「水飲み場型攻撃」って,ピンとこないよね
という話を同僚としていたのだけど,あまりにナイスな言い換えが提案された….
その名も「Web待ち伏せ攻撃」.オレ的には即採択w
「水飲み場型攻撃」って何よ?
なんでもかんでも標的型攻撃に繋げたい方々がいらっしゃるような感もあったり.ちなみにオレは,「なんじゃそりゃ?」という手合いだった.
で,水飲み場型攻撃なんだけど,例えば「IEへのゼロデイ攻撃で用いられた“水飲み場型”攻撃」という記事では,水飲み場型攻撃を以下のようにして説明している.
脆弱性の見つかったサイトに侵入し、マルウェアをホスティングしている別サイトへ誘導するHTMLやJavaScriptのコードを注入する。その後は、水飲み場で獲物を待ち伏せるライオンのように、標的ユーザーがアクセスしてくるのを待つ
もともとこの種類の攻撃が紹介された文献で"Watering Hole"と書かれていて,これを直訳すると確かに「水飲み場」となるわけだけど,これはいただけない.確かに「ピンポイントでこの人だけがアクセスするWebサイト」とか「ターゲットとする少数の人たちがアクセスするWebサイト」に仕掛けるならば,それは確かに標的型と呼んでよいだろう.でも,世の中で発生している「マルウェア感染を引き起こす(かもしれない)Web改ざん全部」をそう呼べるか?といわれると,オレは即座に「No!」と答える.例えば,オレのところでも以前紹介した「あちこちで改ざん?」という記事や,Piyokangoさんのところの記事などで挙げられているパターンが「何かの標的となる人たちがよく集う」ところばかりで発生してるとはとても思えない.
どちらかというと,「やれそうなところをやってみた」臭がプンプンしてて,標的云々ということはまったく考えていないように見える.
となると,別に標的型云々ということを言わなくても,「事象を正しく表現する&わかりやすい文言」というのでいいのではないか?と思う.
「Web待ち伏せ攻撃」という表現
よく考えると,上の引用中に答えが書いてあったよねwという感じもするが,「水飲み場」という場に着目するのではなく「攻撃者が何かを仕掛けて攻撃対象を『待ち伏せる』」という講堂に着目すれば,話は早い.
正規なWebサイトで待ち伏せする水飲み場攻撃に注意!という記事には「Webサイトで待ち伏せする」という文言がまるごと入っているが,これを少し縮めればよかったのだなとも感じる.
結局「Webサイトを改ざんして罠を仕掛けて待ち伏せを行う」というのが,攻撃者が実行していることの本質である.なぜこの攻撃をしているのか?という意図性の部分に迫る本質とは言いがたいが,意図性は改ざんされるWebサイトが語っていることもあるし,そうでないこともある.
何らかの意図性が認められるというのであれば,その意図性もあわせて語った上で「標的型」とすればよいが,少なくともアクセス数の多いページがこういう改ざんを行われてるという時点で,(多く感染させたいという以外は)意図性もへったくれもないw.これって標的型?どう考えてもNoだろ.
APTについても同じような議論を経てると認識しているが,少なくともAdvanced Persistent Attackについては,直訳ではなく「持続型標的型攻撃」という文言が提案されている.APTについては,情報セキュリティ以前に使われてる文言ではあるが,直訳してわかるようなコトバにできるとは思えないし,実際そうだった.
「怖がらせる」よりも「ご理解いただく」ための言い換えを
セキュリティに限らずなんでもそうなんだけど,なんかすごそうなwコトバを並べて恐怖を煽ったりという人が少なからずいるように思う.これはいただけない.なんか厨二病みたいで嫌だなとも感じる.
ホントに理解を促したいのであれば,まず「ご理解いただくためには」ということを考えて文言を考えたほうが,後々のためになるのではないかな?と感じている.
…営業とかマーケ的にはどうなのよwとも思うわけだけど,幸か不幸かオレは営業でもなければマーケでもない,単なる技術者の一人なのでw,わかりやすいほうがいいよねとなるわけだ.
「Web待ち伏せ攻撃」(Web Ambush Attacks)でした(汗)
間違えて「型」をいれちゃってましたが,正確には「Web待ち伏せ攻撃(Web Ambush Attacks)」ですね.書いた文章は(一部)修正済み.
