このページの本文へ

ZDI担当者にイベントの存在意義を聞く

「Mobile Pwn2Own」はセキュリティ研究者とベンダーをつなぐ

2013年11月25日 14時00分更新

文● 谷崎朋子

  • この記事をはてなブックマークに追加
  • 本文印刷

11月13と14日、情報セキュリティカンファレンス「PacSec」が開催された。その中のモバイルデバイス脆弱性発見コンテスト「Mobile Pwn2Own」では、Pwn2Ownコンテスト初の日本人チームが登場、約400万円の賞金を獲得した。本コンテスト主催団体の1つ、ZDIのスコット・ランバート氏のインタビューを含め、結果をまとめる。

アジア勢初参加&賞金ゲットで滑り出し良好!

 Mobile Pwn2Ownは、デスクトップ/ノートPC対象の脆弱性発見コンテスト「Pwn2Own」からスピンアウトしたイベントだ。Pwn2Own自体は2007年より世界各国で毎年開催されているが、Mobile Pwn2Ownは今回で2回目となる。

 内容は、現在販売中かつ最新OS搭載のモバイルデバイスに潜在する脆弱性を探し出し、コンテスト会場でそれを証明するというもの。証明に成功したセキュリティ研究者たちには、賞金が授与される。発見された脆弱性の詳細が会場に待機する各ベンダーへ即時報告されるのも、同コンテストの特長でありキモでもある。

 今回のMobile Pwn2Ownでは、参加表明していたチームのうち次の3チームが会場に登場、脆弱性をデモンストレーションした。なお、コンテストの流れなどは、こちらの記事(賞金総額3000万円!モバイル脆弱性発見コンテストに潜入)を参照してほしい。

Keen Team
トップバッターの中国チームは、JailbreakされていないiPhone 5のSafariブラウザの脆弱性を突き、iOS v7.0.3ではFacebookのログイン情報取得を、iOS v.6.1.4ではデバイス内の写真を盗むことに成功した。いずれも何が起きたのか分からない速さで証明。鮮やかなデモンストレーションに会場では歓声が沸き起こった。獲得賞金は、約275万円(27,500ドル)。
Team of MBSD
日本の三井物産セキュアディレクションのチーム。Samusung Galaxy S4に標準搭載された複数のアプリの脆弱性を突いて、不正サイト経由でマルウェアをインストール、データ搾取やシステム権限の奪取などを披露した。段階を追った丁寧な説明の中、ステルスでマルウェアがインストールされる様子に「見事だ…」と感嘆する声も。獲得賞金は、約400万円(40,000ドル)。

Team of MBSDのデモ。連絡先情報のキャプチャを取得できたことを見せたところ

Pinkie Pie
賞金コンテストの常連。Google Nexus 4とSamsung Galaxy S4上のChromeブラウザで、整数オーバーフローによるサンドボックス回避などの脆弱性を証明した。不正サイトからマルウェアをダウンロードした場合、リモートからコード実行されるリスクがある。獲得賞金は、約500万円(50,000ドル)。なお、同脆弱性の報告を受けたGoogleは、報告からわずか1日で緊急アップデートを公開している。

脆弱性報告したら微妙な反応された?

 Pwn2Ownのような賞金コンテストは、現在アメリカを中心に盛んに行なわれている。マイクロソフトやGoogle、Facebookなどの大手IT企業も積極的に取り組みを開始し、セキュリティ研究者からの脆弱性報告も前向きに受け入れ始めた。「バウンティハンター」「バグハンター」として活躍する人も少なくない。

 だが、こうした流れが作られるまでは、相当の時間が必要だった。HP Security Research(HPSR)ディレクターで、Pwn2Ownを運営する脆弱性リサーチ部門Zero Day Initiative(ZDI)の中心メンバー、スコット・ランバート氏は、Pwn2Ownが開催される以前、個人的にある企業の脆弱性を発見、報告したことがあるという。そのときの相手の反応だが、「あまり芳しくなかった」と苦笑いする。

HP Security Research ディレクターのスコット・ランバート氏

 そんな現状を変えたのが、Pwn2Ownのような賞金コンテストだとランバート氏は言う。

 「Pwn2Ownは、セキュリティ研究者が自らの知識や技術力を発揮できる場であり、それを広く称えるコンテストだ。しかも、それだけではない。そこで得られた結果をベンダーに対して責任を持って報告し、脆弱性の根本原因、深刻度、顧客に対するリスクをきちんと説明、理解してもらっている。これは両者の信頼を築き、より良い関係を作るきっかけになっているんだ」(ランバート氏)。

 今では、Pwn2Ownの評判を知るベンダーからは信頼をもって脆弱性報告を受け入れてもらえるという。「たとえばマイクロソフトは、こうした報告に価値を見出し、現行のWindowsのセキュリティ強化や今後の開発に活かしてくれている」。

Mobile Pwn2Ownの主催者であるZDIのメンバー

 日本でも、少しずつだが脆弱性報告に対してオープンな姿勢で迎え入れる企業が出てきている。たとえば、セキュリティコンテスト「SECCON」にも協力するサイボウズは、同社の商用クラウドサービスの検証環境を構築して公開、脆弱性を発見する賞金コンテスト「cybozu.com Security Challenge」を開催している。また少し違うが、「ロリポップ!レンタルサーバー」の改ざん事案で辛酸をなめたpaperboy&co.は「脆弱性報告制度」を設立。自社サービスの脆弱性情報の受付窓口を開設した。

 「Mobile Pwn2Ownを日本で開催した理由の1つは、セキュリティ研究者とベンダーとが互いを認め協力しあう、そんな土壌作りもある。だから、そんな中で日本人が初参加してくれたのは、私たちにとってすごくエキサイティングな出来事だったんだ。Pwn2Ownが(日本のセキュリティ関係者の活躍と企業との協力体制の構築で)良いきっかけになることを願っている」(ランバート氏)。

■関連サイト

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード