アンカテ このページをアンテナに追加 RSSフィード

2006-04-18

バグ有りWinnyとバグ無しWinnyはやはり区別すべきだと思う

(4/21 追記)

Winnyには、実装上の大きな問題があるという報告があります。Winnyユーザの方は、こちらをすぐ見てください→アンカテ(Uncategorizable Blog) - Winnyに実装上の欠陥あり!

(追記終わり)

私と高木浩光さんの間には、一致しそうにない大きな壁があるが、共有できる所もたくさんあると私は思っている。実際、これまで高木さんの書いたものでたくさん勉強させていただいたし、共感したことも多い。今回、批判された点の中にも、どうやっても一致しそうにない所とそうでない所がある。

そこで、まず、私が一致すると期待していたが一致しなかった点について。

もしWinnyにバッファオーバーフロー脆弱性が発覚すると何が起きるかというと、破壊的ワームの登場によってWinnyネットワークは一旦壊滅状態となり、その後、そのワームを排除する「無視リスト」設定が周知されるか、もしくは、Winnyが使うポートに挟んで使用するフィルタが開発され配布されて、 Winnyネットワークは復旧するだろう。

高木浩光@自宅の日記 - Winnyネットワーク崩壊への最終シナリオ, Winnyを規制するISPは、Winnyトラフィック中の無駄割合を調査するべき

Winnyにバッファオーバーフロー脆弱性が発覚し、それを利用した破壊的ワームが出現してもそれは大きな問題にならないとおっしゃっている。

私はこれはそう簡単には収束しないと予想している。その理由は、「Winnyウィルス」という理解によって、多くのWinnyユーザが不感症になっているからだ。「また例の奴の変種が出ただけだろ」と考えて、「偽装実行ファイルをクリックしなければ安全」と考えるユーザが多いのではないかと思う。


Winnyユーザの中途半端で偏った知識レベルを想定してその行動を予想するのは難しいが、簡単に対策が周知徹底されるとは思えないのだ。まして、マスコミが「続出する情報流出はWinnyのせいだ」というキャンペーンをしているので、それが破壊的ワームの破壊力を正しく認識する妨げになっている。

だから、「現状の暴露ウィルスはユーザの関与を必要とするもので、そうでないタイプのウィルスが出現したら、警戒レベルを上げた別の対策が必要である」という啓蒙が必要だと考えている。現状で一番の潜在的リスクは、これをきちんと理解しているユーザが少なくて、万が一の時の対処が遅れることだと思っている。ただ、これをこのままの文面で正直に書いても、必要な所に広まるとは思えない。

Winnyが残したもので言いたかったことはたくさんあるが、その一つとして、こういう意味でWinnyユーザを啓蒙したいと思っていた。「Winnyにはバグがないから安全である」と言い切ることは、そのメッセージを最も効果的に広める方便でもある。「ソフトバグが無いとは言いきれない。もしあったら」という思考を喚起するのだ。その時これを信じてしまっても、万が一それが出現した時に、「essaの野郎に騙された。あいつはバグが無いと言ってたけどあったじゃないか、話が違うぞ、これはどういうことなんだ」と情報収集に走ることになる。

だから、高木さんに叩かれることはむしろ歓迎するのであるが、叩かれることで「現状の暴露ウィルスはユーザの関与を必要とするもので、そうでないタイプのウィルスが出現したら、警戒レベルを上げた別の対策が必要である」というメッセージがもっと広まることを期待していた。高木さんは、「Winnyには脆弱性があろうがなかろうが危険である」と主張されて、私のメッセージを打ち消していると思うのだが、私はやはり脆弱性関与の有無を区別することは重要だと考える。

私と高木さんでは、「脆弱性未発見で仕様通りに動作するWinny」についての見解が違う。それは確かである。しかし、「脆弱性未発見で仕様通りに動作するWinny」と「バグありWinny」の違い、差分についての見解は共有できるし共有すべきだと思う。

私は「脆弱性未発見で仕様通りに動作するWinny」に100点をつけて「バグありWinny」に50点をつける。高木さんは、「脆弱性未発見で仕様通りに動作するWinny」に-100点をつけて、「バグありWinny」には-150点をつけるかもしれない。評価は全く違うが、どちらの採点でも両者の得点差は50点で一致するはずだ。高木さんが「脆弱性未発見で仕様通りに動作するWinny」に何点をつけてもかまわないけど、「バグありWinny」には、それより悪い点をつけて、その違いをしっかりアピールすべきだと思う。

この点については、できればWinnyユーザの特性を考慮に入れた上で高木さんに再考していただき、見解を伺いたいと思う。

そして、上記エントリの主題である、もうひとつの論点、

どんなに正しい知識を持って注意していても人はミスをする。たった一度のミスでも、ウィニー・ネットワークに秘密を流出させてしまったら終わりだ。たとえ自分がウィニーを使わないようにしていても、他人が動かしているウィニーに接続してファイルを放流する悪質なウイルスが今後出てくる危険性もある。

