11月13と14日、情報セキュリティカンファレンス「PacSec」が開催された。その中のモバイルデバイス脆弱性発見コンテスト「Mobile Pwn2Own」では、Pwn2Ownコンテスト初の日本人チームが登場、約400万円の賞金を獲得した。本コンテスト主催団体の1つ、ZDIのスコット・ランバート氏のインタビューを含め、結果をまとめる。
アジア勢初参加&賞金ゲットで滑り出し良好!
Mobile Pwn2Ownは、デスクトップ/ノートPC対象の脆弱性発見コンテスト「Pwn2Own」からスピンアウトしたイベントだ。Pwn2Own自体は2007年より世界各国で毎年開催されているが、Mobile Pwn2Ownは今回で2回目となる。
内容は、現在販売中かつ最新OS搭載のモバイルデバイスに潜在する脆弱性を探し出し、コンテスト会場でそれを証明するというもの。証明に成功したセキュリティ研究者たちには、賞金が授与される。発見された脆弱性の詳細が会場に待機する各ベンダーへ即時報告されるのも、同コンテストの特長でありキモでもある。
今回のMobile Pwn2Ownでは、参加表明していたチームのうち次の3チームが会場に登場、脆弱性をデモンストレーションした。なお、コンテストの流れなどは、こちらの記事(賞金総額3000万円!モバイル脆弱性発見コンテストに潜入)を参照してほしい。
- Keen Team
- トップバッターの中国チームは、JailbreakされていないiPhone 5のSafariブラウザの脆弱性を突き、iOS v7.0.3ではFacebookのログイン情報取得を、iOS v.6.1.4ではデバイス内の写真を盗むことに成功した。いずれも何が起きたのか分からない速さで証明。鮮やかなデモンストレーションに会場では歓声が沸き起こった。獲得賞金は、約275万円(27,500ドル)。
- Team of MBSD
- 日本の三井物産セキュアディレクションのチーム。Samusung Galaxy S4に標準搭載された複数のアプリの脆弱性を突いて、不正サイト経由でマルウェアをインストール、データ搾取やシステム権限の奪取などを披露した。段階を追った丁寧な説明の中、ステルスでマルウェアがインストールされる様子に「見事だ…」と感嘆する声も。獲得賞金は、約400万円(40,000ドル)。
- Pinkie Pie
- 賞金コンテストの常連。Google Nexus 4とSamsung Galaxy S4上のChromeブラウザで、整数オーバーフローによるサンドボックス回避などの脆弱性を証明した。不正サイトからマルウェアをダウンロードした場合、リモートからコード実行されるリスクがある。獲得賞金は、約500万円(50,000ドル)。なお、同脆弱性の報告を受けたGoogleは、報告からわずか1日で緊急アップデートを公開している。
Team of MBSDのデモ。連絡先情報のキャプチャを取得できたことを見せたところ
脆弱性報告したら微妙な反応された?
Pwn2Ownのような賞金コンテストは、現在アメリカを中心に盛んに行なわれている。マイクロソフトやGoogle、Facebookなどの大手IT企業も積極的に取り組みを開始し、セキュリティ研究者からの脆弱性報告も前向きに受け入れ始めた。「バウンティハンター」「バグハンター」として活躍する人も少なくない。
だが、こうした流れが作られるまでは、相当の時間が必要だった。HP Security Research(HPSR)ディレクターで、Pwn2Ownを運営する脆弱性リサーチ部門Zero Day Initiative(ZDI)の中心メンバー、スコット・ランバート氏は、Pwn2Ownが開催される以前、個人的にある企業の脆弱性を発見、報告したことがあるという。そのときの相手の反応だが、「あまり芳しくなかった」と苦笑いする。
HP Security Research ディレクターのスコット・ランバート氏
そんな現状を変えたのが、Pwn2Ownのような賞金コンテストだとランバート氏は言う。
「Pwn2Ownは、セキュリティ研究者が自らの知識や技術力を発揮できる場であり、それを広く称えるコンテストだ。しかも、それだけではない。そこで得られた結果をベンダーに対して責任を持って報告し、脆弱性の根本原因、深刻度、顧客に対するリスクをきちんと説明、理解してもらっている。これは両者の信頼を築き、より良い関係を作るきっかけになっているんだ」(ランバート氏)。
今では、Pwn2Ownの評判を知るベンダーからは信頼をもって脆弱性報告を受け入れてもらえるという。「たとえばマイクロソフトは、こうした報告に価値を見出し、現行のWindowsのセキュリティ強化や今後の開発に活かしてくれている」。
Mobile Pwn2Ownの主催者であるZDIのメンバー
日本でも、少しずつだが脆弱性報告に対してオープンな姿勢で迎え入れる企業が出てきている。たとえば、セキュリティコンテスト「SECCON」にも協力するサイボウズは、同社の商用クラウドサービスの検証環境を構築して公開、脆弱性を発見する賞金コンテスト「cybozu.com Security Challenge」を開催している。また少し違うが、「ロリポップ!レンタルサーバー」の改ざん事案で辛酸をなめたpaperboy&co.は「脆弱性報告制度」を設立。自社サービスの脆弱性情報の受付窓口を開設した。
「Mobile Pwn2Ownを日本で開催した理由の1つは、セキュリティ研究者とベンダーとが互いを認め協力しあう、そんな土壌作りもある。だから、そんな中で日本人が初参加してくれたのは、私たちにとってすごくエキサイティングな出来事だったんだ。Pwn2Ownが(日本のセキュリティ関係者の活躍と企業との協力体制の構築で)良いきっかけになることを願っている」(ランバート氏)。
