名前付き脆弱性(Branded Vulnerabilities)のまとめ

君の名は。 2014年のHeartbleed脆弱性の以降で、脆弱性に名付けをする行為が増えました。それから1年程経過した2015年5月に、忘れないようにメモをはじめました。

その後も、更新を続けています。次々と新しい脆弱性が公開されますので、このブログのなかで、最も更新頻度の多い記事のひとつとなっています。

一覧表

名前 公開日 対象プロダクト 代表的な識別子 ロゴ
palmetto 1999-02-11 ftpd, ProFTPD CVE-1999-0368
Naptha 2000-11-30 TCP/IP CVE-2000-1039
Slowloris 2011-12-27 Apache CVE-2007-6750
goto fail; 2014-02-21 OS X, iOS CVE-2014-1266
Heartbleed 2014-04-07 OpenSSL CVE-2014-0160 o
CCS Injection 2014-06-05 OpenSSL CVE-2014-0224 o
BadUSB 2014-08-06 USB -
ShellShock 2014-09-24 Bash CVE-2014-6271
POODLE 2014-10-14 SSLv3.0 CVE-2014-3566
sandworm 2014-10-15 Windows CVE-2014-4114
WinShock 2014-11-11 Windows OLE MS14-066
Grinch 2014-12-16 polkit -
BadIRET 2014-12-17 Linux kernel CVE-2014-9322
Misfortune Cookie 2014-12-17 RomPager CVE-2014-9222 o
Thunderstrike 2014-12-29 Thunderbolt CVE-2014-4498
FREAK 2015-01-08 SSL/TLS CVE-2015-0204
GHOST 2015-01-27 glibc CVE-2015-0235 o
JASBUG 2015-02-11 Windows MS15-011
Rootpipe 2015-04-09 OS X CVE-2015-1130
Darwin Nuke 2015-04-10 OS X, iOS -
BACKRONYM 2015-04-29 MySQL CVE-2015-3152 o
Logjam 2015-05-13 SSL/TLS CVE-2015-1716
VENOM 2015-05-13 QEMU CVE-2015-3456 o
XARA 2015-05-26 OS X, iOS -
Thunderstrike2 2015-05-29 Thunderbolt CVE-2015-3692
Stagefright 2015-07-27 Android CVE-2015-1538 o
Certifi-gate 2015-08-06 Android -
Quicksand 2015-08-13 iOS CVE-2015-5749
Stagefright2.0 2015-10-01 Android CVE-2015-6602
BadWinmail 2015-12-09 Outlook MS15-131 o
Mousejack 2016-02-23 無線マウス - o
CacheBleed 2016-03-01 SSL/TLS CVE-2016-0702
DROWN 2016-03-01 SSL/TLS CVE-2016-0800 o
Sidestepper 2016-03-31 iOS -
Badlock 2016-04-12 Samba CVE-2016-2118 o
ImageTragick 2016-05-03 ImageMagick CVE-2016-3714 o
LuckyNegative20 2016-05-04 OpenSSL CVE-2016-2107
badWPAD 2016-05-23 WPAD - o
Httproxy 2016-07-18 CGI CVE-2016-5385 o
KeySniffer 2016-07-26 無線キーボード - o
BadTunnel 2016-08-04 NetBIOS MS16-077
QuadRooter 2016-08-07 QuIC CVE-2016-5340 o
Trident 2016-08-25 iOS CVE-2016-4655
SSHowDowN 2016-10-11 SSH -
Dirty COW 2016-10-21 Linux Kernel CVE-2016-5195 o
Redirect to SMB 2017-02-02 SMB CVE-2017-0016
BlackNurse 2016-11-10 ICMP - o
Ticketbleed 2017-02-09 BIG-IP CVE-2016-9244
Cloudbleed 2017-02-23 Cloudflare -
Struts-Shock 2017-03-06 Struts 2 CVE-2017-5638
Riddle 2017-03-17 MySQL CVE-2017-3305 o
EternalBlue 2017-05-14 Windows MS17-010
Cloak & Dagger 2017-05-22 Android -
HospitalGown 2017-05-31 モバイルアプリ -
SambaCry 2017-06-09 SMB CVE-2017-7494
Stack Clash 2017-06-19 Linux CVE-2017-1000364
Orpheus' Lyre 2017-07-11 Kerberos - o
Bad Taste 2017-07-24 gnome-exe-thumbnailer CVE-2017-11421 o
Broadpwn 2017-07-27 BroadcomWi-Fiチップ CVE-2017-9417
SMBloris 2017-08-01 SMB -
ConnManDo 2017-08-29 ConnMan CVE-2017-12865
RTPbleed 2017-09-01 Asterisk CVE-2017-14099 o
BlueBorne 2017-09-13 Bluetooth - o
OptionsBleed 2017-09-18 Apache CVE-2017-9798
KRACKs 2017-10-16 WPA2 CVE-2017-13077 o
ROCA 2017-10-16 Infineon Technologies製チップ CVE-2017-15361
DUHK 2017-10-23 FortiOS CVE-2016-8492 o
TorMoil 2017-11-04 Tor Browser CVE-2017-16541
#AVGater 2017-11-10 アンチウイルスソフト - o
JOLTandBLEED 2017-11-14 PeopleSoft CVE-2017-10272
Janus 2017-12-04 Android CVE-2017-13156
ROBOT 2017-12-13 TLS CVE-2017-6168 o

