XPFの独り言

Black Hat Japan 2006 - Winnyの暴露ウイルスは検出できず - 情報漏えいを特定するためには　という記事より

セキュリティイベントBlack Hat Japanでネットエージェントの杉浦社長の講演があった。杉浦氏の講演では「現在のWinnyユーザーは1日あたり40～45万人程度。平日は40万人ほどだが、休日には平日より5万人多い45万人まで増えることから「全体の10%以上が(平日は)働いている人ではないか」と予想する」とのこと。

って事は、少なくとも10%は働いている人。裏を返せば最大90%の人が働いていない人って事だ。Winnyは無職御用達アプリなのか。

ちなみに流通している全コンテンツの3%程度が、ウイルス感染して流出させられている情報だそうだ。mixiの株価を急落させ、話題になっている「ケツ毛バーガー」もそのひとつになる。

ウイルスは非常に亜種が多く、そのあまりの多さにダウンロードしている人もいなくて、そのためセキュリティベンダーにも検体が届けられていないものがあり、そうなると各種ウイルス対策ソフトでも全く検出できないことになってしまう。

そんなウイルスはなかなかダウンロードすることも稀なのだろうが、万が一入手して感染してしまった場合には発病してしまうことになるので要注意。

そんなWinnyであるが、情報漏洩の場合、実際にそのユーザーから漏洩しているのかどうかの判断基準の一つとして、ウイルスが作成するZIPファイルの作成日時とそのファイルのアクセス時間によって確認することができるとしている。

作成日時とアクセス時間が同じであればアップロードされておらず、ZIPファイル作成後Winnyを起動していないことになり、アクセス時間がWinny起動時刻と同じであれば、Winnyを起動したもののアップロードはされなかった状態。この時間がずれていた場合にアップロードされてしまう可能性がある。しかし、感染に気づいたユーザーがウイルス対策ソフトでチェックを行うとアクセス日時が変わり、本当にそのユーザーから漏えいしたのかどうかの証拠保全は難しくなるのだそうだ。

でもレジストリをごにょごにょすれば、アクセス日時そのものを全く更新しないようになるので、そういう仕様になっているシステム上で疑いがあった場合には調べることも出来ない。

さて、ここで問題なのがアクセス日時を調べる方法。普通にファイルを右クリックしていては、今現在の時刻になってしまう。対象ファイルのアクセス日時を更新しないように、ライトプロテクト装置などを経由して接続した状態で調べる必要があるのは言うまでもない。