2020年1月に開催が予定されている、世界最大規模の有名なハッキングコンテスト「Pwn2Own」では、産業機器向けソフトウェアが主なターゲットになるという。
提供:emregillerden
Pwn2Ownで産業用制御システム(ICS)のソフトウェアやプロトコルのハッキングがターゲットになるのは、今回が初めてだ。
ホワイトハッカーが名声を得るために、さらには巨額の賞金を手にするために参加する同コンテストの12年にわたる歴史のなかで、ハッキングの主なターゲットはブラウザーやOSがほとんどとなっていた。
コンテストの主催者らは近年、仮想マシンやTeslaの自動車、さらにはFacebookのスマートディスプレイ「Portal」など、ターゲットの多様化を図ってきている。
Pwn2Ownの主催者であるトレンドマイクロのZero Day Initiative(ZDI)プロジェクトによると、今回のコンテストではICS機器と関連ソフトウェアのみをハッキングの対象にするという。
同コンテストは、2020年1月21〜23日にかけてフロリダ州マイアミサウスビーチで開催される「S4 ICS Security」カンファレンスの場で執り行われる。
同コンテストでは、ICSを以下の5つのカテゴリーに分類している。
- 制御サーバー
- 「OPC Unified Architecture」(OPC UA)サーバー
- 「Distributed Network Protocol 3」(DNP3)ゲートウェイ
- ヒューマンマシンインターフェース(HMI)/オペレーターワークステーション
- エンジニアリングワークステーションソフトウェア(EWS)
参加者は上記カテゴリーのなかから、ハッキングを試みたいICSソフトウェアを自由に選択できる。そして、ターゲットに侵入するために使用する脆弱性の種類に応じてポイントが得られるようになっている。なお脆弱性は、今までに発見されたことのない新しいものでなければならない。
コンテストの終了時点で、最も複雑な脆弱性を駆使して最も多くのICS機器のハッキングに成功したセキュリティ研究者が勝者となり、トロフィーと賞金、そしてあらゆる名声を手にすることになる。
ZDIプロジェクトによると、同コンテストで発見された、ICSに潜むすべての脆弱性は、関連ベンダーに対してすぐさま通知されるという。なお、同コンテストに参加して、情報を直接収集しようとしているベンダーもあるという。
ZDIプロジェクトは、セキュリティ研究者らに支払う賞金額を公開している。研究者らは、5つのICS機器カテゴリー中の8つのターゲットに対するハッキングを通じて、総額25万ドル(約2700万円)以上の賞金と賞品をめぐって戦うことになる。
提供:ZDI
ZDIプロジェクトは、ゼロデイ脆弱性の情報を買い取るプログラムを実施していることでも知られている。これはセキュリティ研究者らから脆弱性の情報を購入し、企業に対して個別に通知するというものだ。
同プロジェクトは2020年のハッキング対象を産業機器にするという決断について、ICSに関するバグ情報の提供が増えたためだと説明した。
「2018年にZDIが買い取ったICSソフトウェアのゼロデイ脆弱性は、前年より224%増えた。この増加はこれまでのところ2019年も続いている」(ZDI)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
