偽装ファイルによるWinny漏洩情報の隠蔽
Winnyトラフィックの通信規制に関する話題も一巡(二巡三巡?)したようなので、先週23日(木)のフジテレビNews Japanおよび24日(金)のカーネギーメロン大学日本校のセミナーで話した偽装ファイルによるWinnyネットワークのポイゾニングについて整理しておく。
Winny上の漏洩情報と同様の特徴を持つファイルを大量に放流することで流出情報が発見されることを困難にするとともに、これを探している人たちの意欲を低下させることが可能と思われる。この方法はこれまでも一部では実際に行われている形跡もあり、技術的には今すぐにでも実行可能である。
ウィルス感染によってWinny上に漏洩した情報は一般に以下のプロセスで拡散していくと考えられる。
1 漏洩情報収集者(以下コレクターと呼ぶ)が漏洩情報にウィルス名等漏洩情報に共通するキーワードにより漏洩情報を検索、ダウンロードする。
2 コレクターが漏洩情報発見の事実を公開、この際ファイル名、ハッシュ値等漏洩情報に関する情報をあわせて公開する。
3 コレクターが漏洩情報を見やすい形で整理し内容を示す名前をつけて再放流
上記2、3の状況で、すでに漏洩した情報のファイル名が知られておりファイルが出回っている場合には同じファイル名の偽装ファイルを放流することになる。ただし、ファイル名が知られていない場合はかえって情報の存在を知らせてしまうことになるので注意が必要だ。その場合は、なるべく一般的なキーワード(一般的なユーザ名等)を用いた偽装を行うべきだろう。
ハッシュが公開されている場合は、ファイルの偽装は難しいため公開されているハッシュ情報そのものを偽装する。またハッシュやファイル名等を公開している人物に対して削除を依頼し、必要に応じ訴訟等を検討する。
最も効果的なのはファイルが特定されていない1の段階で発見を防止することである。さまざまな漏洩情報のように見えるファイルを大量に放流し続けるサーバを設置することでWinny上での漏洩情報の一次発見の確率を低下させることができる。コレクターに対して偽装ファイルを確認し続けるという無意味な作業を強いることにより漏洩情報発見のモチベーションを低下させることができる。
Winnyには捏造警告機能や無視フィルタ等こういった攻撃を防止する仕組みが組み込まれているものの実際にはユーザの積極的な関与が必要とされるためにあまり機能しないように思われる。
このようなさまざまな漏洩ファイルを対象とした対策は技術的には可能であるが、その実施にあたっては誰がどのような位置づけでどういった回線を使って行うのかなどについて検討が必要である。また結果的に回線に負荷をかける可能性もあり、法的あるいは社会通念上どの程度の行為が許容されるかなどについて事前の確認が必要だろう。
その他ポイゾニングの手法としては、実際には存在しない虚偽のキャッシュ情報などを使って当該ファイルに関するWinnyネットワークの検索性能を低下させることも可能と思われる。この方法では大量のトラフィックは発生しないのでネットワークへの負荷やそれに関するリスクも少なくなる。実ファイルの偽装とあわせて実施すれば効果的と思われる。
また少し違ったアプローチとしては漏洩情報に似せたネット広告の活用なども考えられる。実際すでにWinnyネットワーク上には漏洩情報に見せかけたネット広告が出現しているようだ。漏洩情報のシグネチャを設定するコレクターに、迷惑メール同様のスパムメッセージが送りつけられるというもので、広告発信側にとっても喜んでメッセージをダウンロードしてもらえるというメリットがある。ただし一般の企業がこの手法を用いる場合、放流した広告の回収・訂正等が困難という点に注意が必要である。
(参考情報)
■Winny流出には「P2Pネットワークポイゾニング」が有効(InternetWatch, 3/27)
http://internet.watch.impress.co.jp/cda/event/2006/03/27/11378.html
微妙にWhizzyと似ているような気がしますが、情報漏えい発覚後に企業側でのひとつの対応指針となりますね。
http://internet.watch.impress.co.jp/cda/news/2004/12/22/5918.html
この対応で出てくるのは以下の3種類の人ですかね。
①たくさんのダミーにうんざりして同名のファイルは開かなくなる人
②ダミーがたくさんあるけどがんばって本物の漏えい情報を開く人
③そんなこと知らない人
で、ここで重要なのはそもそも企業の漏えい情報なんて個人には価値がないので、数字的には「①>②」であることが予想されるということ。
大部分は③であり「何?このファイル?」という人。
番外編④として「無駄なトラフィックが増えて迷惑杉ふざけんな」っていう人がいるかもしれないけど、Winny使ってる時点でその主張は却下ですね。
②がファイル名を変えたり、圧縮するなどして再度放流するとまた面倒なことになりそうですが、漏えいしてしまった側で出来るのはコレくらいな気がします。
週刊誌や夕刊紙が面白、おかしく取り上げていますね。あの記事を見て、winnyを使おうと思う人も多いでしょうね。
暴露ウィルスを作ったり、winnyに個人情報を流す人は、いたずらを越えて、アナーキズムに近いと思う。
>ファイルの偽装は難しいため公開されているハッシュ情報そのものを偽装する。
ってどういう意味かよく分かりませんでした。
任意のMD5のコリジョンは現実的でないから、
掲示板などで偽ハッシュを書いて周るってことですか?
