このページの本文へ

前へ 1 2 次へ

モバイル脆弱性発見コンテスト「Mobile Pwn2Own」は今年も開催!

賞金総額4250万円!今年もスマホの管理者権限は攻撃者に

2014年11月15日 10時00分更新

文● 谷崎朋子

  • この記事をはてなブックマークに追加
  • 本文印刷

リサーチャーとベンダー間をつなぐ架け橋に

 賞金付きハッキングコンテストは、現在FacebookやGoogleなどの大手IT企業でも実施されている。その先駆け的存在が、Pwn2Own主催者であるHPの脆弱性リサーチ部門「Zero Day Initiative」(ZDI)だ。

 ZDIは2007年、CanSecWestセキュリティカンファレンスで初の「Pwn2Own」を開催した。挑戦者は、主催者提供のMacBook Proをハッキングし、成功すればデバイスをお持ち帰りできた。最終的には、総額1万ドルの賞金が支払われた。

 ZDIの存在意義は、大きく3つあるとヒューレット・パッカードのジェイコブ・ウエスト氏は言う。1つは、企業で利用される重要なアプリケーション、たとえばWebブラウザやモバイルOSなどのセキュリティ改善への貢献だ。ZDIでは、コンテスト以外にも常時脆弱性報告を受け付けており、さらには社内リサーチャーによる調査・報告も行っている。実際、マイクロソフトの脆弱性対応における最大の貢献者は、ZDI内のリサーチャーだ。

ヒューレット・パッカード カンパニー エンタープライズ セキュリティプロダクツ 最高技術責任者 ジェイコブ・ウエスト氏

 2つめは、リサーチャーとベンダーの橋渡しだ。「ZDIが仲介役になることで、リサーチャーであればベンダーごとに脆弱性報告をする手間が、ベンダーであれば報告者への個別対応の負担が軽減される。互いのコミュニケーションをより円滑化することで、責任ある公開を促進する」。

 そして3つめは、HP顧客への迅速なパッチ提供だ。脆弱性報告から公式のパッチリリースまでの空白期間、IPS製品のTipping Pointには独自の修正パッチが適用され、ゼロデイ攻撃を防ぐことができる。「闇市場の経済が確立し、攻撃者が脆弱性情報を高額で買い取ろうと暗躍する現在、いかにリサーチャーに思い止まらせるかは、なかなか悩ましい課題だ」。そのストッパー役となるべく、ZDIの取り組みはこれからも続く。

■関連サイト

前へ 1 2 次へ

カテゴリートップへ

注目ニュース

ASCII倶楽部

最新記事

プレミアムPC試用レポート

ピックアップ

ASCII.jp RSS2.0 配信中

ASCII.jpメール デジタルMac/iPodマガジン