Pwn2Ownセキュリティカンファレンス開催--「Safari」が約10秒で陥落

文:Elinor Mills(CNET News.com) 翻訳校正:編集部

2009-03-19 14:53

 カナダ・バンクーバー発--2008年に「MacBook Air」を2分未満でハッキングして1万ドルの賞金を得たセキュリティ専門家が米国時間3月18日、今度は「Safari」に存在するセキュリティホールの攻撃に10秒ほどで成功し5000ドルの賞金を獲得した。

 Independent Security Evaluatorsで主席セキュリティアナリストを務めるCharlie Miller氏は、「Pwn2Own」と呼ばれるCanSecWestセキュリティカンファレンスのコンテストにおいて最新版のMac OSが稼働する「MacBook」を使用した。Pwn2Ownとは、コンピュータの制御を得ることを意味するハッカーの俗語である。

 Miller氏が2008年に発見したというセキュリティホールは、ユーザーに悪質なURLをクリックさせるだけで、攻撃者が遠隔からマシンの制御を得ることができるというものである。Miller氏はその手順を示してみせた。

 「容易ではないが、(Safariブラウザにおいて)1回クリックするだけでできてしまう」と同氏は述べた。

 コンテストの規則により、Miller氏はエクスプロイトの詳細を明かすことは禁じられている。同氏はこの日の操作予定を、コンテストに先立ちApple関係者らに伝えたと述べた。「無償で調査をしてもらったうえで、バグを修正できるのだから彼らは喜んでいる」と同氏は述べた。

 このコンテストを主催するのはTippingPointである。同社はエクスプロイトの詳細をAppleに通知し、それに対するパッチを開発する予定である。TippingPointは、主要なブラウザにおいて示された新しいエクスプロイト1件に対し5000ドル、主要なスマートフォンに対するエクスプロイト1件に対し1万ドルを提供する。

 Miller氏は以前、2007年に「iPhone」が発売された直後に、Safariのモバイル版のセキュリティホールを発見している。

 コンテストでは他に、ドイツのオルデンバーグ大学でコンピュータサイエンスを専攻する25歳の学生が、「IE 8」、Safari、「Firefox」におけるエクスプロイトを示し、1万5000ドルを獲得した。匿名を希望した同学生は、エクスプロイトを示すのに用いた「Sony Vaio」を与えられ、Miller氏も使用したMacBookを手にした。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]