ブログや自サイトではヤバイファイルのハッシュを書いたりしないでしょうし。
つまり、まとめると、自衛官とかのユーザー名と同じ名前を使った偽流出ファイルをWinnyネットワークに流し、2ちゃんねるなどでそのハッシュ値を書き込みまくるってことですか?
…どこから突っ込めばいいのかすらわからん
あなた、ほ~んとにnyの仕組み分かってます?と言いたくなるブログですね。
せめて、「Winnyの技術」くらい読みましょうよね。
>せめて、「Winnyの技術」くらい読みましょうよね。
愛読してますよ。(;´д`)
Winnyで捏造ファイルを流通させることができないとお考えでしょうか?
よかったら、エントリー本文をよく読んでくださいね。
>任意のMD5のコリジョンは現実的でないから、
>掲示板などで偽ハッシュを書いて周るってことですか?
ハッシュが出回ればそういうことになるかと思います。
いやはや、なんだっけ、何かを隠すなら森に隠せとかいうやつですね。軽い気持の人は拾えないでしょう。でも欲しい人は見つけるでしょう。
結果、トラフィックが上がる。
ウイルス入りを撒かれて、興味本位な新規ユーザーが引っかかる。
と、なる可能性も否定できません。
多少は有効だけど、ファイル流す方も大変ですよね。
>その実施にあたっては誰がどのような位置づけでどういった回線を使って行うのかなどについて検討が必要である。また結果的に回線に負荷をかける可能性もあり、法的あるいは社会通念上どの程度の行為が許容されるかなどについて事前の確認が必要だろう。
情報セキュリティを警告する公的な団体はたくさんあるけれど実行部隊がない。軍事目的のARPANETから発展した米国と違い、商業ベースでインターネットが普及した日本では行政が口を挟みにくいのだろうか。行政が手をこまねいてる姿はアナーキスト氏の優越感を満足させることだろう。
> 行政が手をこまねいてる姿
情報セキュリティに関する研究教育機関に所属する人間が一見難しそうな、その実低レベルな対策を偉そうに書く姿の間違いじゃないかと
>情報セキュリティに関する研究教育機関に所属する人間が一見難しそうな、その実低レベルな対策を偉そうに書く姿の間違いじゃないかと
各メーカーが発表していることをまとめているだけのような気もします。それはそれで便利なんですけれど。。。同じような仕事を各省庁でやらなくてもいいんでないのって気もします。
MD5のコリジョンを生成するプログラムとペーパーがネット上にあります。私も試しましたが、使い方が良く分かりません。噂によると、数時間で生成可能だとか。
あと、同じハッシュを持つキーをばらまいて、本物のキーの拡散を止めないと意味がないのではないかと思います。ファイル名をぶつけるだけは、ほとんど効果がないだけでなく、ポイゾニングにすらならないような… 分からないですけど。
>ファイル名をぶつけるだけは、ほとんど効果がない
>だけでなく、ポイゾニングにすらならないような…
技術的にはそうなんですが実用上はこれでも効果があるように思います。ここでの本来の趣旨は一次発見を防止することなので、そもそも誰もハッシュを知らないわけですが・・・。
ちなみにご指摘のMD5のコリジョンジェネレータは任意のハッシュ値に対して任意の形式のデータが作れたりするようなものなのでしょうか?
