はじめに

2014年以降、脆弱性やインシデントについて追っております。

そのうちに、サイバーセキュリティ関連ニュースが人口に膾炙するのには、おおよそ一定の法則があると思うようになりました。残念なことですが、一部には過度に心配を煽るようなフェイクニュースに近いものも存在しています。考察します。

ニュースに躍らされて、エンジニアが消耗するのを避けたい。

ニュースに躍らされた上司から、

「〇〇君、この脆弱性について調べている？」

と聞かれたときに、

「これはニュースパターンのAですね。」

と答えて、即刻で鎮火させる。

ニュースを評価するためのポイント

サイバーセキュリティのニュースのパターン化する上での軸は、次の２点に限定して良いと考えます。

ニュースのパターンは、どちらかと言えば拡散した理由による影響が強いです。

サイバーセキュリティニュースの作り手の意図としては、以下のものが考えられます。これらが、ときに誤りや過剰さを伴うことで、複雑化します。二次ソース以降では、これらが複数絡み合います。

愛称	代表的な発信元	意図の概要	信頼性
Accountability	メーカー、サイバー攻撃の被害組織	脆弱性の修正や、インシデントの発生を告知する。	High
Evangelical	公的機関、公益法人、セキュリティ団体	関心を引いて、対策を促進させる。不安を煽り、ニーズを掘り起こす。	Middle
PR	研究者、セキュリティベンダ、イベント開催者	成果を公表し、信頼度や知名度の向上を図る。イベントへの注目を集める。	Middle~Low
Commercial	ニュースサイト	大量のトラフィックを誘導し、広告収入等を得る。	Low
Maneuvering	ハクティビズム活動家、国家	競争相手や特定の集団を貶めようとする。	Low
Other	一般人	単純なリアクション、社会貢献的な意図のあるものなど様々。	Low

実際の深刻度に比べて、過度にニュースが拡散してしまう理由として、次のようなものが考えられます。

まだ表にかけていない理由が、他にもあると思います。今後さらに増やしていきたいです。

愛称	理由の概要
Giant	政府、独立行政法人、GoogleやIntelのような大企業、等の影響力が大きい組織や個人が公表した、もしくは関係している。
Misunderstanding	公開情報が少ない時期に、限られた情報をもとになされた推測に行き過ぎがあり、それがそのまま波及してしまう。蓋を開けたら大したことはなかったが、もう止められなかった。
Periodical	他に報道すべきニュースがなかった。
Seaborne	欧米を中心とした海外においてニュースが流行った。
Propaganda	セキュリティベンダ等による広告戦略が成功した。

実際にメディアに騒がれた例について、パターンを適用します。

情報源の信頼性が低く、且つ拡散した理由が上記の表に含まれているものであれば、静観して良い理由になりうると考えます。