2014年は、広く使われているソフトウエアやプロトコルに、危険な脆弱性が相次いで見つかった1年だった。しかも、セキュリティベンダーなどのマーケティングの一環で、いくつかの脆弱性にはキャッチーな名前が付けられた(関連記事: 脆弱性に名前を付けるメリット)。OpenSSLの「Heartbleed」、bashの「ShellShock」、SSL 3.0の「POODLE」、USBの「BadUSB」などである。
「OpenSSLで露見した脆弱性、『心臓出血』の影響はどこまで及ぶ」など、これらの脆弱性に関する記事はよく読まれた。中でも大ヒットになったのが、BadUSBとShellShockの危険性を記者が実際に体験した「記者は『BadUSB』を試してみた、そして凍りついた」と「記者は『ShellShock』に触れてみた、そして震え上がった」だった。
脆弱性に名前を付けるブームは今後も続くだろう。2000年から2005年ぐらいまでのウイルス(マルウエア)についても同様だったと記憶している。キャッチーなウイルス名を付けるとメディアに取り上げられやすくなるので、セキュリティベンダーは競って“クール”な名前を付けて公表した。
キャッチーな名前を付けること自体は注意喚起に役立つし、利用者に説明しやすくなるので悪いことではないと思う。しかしその後、ベンダー各社は同じウイルスに対して異なる名前を付け始めた。“名付け親”になると、ウイルスを取り上げる際に自社名も紹介してもらえる可能性が高まるためだ。
その結果、利用者の困難を招いた。当時、あるセキュリティベンダーに聞いた話では、「テレビで○○○と言っているウイルスが、おたくのWebページでは見当たらない。おたくのセキュリティソフトでは対応していないのか?」といった問い合わせがサポートセンターに相次いだという。そのベンダーではそのウイルスに別の名前を付けていたのだ。
そして膨大な数のウイルスが日々出現するようになると、いちいち付けていられないし、付ける意味もなくなったので、ウイルスに名前を付けるブームは下火になった。脆弱性については、同じ轍(てつ)を踏まないことを祈る。
もう一つ、2014年のセキュリティに関する大きな話題としては、内部犯行による情報漏洩事件が挙げられるだろう。特に、ベネッセコーポレーションで起こった顧客情報の漏洩事件では、漏洩人数は約4800万人、対策費は約200億円にも上り、社会に大きなインパクトを与えた(関連記事:ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか、IT部門は設定の再点検を)。