脆弱性のブランド化と名付け親の真意--Heartbleed、Shellshockが招いたもう1つの物議

Violet Blue (Special to ZDNET.com) 翻訳校正: 村上雅章 野崎裕子

2014-12-05 06:30

 度を超した危険な脆弱性には名前が付けられる。ある脆弱性に「Heartbleed」という名前が付けられ、ブランド化された結果、セキュリティについて語る方法に変革がもたらされた。しかしロゴまで用意するというのは不謹慎なのではないだろうか?それともこれは情報セキュリティの進化なのだろうか?


Heartbleed脆弱性のロゴ

 連続銀行強盗など、あまりにも多くの悪事を重ねた犯罪者には別途名前が付けられる場合がしばしばある。歴史をひも解いてみても、連続殺人犯が凶行に及んだ場所(例えば「ハイキング道の殺人者」を意味する「The Trailside Killer」)や、ギャングの特徴(例えば「ベビーフェイス・ネルソン」こと「"Baby Face" Nelson」)などから固有の識別名が与えられている。致命的な脆弱性やゼロデイ攻撃も同じというわけだ。

 iSIGHT Partners(同社は、「Microsoft Windows」に対するゼロデイ攻撃を仕掛けた「Sandworm」を同定した企業だ)のシニアディレクターを務めるStephen Ward氏は米ZDNetに対して、「研究者らは、ハッカー集団や特定の脆弱性に名前を付けるために、マルウェア内やコマンド&コントロール(C&C)サーバ内で見つかったユニークな特徴を用いる場合もしばしばある。これによって、マルウェアの亜種が登場したり、ハッカー集団の活動を追跡するなかでの理解の促進とともに、継続して用いることのできる参照基準の設定ができるようになる」と説明した。

 さらに同氏は以下のように続けた。

 現時点でサイバーエスピオナージを実行している組織は軽く10を超える。ロシア関連で言えば、継続的に活動している少なくとも5つの組織に名前が付けられている。

 こういった組織に名前を付けておかなければ、それらすべてを監視することなど不可能だろう。効果的な防御手段を確立するためには、これら組織の明確な理解がその第1歩となるため、名前が必要不可欠だと考えている。Sandwormのケースを見れば分かるように、組織に名前が付いていれば、システム管理者や研究者は該当組織を追跡し、それに合った戦術や技術、手順、継続的な対策の実施ができるようになる。

 アイデンティティを与えることで、闇に潜む組織に光を当てられるようになるのだ。

 脆弱性のブランド化が本格的に図られた初めてのケースであり、もはや伝説にもなった「Heartbleed」がニュースの見出しを飾った際、脆弱性のブランド化に対する是非が情報セキュリティのコミュニティー内で持ち上がった。

 HeartbleedはGoogle SecurityのNeel Mehta氏により2014年3月21日(金)に発見された(とは言うものの、21日よりも前に見つかっていた可能性もある)。Googleのチームはその日のうちにパッチをコミットした。その後、パッチはOpenSSLとRed Hatに送付された。また、GoogleのHeartbleed対策チームの1人が個人的に商用ウェブサイトセキュリティ企業CloudFlareの誰かに連絡し、3月31日にパッチが当てられた。

 FacebookとAkamaiも私的なルートから注意喚起を入手した。誰が情報を流しているのかという舞台裏での探り合いが始まったが、Googleは報道機関に対して、いつ、誰が何を語ったのかについてはコメントしないという、Appleとよく似た戦略を採った。

 ほぼ同時期にあたる4月3日、フィンランドのセキュリティ企業CodenomiconのエンジニアであるAntti Karjalainen氏とRiku Hietamäki氏、Matti Kamunen氏もHeartbleedを発見し、その翌日にフィンランド国家サイバーセキュリティセンター(NCSC-FI:National Cyber Security Centre Finland)に報告している。

 Codenomiconの最高調査責任者(CRO)Ari Takanen氏は米ZDNetに対して「Heartbleedと呼ばれる脆弱性は『OpenSSL』ライブラリのHeartbeat拡張内に存在している。われわれのシステム管理者の1人であるOssi Herrala氏がHeartbleedと名付けた」と語った。

 Takanen氏によると「メモリから(血が流れ出すように)重要情報が流出するため、この脆弱性をHeartbleed(心臓出血)と呼ぶのが的確だとHerrala氏は考えた」という。

 また、Codenomiconの最高経営責任者(CEO)David Chartier氏がBloombergに語ったところによると、同氏直属のチームがすぐにそのマーケティングに取りかかったという。

 これに引き続き、Codenomiconは4月5日にHeartbleed.comというドメイン名を入手した。その間、当該脆弱性に関するニュースはRed Hatや個人的なメーリングリストを通じて拡散し、そういった情報のなかでRed Hatのある従業員は4月9日に情報が一般公開されると説明していた

 しかし、ものごとは計画通りに進まなかった。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]