高木浩光@自宅の日記 - Winnyネットワーク崩壊への最終シナリオ, Winnyを規制するISPは、Winnyトラフィック中の無駄割合を調査するべき

「Winnyネットワークを利用するウィルスが、Winnyと別ルートで広まりWinnyと無関係に動作し、Winny利用者以外から被害者が出る可能性」について。

これももちろん重要な指摘ではあるが、このタイプのウィルスが広まっても、ネット自体に致命的なダメージを与える可能性は少ない。そういう点では、脆弱性を利用した破壊的ワームより緊急度は低い問題だと思う。前者では被害者は流出させた本人のみであるのに対し、後者は、ネット全般に広汎なダメージを与える可能性があるからだ。

ただし、これは、Winnyネットワークの特性、つまり「ファイル放流装置」というものをどう評価するかという問題に関わっていて、私と高木さんの見解がまず一致しない部分である。

私は、「Winnyがどういう性質のプログラムなのか」という理解については、高木さんの書いたものを多いに参考にしている。Winnyに限らず、セキュリティ全般の問題について、その領域での仕事(技術的な問題を解説し啓蒙する)には敬服することが多い。そして、機会があれば、それを(自分の芸風を利用して)広めることに協力してきたつもりだし、これからも(明示的に禁止されない限り)そうするつもりだ。

しかし、「Winnyがどういう性質のプログラムなのか」という問題と、「その性質をどう評価するか」という問題は、関連しているが別の問題である。「Winnyの性質をどう評価するか」という点については、私は高木さんとほとんど逆の立場となる。私は「情報の非可逆的暴露装置」は人類にとって有用なものだと思っている。最初は漠然と思っていたことだが、高木さんの「ファイル放流装置」という説明で「Winnyがどういう性質のプログラムなのか」を明確に理解した時に、私の中にはっきり出てきた信念である。

そもそも、私は一度もWinnyを使ったことが無いし使っているのも見たこともない。Winnyについての私の主張は、かなりの部分が高木さんの記事を材料としてWinnyがどういうものか推測して書いているのである。

同じネットワークやコンピュータという装置を扱っている以上、それがどう動作しどういう結果を生むのかという点は一致できるし、不一致があればそれをどちらかの無理解であるとして正すことは期待できる(私と高木さんの間では、ほぼ一方的に私が教わるという形になるが)。しかし、それを人間系も含めた社会システムとして評価する時には、一致できない部分がどうしてもある。人間がからみ、全てを完璧に予測、制御できない以上、何を重視し何に力点を置いて考えるのかは、人の価値観に左右される。

Winnyについては、高木さんの説明を聞かなかったら、技術的な理解が不十分でポイントを得てないものであるために、その「社会システム」としての特性に気がつかずスルーしていたかもしれない。しかし、高木さんが何かを説明するたびに私の理解は深まり、「ファイル放流装置」は必要だという信念は明確になり強化されていくのである。

もちろん、Winnyという「情報の非可逆的暴露装置」には、副作用があるし欠陥もある。その有用性は副作用とのバランスで最終的には評価されるべきであり、その副作用があまりにも致命的ならばWinny自体が禁止されることもやむを得ないと思う。この点では、高木さんが言うように感情的に反発している部分もあるかもしれないし、

現在Winnyについて「大人の議論」を繰り返している人たちは、技術を理解していないオヤジ達によって不適切に広く「非倫理的プログラム」が定義され、法規制されることの有害性を憂慮してのことだろう。

高木浩光@自宅の日記 - Winnyネットワーク崩壊への最終シナリオ, Winnyを規制するISPは、Winnyトラフィック中の無駄割合を調査するべき

ということも確かにある。

しかし、「Winnyネットワークを利用するウィルスが、Winnyと別ルートで広まりWinnyと無関係に動作し、Winny利用者以外から被害者が出る可能性」については、Winnyネットワークの問題でなく、ウィルスの問題であると考える。ウィルスの作成が容易なパソコンアーキテクチャやユーザの運用の問題である。ウィルスの問題は常時、注意喚起すべき問題であるが、ウィルスの悪と、それが利用するものの悪は、区別すべきである。「それが利用する」Winnyネットワークを副作用無しに除去できるならそうすべきであるが、私はせっかく稼働している「情報の非可逆的暴露装置」を失なうことは、致命的な副作用だと思う。

