名前付き脆弱性(Branded Vulnerabilities)のまとめ
2014年のHeartbleed脆弱性の以降で、脆弱性に名付けをする行為が増えました。それから1年程経過した2015年5月に、忘れないようにメモをはじめました。
その後も、更新を続けています。次々と新しい脆弱性が公開されますので、このブログのなかで、最も更新頻度の多い記事のひとつとなっています。
一覧表
名前 | 公開日 | 対象プロダクト | 代表的な識別子 | ロゴ |
---|---|---|---|---|
palmetto | 1999-02-11 | ftpd, ProFTPD | CVE-1999-0368 | |
Naptha | 2000-11-30 | TCP/IP | CVE-2000-1039 | |
Slowloris | 2011-12-27 | Apache | CVE-2007-6750 | |
goto fail; | 2014-02-21 | OS X, iOS | CVE-2014-1266 | |
Heartbleed | 2014-04-07 | OpenSSL | CVE-2014-0160 | o |
CCS Injection | 2014-06-05 | OpenSSL | CVE-2014-0224 | o |
BadUSB | 2014-08-06 | USB | - | |
ShellShock | 2014-09-24 | Bash | CVE-2014-6271 | |
POODLE | 2014-10-14 | SSLv3.0 | CVE-2014-3566 | |
sandworm | 2014-10-15 | Windows | CVE-2014-4114 | |
Drupalgeddon | 2014-10-15 | Drupal | CVE-2014-3704 | |
WinShock | 2014-11-11 | Windows OLE | MS14-066 | |
Grinch | 2014-12-16 | polkit | - | |
BadIRET | 2014-12-17 | Linux kernel | CVE-2014-9322 | |
Misfortune Cookie | 2014-12-17 | RomPager | CVE-2014-9222 | o |
Thunderstrike | 2014-12-29 | Thunderbolt | CVE-2014-4498 | |
FREAK | 2015-01-08 | SSL/TLS | CVE-2015-0204 | |
GHOST | 2015-01-27 | glibc | CVE-2015-0235 | o |
JASBUG | 2015-02-11 | Windows | MS15-011 | |
Rootpipe | 2015-04-09 | OS X | CVE-2015-1130 | |
Darwin Nuke | 2015-04-10 | OS X, iOS | - | |
BACKRONYM | 2015-04-29 | MySQL | CVE-2015-3152 | o |
Logjam | 2015-05-13 | SSL/TLS | CVE-2015-1716 | |
VENOM | 2015-05-13 | QEMU | CVE-2015-3456 | o |
XARA | 2015-05-26 | OS X, iOS | - | |
Thunderstrike2 | 2015-05-29 | Thunderbolt | CVE-2015-3692 | |
Stagefright | 2015-07-27 | Android | CVE-2015-1538 | o |
Certifi-gate | 2015-08-06 | Android | - | |
Quicksand | 2015-08-13 | iOS | CVE-2015-5749 | |
Stagefright2.0 | 2015-10-01 | Android | CVE-2015-6602 | |
BadWinmail | 2015-12-09 | Outlook | MS15-131 | o |
Mousejack | 2016-02-23 | 無線マウス | - | o |
CacheBleed | 2016-03-01 | SSL/TLS | CVE-2016-0702 | |
DROWN | 2016-03-01 | SSL/TLS | CVE-2016-0800 | o |
Sidestepper | 2016-03-31 | iOS | - | |
Badlock | 2016-04-12 | Samba | CVE-2016-2118 | o |
ImageTragick | 2016-05-03 | ImageMagick | CVE-2016-3714 | o |
LuckyNegative20 | 2016-05-04 | OpenSSL | CVE-2016-2107 | |
badWPAD | 2016-05-23 | WPAD | - | o |
Httproxy | 2016-07-18 | CGI | CVE-2016-5385 | o |
KeySniffer | 2016-07-26 | 無線キーボード | - | o |
