Winny ネットワーク上への暴露ウイルスによる情報漏洩事件の調査
Winny が実行された痕跡をどうにかして検出する必要があるわけで。
暴露ウイルスに感染しただけなら、現在 2ch 側の対策によって直接 WEB サーバ機能にアクセスすることは難しい状態になってますから、キンタマそのものによる情報漏洩のリスクは極めて小さくなっているといえる。対して Winny が実行されている環境では暴露ウイルスによるファイルの放流によってリスクは極めて大きいといえる。
つまり、暴露ウイルスに感染した後の影響度は「感染時点での Winny の有無」に関わってくるといえる。
っつうか Winny だの Share だのでわかりもしないのに危ないファイルをダウソしてきてちんちん堅くしてるから感染するんだよ。麻薬の回し打ちでエイズになるようなもんだな。
で。Winny を利用した痕跡があるかどうかで、感染期間中に暴露ウイルスが Winny ネットワークにファイルを放流したかどうかを判別することができる。っつうか、放流されたファイルがそこから流れていないとはいえない、という状況を確認できる。
ここで問題があるんだよね。
Winny は基本的に「単体動作可能、INI ファイル依存」で、レジストリに痕跡を残さない。
困る。非常に困る。
そこでいくつかの方法で痕跡を探さなければならない。一つは、いわゆるフォレンジックツールやその機能を持つツール類を使って、ディスクから Winny のサルベージを行う。Winny は動作すれば「winny.ini」を作成するので、その痕跡があれば Winny を少なくとも立ち上げたことを確認できる。
WindowsXP ならもっと直感的に痕跡が残るんだけど、これは知らない人は知らないし消されると困るのでここでは書かない。つってもこれは Windows2000 では記録が残らないので、どれにでも使えるって方法じゃない。特に XP では TCP/IP の同時接続数に上限があって、それを解消するためにパッチを当てたり TCP/IP スタックを載せ変えたりしなきゃいけない。それができない人は Windows2000 を使う可能性があるので、あまりアテにはできない。
となると、やはりハードディスクを掘り返すことになる。
・・・やっぱそのへんもちゃんと勉強しないとダメか。
とりあえず文字コード云々まで考える必要のあるケースになったらアクセス探偵を呼ぶとして、まずはディスクをミラーしておいてから
- 流出したファイルがそこにあったこと
- Winny を利用していたこと
- 暴露ウイルスに感染していたこと
が揃えば黒確定と見ていいんじゃなかろうか。