11月12~13日、第2回モバイルデバイス脆弱性発見コンテスト「Mobile Pwn2Own」が都内で開催された。情報セキュリティカンファレンス「PacSec」併催の同イベントは、デスクトップ/ノートPC対象の脆弱性発見コンテスト「Pwn2Own」のスピンオフ企画。記念すべき第1回開催地・日本で、今年も賞金獲得者が誕生した。
第2回は賞金総額も挑戦者もアップ
Mobile Pwn2Ownは、モバイルデバイスをハッキングして脆弱性を証明し、その内容に応じて賞金を獲得できるバウンティコンテストだ。挑戦者は当日実機を渡され、持ち時間30分でエクスプロイトできることを実演。成功した挑戦者は、隣室に控えるデバイスベンダーのもとへ行き、詳細を報告して賞金獲得の判断を仰ぐ。
決定後、ベンダーはただちに脆弱性修正の検討に入る。アップデートがかかるのは、その脆弱性の内容や影響範囲などにもよるが、昨年のコンテストではAndroidデバイスのChromeブラウザの脆弱性報告を受けたGoogleが、コンテスト終了後ほぼ24時間以内に修正版を配布開始している。ちなみに、デモを行なったバグハンターPinkie Pieは、コンテスト賞金4万ドルとGoogleからの追加ボーナス1万ドルの、合計5万ドル(約500万円)を手にした。
コンテスト対象のモバイルデバイスは、現在市場で販売されており、かつ最新OSを搭載したもの。今回は、Amazon Fire Phone、Apple iPhone 5s、Apple iPad Mini、BlackBerry Z30、Google Nexus 5/7、Nokia Lumia 1520、Samsung Galaxy S5が賞金対象だ。
賞金額は、以下のとおり。金額は、影響のレベルや範囲、修正パッチ展開の複雑さ、闇市場での人気度などに応じて設定されている。なお、前回の総額は30万ドル(約3000万円)だったが、今年は42万5000ドル(約4250万円)に跳ね上がった。
- モバイルWebブラウザ:4万ドル(約400万円)
- モバイルOS/アプリ:5万ドル(約500万円)
- 近距離通信/物理的アクセス:7万5000ドル(約750万円)
- メッセージングサービス:10万ドル(約1000万円)
- ベースバンド:15万ドル(約1500万円)
日本のTeam MSBD、デバイス完全掌握に成功
日本からは、三井物産セキュアディレクションの「Team MBSD」が挑戦した。昨年は、Samusung Galaxy S4の標準搭載アプリの脆弱性を利用し、マルウェア感染やデータ搾取、システム権限の奪取などを実行、賞金400万円を見事ゲットした。
今年のターゲットは、Samsung Galaxy S5。攻撃はNFC(近距離無線通信)をきっかけに不正なAndroidアプリをインストールさせ、デバイス固有のOSコード内に存在するデシリアライズの脆弱性を突くという内容だ。
攻撃は難なく成功、デバイス内の電話帳、個人プロファイル、SMSのメッセージ、ブラウザのブックマークおよび表示履歴を攻撃側のサーバーへ抽出することができた。
なお、今回は7チーム中5チームが攻撃およびデバイスの完全掌握に成功、賞金を獲得した。
(次ページ、リサーチャーとベンダー間をつなぐ架け橋に)