BadTunnel | 2016-08-04 | NetBIOS | MS16-077 | |
QuadRooter | 2016-08-07 | QuIC | CVE-2016-5340 | o |
Trident | 2016-08-25 | iOS | CVE-2016-4655 | |
SSHowDowN | 2016-10-11 | SSH | - | |
Dirty COW | 2016-10-21 | Linux Kernel | CVE-2016-5195 | o |
Redirect to SMB | 2017-02-02 | SMB | CVE-2017-0016 | |
BlackNurse | 2016-11-10 | ICMP | - | o |
Ticketbleed | 2017-02-09 | BIG-IP | CVE-2016-9244 | |
Cloudbleed | 2017-02-23 | Cloudflare | - | |
Struts-Shock | 2017-03-06 | Struts 2 | CVE-2017-5638 | |
Riddle | 2017-03-17 | MySQL | CVE-2017-3305 | o |
EternalBlue | 2017-05-14 | Windows | MS17-010 | |
Cloak & Dagger | 2017-05-22 | Android | - | |
HospitalGown | 2017-05-31 | モバイルアプリ | - | |
SambaCry | 2017-06-09 | SMB | CVE-2017-7494 | |
Stack Clash | 2017-06-19 | Linux等 | CVE-2017-1000364 | |
Orpheus' Lyre | 2017-07-11 | Kerberos | - | o |
Bad Taste | 2017-07-24 | gnome-exe-thumbnailer | CVE-2017-11421 | o |
Broadpwn | 2017-07-27 | Broadcom製Wi-Fiチップ | CVE-2017-9417 | |
SMBloris | 2017-08-01 | SMB | - | |
ConnManDo | 2017-08-29 | ConnMan | CVE-2017-12865 | |
RTPbleed | 2017-09-01 | Asterisk | CVE-2017-14099 | o |
BlueBorne | 2017-09-13 | Bluetooth | - | o |
OptionsBleed | 2017-09-18 | Apache | CVE-2017-9798 | |
KRACKs | 2017-10-16 | WPA2 | CVE-2017-13077 | o |
ROCA | 2017-10-16 | Infineon Technologies製チップ | CVE-2017-15361 | |
DUHK | 2017-10-23 | FortiOS | CVE-2016-8492 | o |
TorMoil | 2017-11-03 | Tor Browser | CVE-2017-16541 | |
#AVGater | 2017-11-10 | アンチウイルスソフト | - | o |
JOLTandBLEED | 2017-11-14 | PeopleSoft | CVE-2017-10272 | |
I am root | 2017-11-29 | macOS | CVE-2017-13872 | |
Janus | 2017-12-04 | Android | CVE-2017-13156 | |
ROBOT | 2017-12-13 | TLS | CVE-2017-6168 | o |
Mailsploit | 2017-12-07 | メールクライアント | - | o |
Meltdown | 2018-01-04 | Intel CPU等 | CVE-2017-5754 | o |
Spectre | 2018-01-04 | Intel CPU等 | CVE-2017-5753 | o |
Drupalgeddon 2.0 | 2018-03-28 | Drupal | CVE-2018-7600 | |
EFAIL | 2018-05-16 | OpenPGP, S/MIME | CVE-2017-17688 | o |
Zip Slip | 2018-06-05 | - | CVE-2018-1002200 | o |
Foreshadow | 2018-08-14 | Intel CPU等 | CVE-2018-3615 | o |
SegmentSmack | 2018-08-06 | Linux Kernel | CVE-2018-5390 | |
FragmentSmack | 2018-08-06 | Linux Kernel | CVE-2018-5391 | |
BleedingBit | 2018-11-01 | TI製BLEチップ | CVE-2018-16986 | o |
