大谷です。

最初に断っておきますが、すべてのP2Pが危険という主張ではないです。
どちらかというと「SkypeはWebブラウズや電子メール程度に安全なの?」
という質問なのかな。「全く安全なの?」という質問でもないです。

In article <3992672news.pl@rananim.ie.u-ryukyu.ac.jp>
        kono@ie.u-ryukyu.ac.jp (Shinji KONO) writes:
>> 私はP2Pソフトということで警戒して使ってないのですが、心配しすぎでしょうか?
>
> 今や、P2Pっていうとファイル交換だかならなぁ。本来、Peer to peer
> とかですよね。なので、Mail が相手の postfix を叩くのもP2P。

確かに、いろんな意味がありますね。私は、「一般家庭のクライアントPC
(サーバーかも)同士が直接通信する」というような意味合いで使いました。
もちろん相手は「一般家庭」でない悪意を持った人かもしれない。

> Winny がやりだまに上げられているようだけど、このあたりも
> 誤解があると思う。

余談ですが、
Winnyで起きてる問題は、現状のWinnyを使うのに必要な技術・リテラシーと
実際に使っている人の大多数の技術・リテラシーのとのギャップだと思います。

> 例えば、添付メール経由のウィルスがWinnyプロトコルを話すなら、
> Winny がインストールされていようといまいと関係ありません。

ウィルスが入った時点で何が起こっても不思議でない気がします。

> 問題の中心は、
>
>     トロイの木馬を実行してしまうような環境と、
>     セキュアである必要があるデータの環境が同じ
>
> ってところにあります。Unix だったらchrootしてやれよ、とか、
> VMware 上で動かせばいいじゃんってなたぐいですね。
>
> P2Pをやり玉に上げるのは、シロートの主張です。

一般論としてはそうかもしれないけど、ほとんどの家庭に生のWindowsPCが
あるという現状を前提に物を考えるべきでは?しかも管理者権限でログオン。

>> でも絶対誰かがスーパーノードのフェイクとか作ってますよね。
>> 今のところ脆弱性の話は聞いたこと無いですが、もし脆弱性が見つかれば
>> 大ボットネットの誕生ですよね。
>
> 僕はそうはならないと思います。最初のInternet Wormでも、騒ぎ
> は数日で収まってました。その後、大規模な感染はなかったとは言
> いませんが、影響は限定的です。

Skypeは起動時に最新バージョンへの更新を促すようなので、
パッチ版が出るまでの数日間で終わるとは思います。

ただ、スーパーノードの指令に従って、任意のポート番号のUDPパケットを
任意の相手に送り出す訳なんで、脆弱性は必ずしもSkypeにある必要は無くて
例えばWindows自体にとあるUDPポートに関する脆弱性が見つかれば
フェイクのスーパーノードはその番号でのUDP発信を命じて、
ルーターに一時的に開けられた穴を通じて攻撃される。
・・・という話は直接はP2Pとは関係ないですが、どこの誰とも知らない
スーパーノードに操られるのはP2Pだからですよね。
他の例で言うと、いかにも怪しげなサイトばっかりブラウズしまくっている
のと同じくらい危険だと思うんですが。

> 僕は決まった機能を実現するのであればバグの数は有限だと思う。
> なので、脆弱性は、いずれ駆逐されてしまうと思ってます。プロト
> コル自体、プログラム自体は無限にあるでしょうが、使われる実装
> は有限だからね。

それって、今後Skypeが一切機能追加しないことを前提の話ですか?
あ、Windowsも。
それなら、同意します。確かに特定のバージョンのWindowsの脆弱性は
遠からずなくなるでしょう。でもその前にサポート打ち切りというのが
ありがち。
-- 
tksotn