2004年3月ごろより、Winnyを利用していたパソコンがWinnyなどで入手したファイルを閲覧したことにより、コンピュータウイルスの一種ともいえるワームに感染する事例が頻発し、その結果、そのパソコン内に保存されていた本来公開されてはならないファイルが、Winnyのネットワーク上に流出するという事件が多発した。
このワームは特に「暴露ウイルス」と言われ、流出したものとしては、一般企業の業務データ、個人のチャットログや電子メールデータ、デジタルカメラによって撮影された画像、違法コピーデータを使用している最中のスクリーンショット、漫画家の下書きの原稿、パスワードを書いたメモなど様々なものがある。
ワームはユーザーのデスクトップなどに存在するデータを勝手に共有し、感染者に気づかぬうちにWinnyのネットワーク上に流出させる。これは特定のフォルダ(「マイドキュメント」など)や特定の拡張子(*.jpgや*.docなど)を検索して、これらから作成した複製や書庫ファイルをWinnyのアップロード機能を使って共有ファイルに指定する。感染者に気付かれ難いこともあり、事件の発覚が遅れ、漏洩した情報回収のめどが立たなくなるケースが跡を絶たない。
初期のワームはデスクトップをキャプチャしてアップロードする程度の働きしかなかったが、その後改変が加えられ、デスクトップ上のデータの共有や、電子メール(Outlook Expressの保存データ)の共有まで行うようになった。
ワームのひとつ山田オルタナティブには、パソコン自体をHTTPサーバとして立ち上げ、パソコンに保存されているデータすべてをインターネットを通じて世界中に公開してしまい、なおかつワームに感染した者同士をHTTPリンクで相互接続する機能が付加されている。
ワームの被害は民間企業や個人だけにとどまらず、警察、陸上自衛隊、海上自衛隊、航空自衛隊(のちに防衛庁はWinny対策の為に新しくパソコンを調達し40億円の費用を賄うこととなった)、日本郵政公社、刑務所、裁判所、日本の原子力発電関連施設、一部の地方自治体など官公庁でも流出事件が発覚し、公務員が、機密情報や職務上知りえた個人情報などを自宅に持ち帰り、あまつさえ私物のパソコンに入れていたずさんな管理実態があらわになるとともに、不用意にWinnyを使用しているという実態が暴露され、問題となった。嫌がらせのために個人情報を盗み出して故意にWinnyに流出させるという手口も発覚した。
また、Antinnyなどのウィルス対策ソフトを提供しているトレンドマイクロからも社員がAntinnyに感染しWinnyへ個人情報を流出させる事故を発生させた。
また、住基ネットに関する情報(パスワード・使用手順)も流出していたことが確認された。
北海道警察の事例においては、警察官に個人情報を流出させられたとして個人情報を漏洩された被害者が民事裁判を起こし、実際個人情報を流出させた北海道警察側が一審で敗訴している。
だが、二審、三審の最高裁ではこの感染を予知出来なかったとして原告側が敗訴した。ただし、この個人情報流出事件では、警察官が私物のパソコンに警察の情報を取り込み流出した経緯があり、警察内の個人情報管理がずさんであることは明白で、判決に対し疑問を残す点がある。
ひとたびWinnyで流出した情報は、キャッシュを保持するコンピュータが存在する限り継続的にWinnyのネットワーク上にとどまり続けることが分かっており、それを削除することはWinnyの利用者のデータをすべて削除しない限りは不可能であるとされる。もちろん、この方法は現実的には取りえない。
これらのワームに対しては、ウイルス対策ソフト会社側が対策を講じており、こういったウイルスに感染する前に検出できるパターンファイルを更新し、または感染後に駆除を行うワクチンツールを配布している。
マイクロソフト側でも、2005年10月のWindows Updateプログラムの中にWinnyのウイルスを駆除できる「悪意のあるソフトウェアの削除ツール」を同梱した。マイクロソフトは、2005年11月に、1ヵ月間でこのWindows Updateにより20万件以上のウイルス除去に成功したと発表した。
しかしながら、上記マイクロソフト配布の削除ツールは、Windows XP、2000にしか対応していない。そのため、Windows2000より前の古いバージョンのWindowsではマイクロソフト製の対策ツールを使用して駆除することは出来ない。
また、「Winny」を使っているユーザーのほとんどが日本人であるため、これらウイルスに感染するユーザーもまた日本人が大半となる(事実、マイクロソフトが発表した駆除報告 ⇒[5]においても、ワーム感染PCの99%は日本語Windowsであったことが報告されている)。
そうすると、世界規模でのウイルスへの対応が優先される各ウイルス対策ソフト会社の対応はどうしても遅れがちになり、その後もWinnyを感染源とするウイルス感染者が続出した。とりわけ、官公庁でのウイルスによる機密データ流出が、立て続けに報じられた。
ウイルス対策ソフトを提供している企業などではWinnyの起動を止める、またはWinnyを検出・削除するツールを無料で提供することになった。
ただし、家族など1台のパソコンを数人で共有している利用者には効果があるものの、ほとんどの利用者は1人1台でパソコンを利用しており、そういった場合はWinnyを利用していると自覚しているために、この種のツールをインストールすることがないため、効果は薄い。
2006年2月には海上自衛隊員が防衛庁の機密情報を漏洩させてしまったため、当時の小泉純一郎総理大臣が、防衛庁や各省庁に情報漏洩に関して再発防止を指示した。
また、2006年2月以降になると、Winnyによる情報漏洩事件が多数発表されることになり、それを受けて警察庁が2006年3月に警察官全員に対し公私関係なくWinnyの使用を全面禁止とする通達を発し、3月15日に安倍晋三官房長官(当時)が記者会見でWinnyの使用を自粛するよう国民に呼びかけた。
この呼びかけの理由の一つとして、Winnyで出回った官庁のファイルを削除するのが物理的に不可能なため、これ以上不特定多数の国民に閲覧されないよう、このように呼びかけたのだと揶揄する声もある。
さらに、情報漏洩についても、本来なら外部に持ち出してはいけないと決められている情報を、Winnyを起動させている(主に自宅にある)パソコンに入れていた点について追及する動きもある一方で、一部の省庁・地方自治体ではWinnyがインストールされているパソコンからWinnyを削除させたり、重要情報の持ち出し禁止を指導したりしている。
しかし、そもそも自宅へ持ち帰らなければ仕事が消化しきれないという現実の前には、問題の全面解決には程遠いのが現状である。
現状のウイルスについては、2006年3月11日に行われた講演で、金子勇はWinnyのプログラムを少し書き換えるだけでウイルスの拡散防止が出来るが、裁判で著作権幇助に関する罪状で係争中であり、Winnyの更新が出来ない現状であると述べた。