脆弱性のブランド化と名付け親の真意--Heartbleed、Shellshockが招いたもう1つの物議

Violet Blue (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子 2014年12月05日 06時30分

  • このエントリーをはてなブックマークに追加

 度を超した危険な脆弱性には名前が付けられる。ある脆弱性に「Heartbleed」という名前が付けられ、ブランド化された結果、セキュリティについて語る方法に変革がもたらされた。しかしロゴまで用意するというのは不謹慎なのではないだろうか?それともこれは情報セキュリティの進化なのだろうか?


Heartbleed脆弱性のロゴ

 連続銀行強盗など、あまりにも多くの悪事を重ねた犯罪者には別途名前が付けられる場合がしばしばある。歴史をひも解いてみても、連続殺人犯が凶行に及んだ場所(例えば「ハイキング道の殺人者」を意味する「The Trailside Killer」)や、ギャングの特徴(例えば「ベビーフェイス・ネルソン」こと「"Baby Face" Nelson」)などから固有の識別名が与えられている。致命的な脆弱性やゼロデイ攻撃も同じというわけだ。

 iSIGHT Partners(同社は、「Microsoft Windows」に対するゼロデイ攻撃を仕掛けた「Sandworm」を同定した企業だ)のシニアディレクターを務めるStephen Ward氏は米ZDNetに対して、「研究者らは、ハッカー集団や特定の脆弱性に名前を付けるために、マルウェア内やコマンド&コントロール(C&C)サーバ内で見つかったユニークな特徴を用いる場合もしばしばある。これによって、マルウェアの亜種が登場したり、ハッカー集団の活動を追跡するなかでの理解の促進とともに、継続して用いることのできる参照基準の設定ができるようになる」と説明した。

 さらに同氏は以下のように続けた。

 現時点でサイバーエスピオナージを実行している組織は軽く10を超える。ロシア関連で言えば、継続的に活動している少なくとも5つの組織に名前が付けられている。

 こういった組織に名前を付けておかなければ、それらすべてを監視することなど不可能だろう。効果的な防御手段を確立するためには、これら組織の明確な理解がその第1歩となるため、名前が必要不可欠だと考えている。Sandwormのケースを見れば分かるように、組織に名前が付いていれば、システム管理者や研究者は該当組織を追跡し、それに合った戦術や技術、手順、継続的な対策の実施ができるようになる。

 アイデンティティを与えることで、闇に潜む組織に光を当てられるようになるのだ。

 脆弱性のブランド化が本格的に図られた初めてのケースであり、もはや伝説にもなった「Heartbleed」がニュースの見出しを飾った際、脆弱性のブランド化に対する是非が情報セキュリティのコミュニティー内で持ち上がった。

 HeartbleedはGoogle SecurityのNeel Mehta氏により2014年3月21日(金)に発見された(とは言うものの、21日よりも前に見つかっていた可能性もある)。Googleのチームはその日のうちにパッチをコミットした。その後、パッチはOpenSSLとRed Hatに送付された。また、GoogleのHeartbleed対策チームの1人が個人的に商用ウェブサイトセキュリティ企業CloudFlareの誰かに連絡し、3月31日にパッチが当てられた。

 FacebookとAkamaiも私的なルートから注意喚起を入手した。誰が情報を流しているのかという舞台裏での探り合いが始まったが、Googleは報道機関に対して、いつ、誰が何を語ったのかについてはコメントしないという、Appleとよく似た戦略を採った。

 ほぼ同時期にあたる4月3日、フィンランドのセキュリティ企業CodenomiconのエンジニアであるAntti Karjalainen氏とRiku Hietamäki氏、Matti Kamunen氏もHeartbleedを発見し、その翌日にフィンランド国家サイバーセキュリティセンター(NCSC-FI:National Cyber Security Centre Finland)に報告している。

 Codenomiconの最高調査責任者(CRO)Ari Takanen氏は米ZDNetに対して「Heartbleedと呼ばれる脆弱性は『OpenSSL』ライブラリのHeartbeat拡張内に存在している。われわれのシステム管理者の1人であるOssi Herrala氏がHeartbleedと名付けた」と語った。

 Takanen氏によると「メモリから(血が流れ出すように)重要情報が流出するため、この脆弱性をHeartbleed(心臓出血)と呼ぶのが的確だとHerrala氏は考えた」という。

 また、Codenomiconの最高経営責任者(CEO)David Chartier氏がBloombergに語ったところによると、同氏直属のチームがすぐにそのマーケティングに取りかかったという。

 これに引き続き、Codenomiconは4月5日にHeartbleed.comというドメイン名を入手した。その間、当該脆弱性に関するニュースはRed Hatや個人的なメーリングリストを通じて拡散し、そういった情報のなかでRed Hatのある従業員は4月9日に情報が一般公開されると説明していた

 しかし、ものごとは計画通りに進まなかった。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]