セキュリティ研究者がMacBook Airの侵入に成功--所要時間はわずか2分

文:Tom Krazit(CNET News.com) 翻訳校正:編集部 2008年03月28日 17時20分

  • このエントリーをはてなブックマークに追加

 セキュリティ研究者のチームが、セキュリティコンテストでSafariの未公開の脆弱性を利用して2分でMacBook Airのハッキングに成功し、賞金1万ドルを獲得した。

 毎年カナダで開催されるセキュリティカンファレンスCanSecWestがバンクーバーで開催され、その中で、TippingPoint主催のハッキングコンテスト「Pwn to Own」が行われた。IDG News Serviceはコンテストの開催中、セキュリティ企業Independent Security Evaluators(ISE)の研究者である、Charlie Miller氏、Jake Honoroff氏、Mark Daniel氏の3人によるハッキングを取材した。同チームは、コンテストの2日目にMacBook Airのハッキングに成功した。このコンテストでは、MacBook Airと、Windows VistaやUbuntu搭載機の間で安全性が競われた。

 26日のコンテスト初日には、いずれのシステムでもコードの実行に成功した者はいなかった。その日、ハッカーたちが使用できる技術は、OS自体に搭載されているネットワークを使用するだけの手法に限定されていた。しかし、2日目にはルールが変更され、悪意を持って作成されたウェブサイトに誘導したり、メールを開封させるなどの攻撃も可能になった。またハッカーたちは、ブラウザなど「デフォルトでインストールされているクライアント側アプリケーション」を標的にすることも可能になった。

 ISEの研究者チームは、あるウェブサイトにあらかじめ攻撃用コードを設定した上で、判定者らを同サイトに誘導した後、MacBook Airにアクセスし、ファイルを取り出した。TippingPointのDVLabsブログによると、同チームは、今回新たに発見されたSafariの脆弱性を利用してMacBook Airのハッキングに成功したという。

 同コンテストの規則には、優勝チームのメンバーは彼らが用いたテクニックに関する機密保持契約(NDA)に即座に署名するよう規定されており、その脆弱性は開発ベンダーにのみ開示される。TippingPointによると、今回の脆弱性に関する情報はすでにAppleに送られたという。

 2007年のコンテスト優勝者は、QuickTimeの脆弱性を突いて優勝した。Appleはコンテスト後2週間以内に、その脆弱性にパッチを適用した。この本稿掲載時には、まだVistaやUbuntu搭載機のハッキングに成功した者はいない。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • 「奉行シリーズ」の電話サポート革命!活用事例をご紹介

    「ナビダイヤル」の「トラフィックレポート」を利用したことで着信前のコール数や
    離脱数など、コールセンターのパフォーマンスをリアルタイムに把握するに成功。詳細はこちらから

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!