DRAGONBLOOD | 2019-04-17 | WPA3 | CVE-2019-9494 | o |
ZombieLoad | 2019-05-14 | Intel CPU等 | CVE-2018-12130 | o |
BlueKeep | 2019-05-14 | Windows | CVE-2019-0708 | |
BootHole | 2020-07-29 | GRUB2 | CVE-2020-10713 | |
SIGRed | 2020-07-14 | Windows DNS | CVE-2020-1350 |
参考:とりあえずこれらは脆弱性の名前ではないと考えております。
Kashpureff, Teardrop, LAND, Nuke, Rose, Smurf, Ping of Death, Fraggle, Kaminsky, Apache killer, BEAST, CRIME, BREACH, Watering hole, Water torture, Slow drip, The Memory Sinkhole, voter identity theft
- TeardropにはNewTear, SynDrop, Bonk, Nestea等の変法あり。
考察
攻撃用のツールやマルウェアや攻撃手法に対して、名前を付けるという行為は、従来から自然とおこなわれていました。武術や格闘ゲームの必殺技に、名前を付けるのと同じ感覚といえるかもしれません。例えばSSL/TLSをターゲットにした攻撃では、BEAST、CRIME、BREACH等の攻撃手法が有名です。一方で、サイバー攻撃の対局にあたる脆弱性は、名付けされることは稀有でした。得意技や攻撃に名前をつけることはあっても、自分の不得手や弱点に名前をつけることは少ないです。脆弱性に名前を付けるのもこれと同じ感覚だったわけです。
2014年4月に発表された、HeartBleed脆弱性が転機となりました。過去にSSL/TLSで発見されたほかの攻撃と区別をするため、攻撃手法および脆弱性を複合した総称として名前がつけられました。ところが、名前と同時に発見者であるCodenomiconにより公表されたロゴが秀逸でインパクトが強かったこと。テレビを始めとしたメディアに多く取り上げられました。そして、この脆弱性がSSL/TLS仕様の脆弱性ではなく、OpenSSLという特定のソフトウェアに依存した脆弱性であったことが影響し、従来はあまり例がなかった脆弱性そのものに名前が付けられるという行為が許容されるきっかけとなりました。セキュリティ業界における大きな変化といえるでしょう。しかし攻撃手法と脆弱性は表裏一体であり、意外とすんなり受け入れられました。
ところがまもなく、名前付き脆弱性がセキュリティベンダによる売名行為に悪用される傾向が生じます。名前とともにロゴを公開し、専門のウェブサイトを立ち上げて対策を紹介することで、セキュリティエンジニアがみんなそれを目にすることになります。発見・命名した企業へ世界的に注目が集まることで大きな宣伝効果がうまれるのです。筆者の体感では、Qualys社が命名したGHOSTのあたりからそれが執拗になっています。これにより、セキュリティエンジニアの間では、脆弱性に名前が付いているからといってその情報に過度に踊らされるのは不適切であり、慎重に対策が必要な脆弱性を選ぼうというコンセンサスが確立されました。
2015年7月に発表されたAndroidの脆弱性であるStagefrightは、もともとはAndroidに内蔵されたメディアプレーヤの固有名詞でした。この脆弱性はほぼすべてのAndroid端末が影響したため、世界的に影響が大きく、脆弱性が人口に膾炙しました。この脆弱性でもStagefrightのロゴが発表されたことで、ソフトウェアの名称がそのまま脆弱性の名前としても認識されるようになりました。ややこしいです。
その後もサイバー攻撃への注目度が高まるにつれて、あまりよく考えずに脆弱性と攻撃手法とを同じ名称で呼ぶ傾向が増加しています。このリストに掲載する際にも、これは脆弱性の名前なのか、それとも攻撃手法の名前なのかに迷う状況が続いています。例えばSlowlorisのように、かつては攻撃ツールの名称として登場したものが、後から脆弱性の名称としても定着する事例も出てきました。2016年末ごろの時点ですでに脆弱性に名前を付ける行為に目新しさはなくなったといえます。
前述のHeartbleedは、OpenSSLという広く世間に利用されているソフトウェアが、脆弱な開発体制に頼っていることを明るみに出しました。そしてPoodleは、SSLv3の使用停止の推奨を世界に発信しました。このように、脆弱性の名前付け行為には、世間に広く流布をしたり、現況にメスを入れる機会となる力を有しています。ただし、脆弱性の名付け行為は、効果的に利用されるべきで、商用目的に利用するべきではありません。
あとは雑談です。アメリカでBlackHat/DEFCONが開催される毎年8月上旬に数多く命名される傾向があります。名前付き脆弱性の英訳がbranded vulnerabilityとなるのは、named vulnerabilityにすると、ISCのBINDの脆弱性かのように誤解が生じる懸念があるからという理由もあると思います。ほかの呼び名として、Sophosでは「BWAIN(Bug With An Impressive Name)」と紹介しています。