ソフトウェアを使った不正行為を受けて、その開発者が罰せられたWinny裁判。2006年5月2日にネットワークマガジン編集部が開催した「止めるぞ!情報漏えいセミナー」において、Winny開発者の金子勇氏とWinny弁護団事務局長である弁護士の壇俊光氏に、Winnyとその裁判に関する問題点をテーマとした講演を行なった。当日の両者の講演部分を抜粋し掲載する。
Winny開発者以外でもパッチは作れる。ぜひ誰か作ってほしい
「止めるぞ!情報漏えいセミナー」では、Winnyの開発者である金子勇氏が「Winny開発者にできること」と題した講演を行なった。現在の同氏の立場では、Winnyのバージョンアップが著作権法違反の幇助行為に見なされているので対策がとれないとしながらも、Winny開発者という視点から情報漏えい対策の手法を解説した。
Winnyの開発者である金子勇氏
それによると、Winnyによる情報漏えい対策を起こすウイルスは、ファイルをアップロードするフォルダ(アップフォルダ)を指定する「Upfolder.txt」を書き換えてしまうケースがほとんどだという。Upfolder.txtを書き換えることで、ユーザーが意図しないフォルダが共有され、情報漏えいが発生する。つまり、Upfolder.txtを容易に変更できるところが本質的な問題である。
こうしたウイルスへの対策として、金子氏は3つの方法を提示した。まず1つ目が、「Winnyのバージョンアップ」である。冒頭で述べた「幇助行為」になるので、現時点ではこの方法は無理だとしながらも、開発者本人として具体的なプランを説明した。まず、従来のウイルスに対しては、Upfolder.txtの名前を変えるだけで対策が可能だ。もちろん、この方法は指定するファイル名を変更するだけで新種のウイルスが発生してしまうので、あわせてアップフォルダの設定を暗号化したり、アップフォルダの設定が変更された場合に警告を出すといった対策を提示した。
一方、現実的な方法として挙げたのが、「外部プログラムで対処」という方法だ。外部プログラムで、Upfolder.txtを書き換えた場合に警告を出すだけでも効果はあるという。また金子氏によると「最近はさまざまなセキュリティ対策ベンダーからWinny自体を消去するソフトが出ているようだが、これはあまり意味がないと考えています」と話した。ユーザーが自発的にWinnyを導入しているので、使いたい人はこうしたソフトを外してでもソフトを利用するからだ。もちろん、誰しも自分の情報が漏えいすることは避けたいので、Upfolder.txtを監視するプログラムを常駐させるだけで大きな効果が得られるという。
さらに3つ目の方法として「Winnyにパッチを適用する」ことを挙げた。実際、先日発見されたWinnyのバッファーオーバーフローに関する脆弱性に対して、パッチを作成したユーザーがいることを指摘。もちろん、将来的にはパッチを装ったウイルスが発生する可能性を危惧しながらも、開発者以外が可能な方法として「ぜひ誰かに作ってほしい」と呼びかけていた。
また、金子氏は最後に「Winnyを最後にバージョンアップしたのは2年半以上前。そもそも、これだけ使われているソフトが長期間放置されているのが問題」と語った。なお、世間ではWinnyが「包丁」や「拳銃」といった例えをされることがあるが、金子氏はこれに対して非常に違和感を持っているという。同氏によると、Winnyは「巨大な情報共有ストレージ」であり、例えとしては「ネットワーク上の電子図書館」がしっくりくるという。また、当然のことながら「Winnyはウイルスではない」ことを強調し、ウイルス対策の重要性を説いていた。
ファイル共有ソフトに関する法整備が追いついていない現状を指摘
最後に、Winny弁護団事務局長として約2年間弁護活動を行なっている弁護士の壇俊光氏が「情報漏えい対策と法律について」と題した講演を行なった。
Winny弁護団事務局長である弁護士の壇俊光氏
まずは、Winnyによる情報漏えいに対する法整備が追いついていないことを指摘。2004年3月30日に北海道警察で発生した情報漏えいに対する国家賠償請求訴訟に対して、札幌地裁と高裁の判断が異なることを例に挙げて説明した。同事件は、北海道警察の巡査が持つ私用パソコンがAntinnyに感染し、捜査情報が漏えいした事件である。同事件に対し2005年4月28日、札幌地裁では30万円の損害を認める判決を下している。一方、札幌高裁の判決では地裁における敗訴が取り消された。主な理由として、情報流出当時にAitinnyのウイルス定義ファイルがなく、ウイルスによる情報漏えいを予見できなかったことが挙げられている。こうした異なる判決の例を見ながら、壇氏は情報漏えい関連の法解釈の難しさについて語った。
さらに、企業が情報漏えい対策のために、社員のWinnyによる通信を監視することは合法かという問題についても言及。2001年12月3日、社内メールの私的利用を監視するためのモニタリングをしていた事件に対し、東京地裁により合法という判決が下っている例を挙げ、同じくWinnyの私的利用を監視は適法になる可能性が高いとした。ただし、就業規則などで「モニタリングをしている」ということを明記するべきというアドバイスも付け加えていた。
また、壇氏は最後に「Winnyの開発、公開、利用、管理、それぞれに解決されていない法的な問題があります。手錠による解決は愚の骨頂です」と締めくくった。