私が「情報の非可逆的暴露装置」を有用である必須のものであるとみなすのは、私の人間観や社会観から出てきているので変わることはない。その有用性を説くことも、よほどのことが無い限りやめないと思う。もちろん、自分の個人情報が流出してもその信念は変わらない。

mottonmotton 2006/04/18 14:09 高木さんの「Winnyは、Winnyネットワークにとってだけ都合がよいように
作られた利己的プログラムである」というのが Winny の本質的問題と思います。
対ネットワークもそうですが、対ユーザでみても、大部分のユーザは放流したい
わけではなくダウンロードをしたいのですが、Winnyネットワークを大きくする
ために Winnyサーバとして PC を提供することを強制させられるわけです。

ここで発生する Winny使用者とサーバ管理者に求められるスキルとのギャップ
が Winny の脆弱性の本質だと思います。
スキルには、サーバ運用マシンに個人用ファイルを置かない、サーバ運用マシン
で信頼できないプログラムは実行しない、といった極めて初歩的なことも含みます。
「情報の非可逆的暴露装置」の有用性は理解できるのですが、Winny で行く
なら Winny専用ハードウェアで運用するといった根本的対処が必要と思います。

げ 2006/04/18 16:01 >自分の個人情報が流出してもその信念は変わらない。

少しは他人の痛みを分かれよ。ろくでなし。

essaessa 2006/04/18 19:30 >> mottonさん
どういう種類のプログラムでも帯域を食いつぶして回避する手段がないというのは、欠陥だと思います。それは早急に修正されるべき項目でしょう。
ただ、問題なのは作者がそれを禁じられていることだと私は考えます。
Winnyの問題点のひとつひとつが「情報の非可逆的暴露装置」であるが故に不可避的に発生するものなのか、単に開発途上のプログラムだから起きているのかを慎重に吟味すべきでしょう。前者は政治的に、後者は技術的に解決されるべきだと思いますが、その切り分けを誰がどうやったらいいのかはわかりません。

ssss 2006/04/18 21:38 他人の個人情報が載ってるファイルの流出なんかもあるから、被害者は使用者だけとは単純には言えないですね。

junmykjunmyk 2006/04/18 23:45 >私が「情報の非可逆的暴露装置」を有用である必須のものであるとみなすのは
基本的な質問で恐縮ですが、かつて人類が経験したことのない非可逆システムがなぜ有用とみなせるのか根拠を教えてください。

myumyu 2006/04/19 04:47 過剰表現してる人を批判しつつ自らも過剰表現する高木氏。反論するessa氏。
御苦労様です。この話題、何処でもですが、個人的にはUGなネタを表で討論していて非常に滑稽です。子供が火遊びして、隣の家も燃やした感じですけど。

コメントにかいてますが、帯域を使い切るのは欠陥でなくて仕様です。たぶん拡散させるのが目的での考えだと思います。又削除できないのも技術的な問題ではなく拡散の為にあえて考慮しなかったのが本当の所でしょう。もし、このような自体になってないなら、金子氏自身は機能を付加しなかったと思いますよ。bbs機能では削除も検討事項でしたけど、対応する前でしたしw
個人的にはWinnyのネットワークは崩壊しないと思います。リスク以上の魅力があるから利用者が増えているんだと思うんで。とはいえ、先の事は誰にもわかりません。と逃げておく(^^)

? 2006/04/19 16:07 fool proofが実装されていないおかげでユーザ以外の第三者に被害が及んでいるのに「セキュリティホールが無いからメーラーやブラウザより安全」というのは方便ではなくて詭弁でしょ。

! 2006/04/19 16:44 というかただの馬鹿でしょ。

r-westr-west 2006/04/20 08:33 正直、高木氏がこんな馬鹿だとは思わなかった。
情報というのはそもそも自由を求めるのであって、Winnyなど関係なく、何ででも流出は有り得て、そして流出した情報は二度と管理など出来ない。

   2006/04/20 13:29 >流出した情報は二度と管理など出来ない

さすが類友。馬鹿は馬鹿同士でよろしくやってればいいよ。

   2006/04/20 18:39 高木氏、乙。とでも言って欲しいの?頭が空虚な儲はコメントも空虚だな。

queuequeue 2006/04/29 02:50 わたしゃ、Winny が出た当初、「任意のオブジェクトを送り込める RMI サーバ」を思い出したものです。
サーバにオブジェクトを送信するとそのサーバ上でそのコードを実行できる、というもので、まぁすぐに作れるものです。
これができると、なんだかものすごく可能性が広がるんですが、こんな危険なものも無いよな、と。これと同じ感覚を Winny に持ったなぁ…という昔の記憶。

通る人通る人 2006/06/13 00:45 高木さんがWinnyが危険であると言っているのは、IISやApache(スペルどうだっけ?)を建てたいんですけど?って言うのと同じくらい(かそれ以上に)危険であるってことなんだけど。
素人が「サーバ建てたいんですけど?」って書き込んだら大抵は「やめろ」っていわれるでしょう?。たぶんそういうレベルの話なんだと思うよ。

はてなユーザーのみコメントできます。はてなへログインもしくは新規登録をおこなってください。