このページの本文へ

前へ 1 2 次へ

モバイル脆弱性発見コンテスト「Mobile Pwn2Own」は今年も開催!

賞金総額4250万円!今年もスマホの管理者権限は攻撃者に

2014年11月15日 12時00分更新

文● 谷崎朋子

  • この記事をはてなブックマークに追加
  • 本文印刷

11月12~13日、第2回モバイルデバイス脆弱性発見コンテスト「Mobile Pwn2Own」が都内で開催された。情報セキュリティカンファレンス「PacSec」併催の同イベントは、デスクトップ/ノートPC対象の脆弱性発見コンテスト「Pwn2Own」のスピンオフ企画。記念すべき第1回開催地・日本で、今年も賞金獲得者が誕生した。

第2回は賞金総額も挑戦者もアップ

 Mobile Pwn2Ownは、モバイルデバイスをハッキングして脆弱性を証明し、その内容に応じて賞金を獲得できるバウンティコンテストだ。挑戦者は当日実機を渡され、持ち時間30分でエクスプロイトできることを実演。成功した挑戦者は、隣室に控えるデバイスベンダーのもとへ行き、詳細を報告して賞金獲得の判断を仰ぐ。

 決定後、ベンダーはただちに脆弱性修正の検討に入る。アップデートがかかるのは、その脆弱性の内容や影響範囲などにもよるが、昨年のコンテストではAndroidデバイスのChromeブラウザの脆弱性報告を受けたGoogleが、コンテスト終了後ほぼ24時間以内に修正版を配布開始している。ちなみに、デモを行なったバグハンターPinkie Pieは、コンテスト賞金4万ドルとGoogleからの追加ボーナス1万ドルの、合計5万ドル(約500万円)を手にした。

今年の挑戦者は去年よりやや多い7組。全員会場に登場してデモンストレーションを行った

 コンテスト対象のモバイルデバイスは、現在市場で販売されており、かつ最新OSを搭載したもの。今回は、Amazon Fire Phone、Apple iPhone 5s、Apple iPad Mini、BlackBerry Z30、Google Nexus 5/7、Nokia Lumia 1520、Samsung Galaxy S5が賞金対象だ。

 賞金額は、以下のとおり。金額は、影響のレベルや範囲、修正パッチ展開の複雑さ、闇市場での人気度などに応じて設定されている。なお、前回の総額は30万ドル(約3000万円)だったが、今年は42万5000ドル(約4250万円)に跳ね上がった。

  1. モバイルWebブラウザ:4万ドル(約400万円)
  2. モバイルOS/アプリ:5万ドル(約500万円)
  3. 近距離通信/物理的アクセス:7万5000ドル(約750万円)
  4. メッセージングサービス:10万ドル(約1000万円)
  5. ベースバンド:15万ドル(約1500万円)

日本のTeam MSBD、デバイス完全掌握に成功

 日本からは、三井物産セキュアディレクションの「Team MBSD」が挑戦した。昨年は、Samusung Galaxy S4の標準搭載アプリの脆弱性を利用し、マルウェア感染やデータ搾取、システム権限の奪取などを実行、賞金400万円を見事ゲットした。

 今年のターゲットは、Samsung Galaxy S5。攻撃はNFC(近距離無線通信)をきっかけに不正なAndroidアプリをインストールさせ、デバイス固有のOSコード内に存在するデシリアライズの脆弱性を突くという内容だ。

違法行為にならないよう、デバイスを電波遮断ケースに収納して操作するTeam MSBD(手前の右2人)

 攻撃は難なく成功、デバイス内の電話帳、個人プロファイル、SMSのメッセージ、ブラウザのブックマークおよび表示履歴を攻撃側のサーバーへ抽出することができた。

右はデバイス画面のリアルタイムのスクリーンショット、左がサーバーにアップ

 なお、今回は7チーム中5チームが攻撃およびデバイスの完全掌握に成功、賞金を獲得した。

(次ページ、リサーチャーとベンダー間をつなぐ架け橋に)


 

前へ 1 2 次へ

カテゴリートップへ

注目ニュース

ASCII倶楽部

最新記事

プレミアムPC試用レポート

ピックアップ

ASCII.jp RSS2.0 配信中

ASCII.jpメール デジタルMac/iPodマガジン