2014年11月のITproアクセスランキング第1位は、ぶっちぎりで「記者は『BadUSB』を試してみた、そして凍りついた」だった(2014年11月のランキング)。この記事は、12月に入っても「いま読まれている記事」のランキング上位にしばしば顔を出す。この記事で取り上げたBadUSBのように、深刻な脆弱性に名前を付けるのが“ブーム”になった1年だった。
OpenSSLの「Heartbleed」に始まり、bashの「ShellShock」、SSL 3.0の「POODLE」、そして前述のBadUSBである。名付け親の多くはセキュリティベンダーだったと記憶している。マーケティングの一環として、メディアに取り上げられやすいようなキャッチーな名前を付けたのだと思う。筆者もまんまと乗ってしまった。
Heartbleedは、その深刻さもさることながら、ネーミングの妙で大きな話題なったと言える。OpenSSLのHeartbeat(心臓鼓動)機能に見つかった脆弱性なのでHeartbleed(心臓出血)とはよく考えたものだ。HeartbleedのWebサイトをオープンし、血で描かれたようなハートマークの「Heartbleedマーク」まで用意した。
先日、別件の取材の際に、セキュリティ研究者と脆弱性のネーミングについて話をしたところ、その人も、このブームの火付け役はHeartbleedだと話していた。Heartbleedの“成功”を見て、各社ともキャッチーな名前を付けるようになった可能性は高いとする。
その人いわく、深刻な脆弱性にキャッチーな名前を付けるのは不謹慎かもしれないが、名前が付いてメディアで報じられることで、専門家以外の人とも話が通じやすくなるメリットがあるという。
特定の脆弱性を指す際に、「何月に見つかった○○の脆弱性」や「脆弱性番号○○」などと説明するしかなかったので、専門家以外に説明するのは面倒だが、名前が付けられた脆弱性については、その名前を出すだけで、すぐに「ああ、アレね」と分かってもらえるという。深刻な脆弱性に名前を付けるブームは来年も続きそうだ。
