コーヒーサーバは香炉である

■ [security]ウィルス作者に振り回され、無辜の人の名を晒し続けるセキュリティ報道

日本のセキュリティ報道にひとこと物申したい。「マルウェア作者に振り回されすぎじゃないか」と。

最近も、Winny ユーザに広まったウィルスについての報道を聞くのですが、そこではウィルス作者の名づけたウィルス名、しかも関係のない人物の名前に由来したウィルス名を堂々と使っているのです。さらに、ウィルスの広がりを通じて作者が伝えようとしたメッセージを、堂々と放映しています。セキュリティ関係の記事に載せる、感染チェックのための参考画像ならともかく、一般ニュースとして。

これでは作者に振り回されすぎです。それに、勝手に名前を使われてしまった作者の知人も、ネガティブなモノの名前として広まってしまって、あまりにも不憫です。使われたのが姓のほうだけだったとはいえ、なぜ無辜の人がこんな形でネタにされなければいけないのでしょう。私だったら、誰かに勝手に「ごうだまりぽウィルス」を作ってバラ撒かれ、しかも公共の電波で連呼されまくったらマジギレしますがね。

しばしば、犯罪は、マスコミを通じて社会的メッセージを広めるために行われます。世間を騒がせたい愉快犯、犯行声明を送りつける人間もの類。犯行声明を安易に報道しては、犯人の思う壺です。今回は、そのメッセージに共感して「義賊だ」と賞賛する声まで出てきてしまうわけです。こんなことでは、悪いことをして大勢に意見を聞いてもらおうと考える不貞の輩が出てきますし、まっとうな努力をして名誉を得ようとしている人に対しても、失礼です。
マルウェア関係の報道は、以下のような方針でやってもらえないのでしょうか。

• 作者による命名を採用しない
• 実在の固有名詞をつけない
• 作者の主張をむやみに広げない

この点にが気になって連日モヤモヤとしていたところ、セキュリティ専門家の高木浩光氏がはてなブックマークでこのような指摘をされているのを発見。

■今頃意味ない。だから、ウイルス名にウイルス作者の付けた名前を使うなと。「ウイルス作者にウイルスの名前は決めさせない」と英語圏のアンチウイルスソフト会社担当者の発言を昔どこかで読んだ。それに比べて日本の (Wikipedia の記事に言及)
■通称というと、皆で自然に決まった名前かのようだけど、実は作者が決めていたわけで。そういうのに流されないようにするのが業界の役割 (トレンドマイクロ セキュリティ ブログに言及)

「ウイルス作者にウイルスの名前は決めさせない」……うーん気になる。実際、セキュリティ勧告や報道に使うコードネームに関してはどのようなガイドラインや慣習があるのか。ググれカス、ググれ自分。調べてみたところ、以下のような記事が見つかりました。

• Wired Tech Biz "Viruses, Worms: What's in a Name?"
• SecurityFocus "A Virus by Any Other Name: Virus Naming Practices"

新種のウィルスが発見されると、専門家が世界共通のコードネームを決めるわけですが、こんなガイドラインがあるようです。

統一した名前をつける。

統一した名前を決め、混乱を防ぐ。ばらばらの名前をつけない。基本的には、発見者が命名権を持つ。

マルウェアの特徴をつかんだ名前をつける。

コードの断片や、感染状況に由来するものも多い。

実在の企業・製品・人物・病気などの名前をつけない。

関係のない人や企業のイメージダウンを防ぐ。勝手に名前を使えば訴訟になるということもありうる。また、作者のくだらないイタズラを実在の病気に例えるのは、実際に闘病している人への冒涜である。

作者がつけた名前を採用しない。別の名前をつける。

マルウェアのネーミング自体に、作者の主張が入っていることもある。それを広めることが作者の思惑であったとしたら、そのメッセージを報道やセキュリティ勧告で大勢に広めるのは、作者の思うツボである。

場合によっては、シャレのきいた名前をつける。

作者を揶揄することで懲らしめる意味もある。

英文記事を全部読むのめんどくさい、という方のために、一部抜粋・日本語訳。
※追記 : 日本語版あった→WIRED VISION "ウイルスの名前はどうやって決まる？"

Wired Tech Biz "Viruses, Worms: What's in a Name?"(2003年)
Researchers are loosely bound by some conventions: Viruses aren't supposed to be named after businesses or brand-name products. Using the name of a famous person is also frowned on, which is why the Anna Kournikova virus is officially known as VBSWG.J. Common first names can be used, but virus namers tend to avoid them as well. And no matter how peeved a virus researcher is feeling, obscene or offensive names are verboten.

(訳) また、いくつかの慣習が、調査者たちへの緩い規定となっている : ウィルスには、企業や商標にちなんだ名前をつけないのが望ましい。また、有名人の名前をつけるのも考えモノである。「アンナ・クルニコワ」と呼ばれたウィルス (訳注 : かつて、テニス選手兼モデルのアンナ・コルニコワの画像を装ったファイル名に釣られ、大勢が感染した) が、公式には "VBSWG.J" と呼ばれているのも、そういった理由からだ。よくあるファーストネーム(姓)がつくこともあるが、ウィルス名としては避けられる傾向にある。また、調査者がどれだけ腹を立てたとしても、お下品な名前・挑発的な名前をつけるのはご法度である。

人気テニス選手の名前で広く知られたウィルスを、セキュリティ専門家が後から変更するようにした、と。

そりゃそうです。まじめにテニスをやっていたのに、そんな形で広められてはたまったものではありません。「どんな形であれ、有名になれてよかった」「私の画像を装ったウィルスに大勢が釣られたってことは、私が魅力的な証拠」という究極のポジティブシンキングをすればどうにかなるかもしれませんが……。

被害を最小限にとどめ、関係ない人の名誉を守り、作者に振り回されない。そのために専門家達が守ってきたルールがちゃんとあるのです。日本における報道やセキュリティ勧告でも、どうかそれを守って頂きたいです。

余談。軍事はあまり詳しくないのですが、戦艦の話。
アメリカや英国は「ロナルド・レーガン」「クイーン・エリザベス」とか、人名のついた戦艦を造っちゃったりするわけですが(参考:Wikipedia「船名」)、なぜか日本の戦艦には、ごく無難に地名等に由来する名前がついています。それには訳があるんだそうで。
明治時代に戦艦のネーミングを色々話し合っていたとき、「偉人の名前というのはどうでしょう」という意見が出たものの、明治天皇のこんな言葉で却下になったのです。

「船が沈んだら、その人に失礼になる。」

優しいですね。こういう繊細な配慮を、ぜひとも参考にしてほしいものです。

関連記事 : 「漏洩した情報をわざと広める輩を取り締まれないだろうか」