- forensic
- 会社概要
Tel: 03-5619-1243
forensic@netagent.co.jp
当社が提供するShare調査システムは、Shareネットワーク上に流通するノード情報、ファイル情報を収集し、探索を可能にします。当社独自の探索機(=クローラ)が、15万以上存在するShareノード(Winnyノード数はこちら)のほぼ全てにアクセスし、情報を収集しています。
「Share調査システム」は、誰がどのファイルをダウンロードしたのかを、明らかにします。
 |
 |
| ノード情報検知画面 画像を拡大 | ファイル情報検知画面 画像を拡大 |
Shareで情報漏洩が発覚した場合は、該当ファイルがアップロードされている状況を確認する必要がありますが、今までは不確定な確率で「ファイルがあるかどうか」しか確認できませんでした。しかし、Share調査システムを稼動させることにより、漏えいの規模や、ファイルを保持しているノードなどの情報が入手できます。“Share”では第1次の拡散アップロード以外は、ダウンロード意思のあるユーザだけが情報の中継を行うため、「ファイルを保持している」ノードのアップロード状態が明確にわかります。Shareの特性上(Winnyとは違って)、完全な状態でファイルを持っていなくてもアップロードされるという仕様により、ダウンロード途中の者でも特定することができます。
Shareのファイル情報のパラメータとして更新日時というデータがあります。 この更新日時はShareのキャッシュデータのファイルタイムスタンプより生成されていて、キャッシュファイルに変化があれば日時が更新されます。これを対象のShareノードに行うことに対してダウンロードの進行具合が分かります。
P2Pの暗号は方式に関わらず、すべてのケースで情報を収集できる仕組みを持っています。 なぜなら、サーバとクライアントが同一であるP2Pソフトウェアはどこかで共通する秘密鍵を持っており、その鍵を元に動作しています。サーバの鍵が秘匿されている状態とは異なり、同一のソフト内にサーバの鍵を持っているため暗号を解読が可能となります。
Shareは、通信を含む多くの部分が暗号化されているため、その内容を第三者が傍受し、解読することはできません。ただし、通信の当事者同士では、暗号は内部的に復号化されています。第三者の通信の中継が入ることによりShareの暗号は、その第三者によって解読可能となっています。
ShareはWinnyとは違い、暗号の使用方法が正確で、一般的な暗号通信のセオリーに乗っ取って行われています。従って、ただ流れるパケットを解析するだけでは通信内容を解読することはできません。そのため、まずは暗号化や復号部分の処理、使用している暗号アルゴリズムを特定し暗号化の流れを再現することから始めました。
この工程は暗号アルゴリズムやP2Pネットワークの知識も必要となり、とても難しい部分でした。ただ暗号処理部分以外には特に目立った特長はなかった為その後はスムーズに解析が進み、 Shareパケットを復号しながら表示するShare専用のパケットキャプチャリングソフトの作成後、Shareプロトコル互換ソフトを作成し、サービスの開始に至りました。
