年の約40万人がピークだったと思われます⁶。2009年には30万人と減っていきますが、原因として、偽のファイル情報を大量にWinnyネットワークにばら撒いて、ダウンロードできなくする汚染行為が顕著になったことが挙げられます。そして、その行為を助長したのは、国を挙げてのWinny排除メッセージで、結果「原田ウイルス」の制作者のような「自分が正義」と考えている人がたち出てきました。

　また、2011年には7万5千人となり、それ以降5万人～4万人が続いています。2009年にWindows 7がリリースされ、Windows 7上でWinnyは動作しなかったなどの要因があると思われます。

　2018年時点でも5万人弱、ShareやPerfect Darkを合わせれば9万人が使用している報告されています⁷。

　

Winnyで見えてきた危険性

　世間がWinnyに注目している一方で、それ以外にもインターネット上には様々な攻撃が見えてきました。

　その1つは、社内の情報システムに保存されている機密情報を外部に持ち出すケースが後を絶たないということです。自宅での業務を禁止すると、仕事が回らなくなる企業が少なくありません。また、そもそも会社のパソコンが足りず、私物のパソコンを持ち込んでいるケースも珍しくありませんでした。

「自分の会社の従業員はWinnyやShareを自宅で使うものだ」という前提に立った対策が重要だろう。「使うな」というのは効果が無い。岡山県警のセキュリティ担当者が,3回警告を受けた後も使い続けて漏えいを起こした例もある。

『特集～根本対策は業務と私有パソコンの「完全分離」』⁵より

　また、ウイルス対策ソフトに頼ったセキュリティ対策にも問題があります。Winnyは日本以外ではほとんど利用されていません。従ってウイルスの被害は殆どが日本に限られるため、世界中のインターネットに接続している端末数からすると、ごくわずかです。どうしても対応の優先順位は低くなってしまいます。また、当時のウイルス対策ソフトはパターンに頼っていたため、Antinny系のウイルスは亜種が多く、パターンファイルの作成が追いつきませんでした。

　まさに、機密情報保護、ゼロトラスト、ゼロデイ攻撃へ転換が求められていたのですが、当時は、「私物PCの業務での使用禁止」や「Winnyの使用禁止」などと唱えるに留まっていました。

　また、自宅で使用するパソコンでWinnyの使用を禁止しようとしても、個人の所有物に会社から削除を強要されるのはおかしいと、労働組合から反発されることもありました。

日本ハッカー協会

　杉浦さんは、金子勇さんの無罪判決について、以下のように語っています。

Winny経由の情報漏えい対策対応のみに注力、著作権団体には協力していなかった。京都府警に協力したこともあったが、暴露ウイルス対応で人道的なもののみ。金子さんが無罪を勝ち取るまでは反Winnyサイドにいないと、犯罪者の手助けをするような立場にいると思われてはいけなかった。

『Winnyは“暗号の使い方”がおかしかった』¹より

　まるで戦時中の言論統制です。

本当は、陰では金子さん（金子勇氏）を応援したかったのですが、立場的に反Winny派みたいになったので。そういう立場では（応援しているとは）言えないので難しいなと。ただ、けっこう無理筋（の逮捕）だったのに弁護士さんががんばって無罪を取ってくれて、とてもうれしく思ってました。

『Winnyは“暗号の使い方”がおかしかった』¹より

　2015年4月にネットエージェントは先進のセキュリティ対策技術を持つラックのグループ企業となります。杉浦隆幸氏は2017年8月31日で会長を退任した後、2018年、情報セキュリティーに通じたハッカーと企業をマッチングさせる団体、日本ハッカー協会を設立し、代表理事に就任しました。

　日本ハッカー協会は、『日本のハッカーがもっと活躍できる社会を作る』を目指し、「ハッカーが悪い道に進まないよう、雇用を確保する」ことも大切な役割です。

　サイバー攻撃は日々増え、進化しています。対抗するには、ホワイトハッカーの育成と同時に、ホワイトハッカーが通常のビジネスマナーに囚われることなく、自分の能力を活かして働ける環境作りも必要です。ハッカーの在職期間は長くて２～３年といわれています。一般の社員と同等に扱ってはいけません。

