情報処理推進機構：情報セキュリティ：脆弱性関連情報の取扱い：Winny（ウィニー）の安全上の問題箇所（脆弱性）の公表について

HOME >> 情報セキュリティ >> 脆弱性対策 >> Winny（ウィニー）の安全上の問題箇所（脆弱性）の公表について

情報セキュリティ

Winny（ウィニー）の安全上の問題箇所（脆弱性）の公表について

掲載日　2006年4月21日

独立行政法人情報処理推進機構
セキュリティセンター

　独立行政法人情報処理推進機構（略称：IPA、理事長：藤原武平太）は、ファイル交換ソフトWinny（ウィニー）の安全上の問題箇所（脆弱性）を本日公表しました。具体的には、Winnyには通信処理に脆弱性があるというものです。悪用されると、ソフトウェアが異常終了する可能性があるのみならず、一般的に、この脆弱性は、当該プログラムが動作しているコンピュータ（パソコン）を外部から乗っ取られる可能性があるものです。開発者による修正方法は公表されていませんので、回避方法は「Winny利用の中止」です。

１．概要

　Winnyは、インターネットを利用して不特定多数のユーザ間でファイルを交換できるソフトウェアです。

　Winnyには、通信処理に安全上の問題箇所（バッファオーバーフローの脆弱性）があります。悪用されると、遠隔の第三者によるソフトウェアの異常な動作停止の可能性があるのみならず、一般的に、バッファオーバーフローの脆弱性は、当該プログラムが動作しているコンピュータ（パソコン）を外部から乗っ取られる可能性があります。

最新情報は、下記のURLを参照して下さい。: http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74294680_winny.html

Winny Vulnerability

２．安全上の問題箇所の影響

　一般的に、バッファオーバーフローの脆弱性は、悪用されると、当該プログラムを実行しているユーザアカウントの権限で、ソフトウェアの異常な動作停止や、ウイルスの感染行動、スパイウェアやボットといった不正プログラムのインストールなどが行われる可能性があります。

３．対策方法

開発者による修正方法は公表されていませんので、回避方法は「Winny利用の中止」です。

Winnyの削除方法

　Winnyをインストールするのに利用した圧縮(zip)ファイル、Winny.exe及びWinnyをインストールした際に作られたWinnyの設定ファイルを削除して下さい。

　これらを容易に行うため、以下のセキュリティベンダーから、Winnyそのものを検出するツールが無償で提供されています。いずれかのツールを使用し、Winnyとして検出されたファイルをすべて削除して下さい。また、検出されたファイルがWinny.exeの場合は、そのファイルが入っていたフォルダをまるごと削除して下さい。これは、WinnyをインストールするときにWinny.exeと同じフォルダ内に設定ファイルが作られますので、これらのファイルも削除するためです。

アークン - ScanIF Winny対応版: https://www.ahkun.jp/resource/dl.html
シマンテック - Winny検索ツールについて: http://www.symantec.com/region/jp/winny/winny_tools.html
Winny検索ツールの表示は英語ですが、その点はご容赦願います。

　Windows XP等で、複数のユーザで１台のPCを共同使用している場合、ユーザアカウント毎に同様の削除の処置を行って下さい。なお、上記サイトおよびそのリンク先内容の利用によって生じたトラブル・損失・損害には、当機構では一切責任を負いかねます。あくまでも自己責任の下、自己判断でご利用下さい。

その他、Winnyとウイルスへの対策情報の詳細は、下記のウェブページを参照下さい。

IPA緊急対策情報 - Winnyによる情報漏えいを防止するために: http://www.ipa.go.jp/security/topics/20060310_winny.html

４．参考情報

（１）「Winny緊急相談窓口（Winny１１９番）」について

　IPAでは、最近のファイル交換ソフト（Winny）ネットワークを介して感染するウイルス（W32/Antinny）等による情報漏えい問題に対応して、予防・対処方法情報を提供するための「Winny緊急相談窓口（Winny１１９番）」を設けています。

IPAプレスリリース - Winny緊急相談窓口について: http://www.ipa.go.jp/security/announce/20060320.html

(a) 電話による相談窓口: TEL:03-5978-7509
対応時間：　平日　月～金　10:00 - 12:00 、13:30 - 17:00
なお、上記以外の時間においても、電話の自動応答システムによるFAX送信サービスにより、予防・対処方法について情報提供をいたします。
(b) 電子メール相談窓口: E-mail：

（２）「情報セキュリティ早期警戒パートナーシップ」について

　IPAでは、ソフトウェア製品開発者及びウェブサイト運営者による脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン）に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています（付録Ａの図A-１参照）。

付録Ａ

　「情報セキュリティ早期警戒パートナーシップ」（脆弱性関連情報取扱いの枠組み）

Partnership
図A-１.「情報セキュリティ早期警戒パートナーシップ」の基本枠組み

お問い合わせ先

独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）: TEL：03-5978-7527　FAX：03-5978-7518
E-mail：

ページトップへ