参考:とりあえずこれらは脆弱性の名前ではないと考えております。

Kashpureff, Teardrop, LAND, Nuke, Rose, Smurf, Ping of Death, Fraggle, Kaminsky, Apache killer, BEAST, CRIME, BREACH, Watering hole, Water torture, Slow drip, The Memory Sinkhole, Meltdown, Spectre, voter identity theft
  • TeardropにはNewTear, SynDrop, Bonk, Nestea等の変法あり。

考察

攻撃用のツールやマルウェアや攻撃手法に対して、名前を付けるという行為は、従来から自然とおこなわれていました。武術や格闘ゲームの必殺技に、名前を付けるのと同じ感覚といえるかもしれません。例えばSSL/TLSをターゲットにした攻撃では、BEAST、CRIME、BREACH等の攻撃手法が有名です。一方で、サイバー攻撃の対局にあたる脆弱性は、名付けされることは稀有でした。得意技や攻撃に名前をつけることはあっても、自分の不得手や弱点に名前をつけることは少ないです。脆弱性に名前を付けるのもこれと同じ感覚だったわけです。

2014年4月に発表された、HeartBleed脆弱性が転機となりました。過去にSSL/TLSで発見されたほかの攻撃と区別をするため、攻撃手法および脆弱性を複合した総称として名前がつけられました。ところが、名前と同時に発見者であるCodenomiconにより公表されたロゴが秀逸でインパクトが強かったこと。テレビを始めとしたメディアに多く取り上げられました。そして、この脆弱性SSL/TLS仕様の脆弱性ではなく、OpenSSLという特定のソフトウェアに依存した脆弱性であったことが影響し、従来はあまり例がなかった脆弱性そのものに名前が付けられるという行為が許容されるきっかけとなりました。セキュリティ業界における大きな変化といえるでしょう。しかし攻撃手法と脆弱性は表裏一体であり、意外とすんなり受け入れられました。

ところがまもなく、名前付き脆弱性がセキュリティベンダによる売名行為に悪用される傾向が生じます。名前とともにロゴを公開し、専門のウェブサイトを立ち上げて対策を紹介することで、セキュリティエンジニアがみんなそれを目にすることになります。発見・命名した企業へ世界的に注目が集まることで大きな宣伝効果がうまれるのです。筆者の体感では、Qualys社が命名したGHOSTのあたりからそれが執拗になっています。これにより、セキュリティエンジニアの間では、脆弱性に名前が付いているからといってその情報に過度に踊らされるのは不適切であり、慎重に対策が必要な脆弱性を選ぼうというコンセンサスが確立されました。

2015年7月に発表されたAndroid脆弱性であるStagefrightは、もともとはAndroidに内蔵されたメディアプレーヤの固有名詞でした。この脆弱性はほぼすべてのAndroid端末が影響したため、世界的に影響が大きく、脆弱性が人口に膾炙しました。この脆弱性でもStagefrightのロゴが発表されたことで、ソフトウェアの名称がそのまま脆弱性の名前としても認識されるようになりました。ややこしいです。

その後もサイバー攻撃への注目度が高まるにつれて、あまりよく考えずに脆弱性と攻撃手法とを同じ名称で呼ぶ傾向が増加しています。このリストに掲載する際にも、これは脆弱性の名前なのか、それとも攻撃手法の名前なのかに迷う状況が続いています。例えばSlowlorisのように、かつては攻撃ツールの名称として登場したものが、後から脆弱性の名称としても定着する事例も出てきました。2016年末ごろの時点ですでに脆弱性に名前を付ける行為に目新しさはなくなったといえます。

脆弱性に名前やロゴをつくる行為は、効果的に利用されるべきで、商用目的に利用されるべきではありません。前述のHeartbleedは、OpenSSLという広く世間に利用されているソフトウェアが、脆弱な開発体制に頼っていることを明るみに出しました。そしてPoodleは、SSLv3の使用停止の推奨を世界に発信しました。このように、脆弱性の名前付け行為には、世間に広く流布をしたり、現況にメスを入れる機会となる力を有しています。

あとは雑談です。アメリカでBlackHat/DEFCONが開催される毎年8月上旬に数多く命名される傾向があります。名前付き脆弱性の英訳がbranded vulnerabilityとなるのは、named vulnerabilityにすると、ISCのBINDの脆弱性かのように誤解が生じる懸念があるからという理由もあると思います。ほかの呼び名として、Sophosでは「BWAIN(Bug With An Impressive Name)」と紹介しています。

参考