ハリケーン、政治的な出来事、あるいは昨日 32 年前に発生したモリスワームのようなセキュリティ インシデントなど、記憶に残る多くの出来事に名前が付けられます。
しかし、最近では、Heartbleed(2014 年)、Meltdown、Spectre、Foreshadow(2018 年)、Fallout、ZombieLoad(2019 年)といった、恐怖をあおる名前で、セキュリティ インシデントの名前が付けられ、その重要性が強調されています。
すべてがそうというわけではない。CacheOut、CrossTalk、RIDLなど、それほど感情的な意味合いのないバグ名も提案されてきたが、名前を誇張した不安感が蔓延し、カーネギーメロン大学ソフトウェア工学研究所のサイバーセキュリティ部門CERTの情報セキュリティ専門家が介入する事態に至った。
今年の初め、CERT/CC は、CVE (Common Vulnerabilities and Exposures) 識別子に名前を付けて、思い出しやすくし、懸念が生じにくくし始めました。
「センセーショナルな名前は、発見者が自らの研究成果をより広く知らしめるためのツールとなることが多い」と、カーネギーメロン大学(CMU)のCERT/CCシニアネットワークセキュリティリサーチアナリスト、リー・メトカーフ氏は金曜日に説明した。「これは、ベンダー、研究者、そして一般の人々にとっての不安、不確実性、疑念を軽減しようと努めるCERT/CCにとって、懸念事項の一つです。」
メトカーフ氏は、この取り組みのきっかけは、メルトダウンやスペクターについて言及した2018年の米国政府の公聴会のように、こうした名前が公共政策の議論を形作るからだと示唆している。
このプロジェクトのアイデアは、BSidesLV 2018 で初めて発表されました。
US-CERTが最も悪用されるセキュリティバグ10件をリストアップ。そう、ほとんどはマイクロソフトの脆弱性で、修正し忘れたものだ。
続きを読む
1月23日、CERT/CCはVulnonymというTwitterボットを通じて、CVEの名称としてランダムな形容詞と名詞の組み合わせを提案し始めました。つまり、最近のWindowsカーネルの脆弱性のような脆弱性を、CVE-2020-17087のような退屈な識別子で呼ぶ代わりに、同グループは「Unsure Ensemble」「Shapeless Screwdriver」「Unmarked Slapstick」「Suggestive Bunny」といった自動生成されたニックネームを提案しているのです。
メトカーフ氏は、欠陥の深刻さについて言及することなく、記憶に残る「中立的な名前」を作ることが目標だと語る。
CERTの命名スキームは、ウィクショナリーから収集した形容詞と名詞のリストと、動物、植物、宇宙物体などの様々な単語カテゴリに基づいています。これらは、カントール・デペアリング関数を用いてCVE番号の数字にマッピングされます。その結果、Ubuntu Linuxのリリースコード名に似たものになることがよくあります。
「この問題に取り組む際、センセーショナル、恐ろしい、または不快な名前が含まれていないことを確認するために、いくつかの単語リストを検討しました」とメトカーフ氏は説明したが、おそらくCVE-2020-9875が「Scary Seine」と呼ばれていることは知らなかったのだろう。
メトカーフ氏と脆弱性分析技術マネージャーのアート・マニオン氏は、 The Register宛ての電子メールで、自分たちの取り組みによって、セキュリティ研究者が重大なバグの公開を非難するのを阻止できるとは期待していないと述べた。
「特に期待はしていません。脆弱性研究コミュニティと、直接関与の少ない他のコミュニティの両方からの反応を期待しています」と彼らは述べた。「中立的な名前を生成することは、名前が数字(CVE ID)よりも覚えやすいかどうかをテストするだけです。」
彼らは、意味のある名前が好まれるというフィードバックをすでに受け取っていると述べ、他の人が CVE-2020-1472 に適用した Zerologon の名前が、Vulnonym がランダムに付けた「Wattled Lathe」という名前よりも適切であることを指摘した。
「研究者が脆弱性に名前を付け続けることは十分予想しており、Vulnonymがそれらの名前に取って代わるつもりはありません」と彼らは述べた。「Vulnonymは、特別な名前が付けられていない脆弱性の残りの99%をカバーするだけでなく、名前に時折含まれるFUD(不安や懸念)の要素にも注意を喚起します。」
しかし、中立的な言葉遣いは難しい。一つ一つは無害な言葉でも、組み合わせると無害ではなくなる可能性があるからだ。また、意味を理解するには文脈が重要になる。「Canny Lumpsucker(カニー・ランプサッカー)」のように、使われている名前の中には、それ自体でクスクス笑ってしまうものもある。
「Grizzled Serf」がAmazon関連の脆弱性を示唆していたり、「Filthy Python」がアダルトグッズの欠陥を示唆していたりすると、挑発的と捉えられるかもしれません。では、「Headed Bottom」と「Perceptive Ejaculate」はどうでしょうか?
少なくとも、そのような問題は予測されていました。メトカーフ氏は、データセットから不適切な名前を削除して再生成する簡単なプロセスがあると述べています。しかし、そのプロセスがどのようなものか、また、不適切な組み合わせを評価するための基準も提示していません。
おそらく、苦情処理プロセスは、ソーシャル メディアで騒ぎを起こすという、現在の顧客サポートの標準に従うことになるでしょう。®
編集者注:この記事の以前のバージョンでは、CERT/CC のバグ命名プロジェクトが先月開始されたと記載していました。年末に開始されたことを改めて明記し、Leigh Metcalf 氏と Art Manion 氏による追加解説も掲載しました。