　サイバーディフェンス研究所の名和利男氏によると、社内にハッカーを採用しようとした場合、日本企業がすぐにでも取り組むべき対策は以下の５つです⁸。

1. ハッカーの給与を市場価値と合わせること
   優秀なハッカーはより高給の会社にとられてしまう

2. 採用チームにハッカーを入れること
   ハッカーでなければハッカーの経歴がわからない

3. 学習機会の確保
   最新の脅威に備えるために研究が欠かせない

4. チーム形式
   師弟関係や切磋琢磨できるライバル関係となる2人だけの最小単位のチームを作る

5. 経営陣の心構え
   ハッカーは会社の利益より、社会正義の実現を重視していることを経営陣は知っていてほしい

　ハッカーが無職のままなら、ブラック・ハッカーに転落する可能性も高くなります。情報セキュリティ業務に従事する人材不足が叫ばれている今、対応が迫られています。

　自身もluminの名前で有名なホワイトハッカーである杉浦氏は、現在はデジタル庁のデジタル戦略官も務められています。

最後に

　「One Point Wall」開発の経緯については、園田道夫著『Winnyはなぜ破られたのか　P2Pネットワークをめぐる攻防』¹¹の「付録：杉浦氏に聞く！」に詳しく語られています。

　しかし、残念ながら出版元が倒産してしまって、古本でないと手に入りません。私は、定価1,800円のところ、2,910円で購入しました。

---

¹『Winnyは“暗号の使い方”がおかしかった　通信解析でわかった鍵交換・ファイル交換の挙動 』, 杉浦隆幸, Winnyとは何だったのか v2.0b7.1, 2023-03-07

Winnyは“暗号の使い方”がおかしかった　通信解析でわかった鍵交換・ファイル交換の挙動

Winnyとは何だったのか v2.0b7.1 (2023/03/07 19:00〜)

²『「原田ウイルス」について』, 林憲明, トレンドマイクロ　セキュリティブログ, 2008-01-25

「原田ウイルス」について | トレンドマイクロ セキュリティブログ

³『第123回　イカタコウイルスが示唆する法整備』, 成城大学法学部資料室 隈本守, Westlaw Japan, 2010-10-04, https://www.westlawjapan.com/column/2010/101004/

⁴『終わらない情報流出　フィーチャー～消えない過去に盲点　水面下で流出が加速。悪意ある攻撃も進化』, 日経ビジネス 第1375号 80~83頁, 2007-01-22

⁵『特集～根本対策は業務と私有パソコンの「完全分離」』, 日経コミュニケーション 第464号 51~56頁, 2006.06.15

⁶『いよいよ消滅間近な、ファイル共有ソフトユーザー……Winny利用者は5年で10分の1に』, 冨岡晶, RBBTODAY, 2014-05-13

いよいよ消滅間近な、ファイル共有ソフトユーザー……Winny利用者は5年で10分の1に | RBB TODAY

⁷『いまだ9万人がP2Pファイル共有ソフト利用、著作権侵害ファイル存在（ネットエージェント） 1枚目の写真・画像』, 吉澤亨史, ScanNetSecurity, 2018-06-25

いまだ9万人がP2Pファイル共有ソフト利用、著作権侵害ファイル存在（ネットエージェント） | ScanNetSecurity

⁸『スペシャルリポート～悪しき形式主義と同調圧力　天才サイバー人材が御社を敬遠する理由』, 日経ビジネス 第1985号 62~67頁, 2019-04-01

⁹『「P2P FINDER」とは何のシステムか？』, 渡瀬・國松法律事務所, 2021-1006

「P2P FINDER」とは何のシステムか？

¹⁰『調査報告』, コンピュータソフトウェア著作権協会（ACCS）, https://www2.accsjp.or.jp/research/

¹¹『Wiinyはなぜ破られたのか　P2Pネットワークをめぐる攻防』143～166頁　園田道夫氏と杉浦隆幸氏の対談, 園田道夫, 2007-08-14