同じハッシュになるデータの組を作る方法は発見されましたが、
任意のハッシュ値は事実上無理ですね。
害獣や害虫を減らすために、駆除するのではなく、手術や放射線照射などで繁殖能力を
失わせた雄または雌を、意図的に野に放してつがわせるのと同じような手法ですね。
クラッキングの犯人やウイルスの検体を確保するためのハニーポットに近いのかもしれません。
ガセファイルをつかませることで、Winnyユーザーを心理的に混乱させることに繋がれば
良いのですが、やはりトラフィックの負荷が心配です。
おお、任意のハッシュ値生成は無理なのですね。情報、ありがとうございます。ということは、キーパケットの偽造が、何らかの方法で可能かどうかですね… んー無理っぽい。
S/N比を低下させる手法をポイゾニングと呼んでいるのですね。誤解してました。ダミーキンタマファイルを自動生成して、延々と放流し続けるプログラムを作り、延々と動作させれば、一定の効果はありそうですね。面白そうです。ただ、この方法を「最も効果的」とするのはちょっと疑問ですが。
「最も効果的」というのはダミーファイルのポイゾニング手法の中では「最も効果的」という意味で記述しています。
また、Winnyの通信プロトコルは解読されていますので、検索情報に虚偽の情報をまぎれさせることは可能かと思います。
他に良いアイデアがあればぜひご提案ください。
適当で、申し訳ないですが、こんなんどうだろうと考えてみました。
まず、中継するソフト(要は特殊クライアント)を作ります。
・ノード情報の交換で自身のIPをキー情報が通過しやすい様にノードとして任意の位置を保てる様にする。上位にあげるとか下げるとか。
・対象ソフトのキー情報に対しては自身が所持してると返答し、欠落(内容が異なる)データを正常データとして配信する。受信後以上データを送るノードに対してはNGとして判断して受信しなくなるなら駄目かも。
・他の流通データキャッシュの比率を上げる為、様々なキー情報を流通させる。上の対象キーを受け止めるのを削除する事で効果があるならそれでもイイかも知れないです。
通常ピア間でNG情報も交換して精度を上げるだろうと思いますが、全体的比率で捨て処理しているなら2番目とかは利用出来るかも(かも)しれません。
ぱっとイメージするのはこれぐらいですが、Winny内部構造・通信手順自体は把握しているわけでも理解している訳でもないので、効果があるか無いかは不明です。
細かくは考えず、漠然と書いてますので、
他の方やアノニな人のツッコミを貰っても、返せませんのでご了承をw。
ブレーンストーミングレベルでよければ
《現在の対策》
・windows vistaになったらwinnyは動作しないかもしれないのでOSのバージョンアップを呼びかける
・上記手法だとMSが儲かっちゃうのでWINNYが動作しなくなるパッチを配布してもらう
・winnyを使いたい人は上記パッチを当てないだろうから
winnyが動かなくなるパッチを当てないとPCの動作が不利なるようなことを考える(たとえばアンチウィルスソフトが動かなくなるとか)
《将来の対策》
・wikipediaの「情報の拡散」という記事を読んでいて思ったのは流出したファイルも農産物のようにトレースできればいいのにと思った。どの経路をたどって今ここにあるのか探れればひょっとすると犯人がわかるかもしれない
捏造を是とした場合、あとはトリップの偽造が必要だと思います。
信頼されたトリップ付きの本物情報が出た場合に対抗するためです。
ハッシュの捏造はかなり困難で、それよりはマシですがトリップの偽造もそれなりに困難です。
しかし、一度トリップを生成できるようになれば、それまでの信頼を破壊できます。
トリップに対するアタックにはそれなりのコストを必要としますが、それこそ P2P 技術を用いて負荷分散するなどしても、ペイする場合があるでしょう。
とはいえ、これも法的な考慮が必要ですね……
googleで「WAN 帯域制御」と検索をかけると引っかかる、アプライアンス製品をISPに導入すれば帯域のコントロールはある程度可能です。
P2Pファイル交換ソフトが違法なファイルの交換、他人のプライバシーの暴露にしか使われないのなら、アンチウィルスソフトメーカーの定義ファイルにて「準ウィルス」と定義してもらって、PCにP2Pファイル交換ソフトがインストールされていれば警告の表示、もしくは自動削除をしてもらうよう改定する。アンチウィルスソフトを停止すればP2Pファイル交換ソフトは使用できるがウィルスに感染する確率が高まる。つまりウィルス感染覚悟でP2Pファイル交換ソフトを使用してもらう(これで大部分の人はP2Pファイル交換ソフトを使用しなくなるし、家庭のPCから情報の流出も減るのではないだろうか)
winnyを開発した人にP2Pファイル交換ソフト情報漏洩対策担当者になってもらう。アンチウィルス製品を作成したり、セキュリティコンサルタントを始めた人たちはもとクラッカーという人も多いと聞く。金子氏がWINNY開発に注いだ発想を反対の方向に向ければ有効な対策ができるのではないだろうか。もし、有効な対策を開発できれば日本は情報セキュリティに関して他国より有利な状況になるし、ひょっとすると新しいビジネスができるかもしれない
皆様、さまざまなアイデアありがとうございます。
>みゅうさん
欠損データやダミーのキー情報の流通は効果があるかと思います。
>touchstoneさん
いろいろなアイデアをありがとうございます。
大変参考になります。
帯域制限、PC上でのWinnyの起動制限、開発者による問題解決、どれも有効ですね。
>JRFさん
トリップの偽造も意図的に情報漏洩を流す人への対策として必要になってくるかもしれないですね。
P2Pネットワークポイゾニング
前回書いた(10)ファイル交換ネットワークスパムが、実際にwinny対策として検討されているらしいです。
●Winny流出には「P2Pネットワークポイゾニ…