セキュリティ研究者のチームが、セキュリティコンテストでSafariの未公開の脆弱性を利用して2分でMacBook Airのハッキングに成功し、賞金1万ドルを獲得した。
毎年カナダで開催されるセキュリティカンファレンスCanSecWestがバンクーバーで開催され、その中で、TippingPoint主催のハッキングコンテスト「Pwn to Own」が行われた。IDG News Serviceはコンテストの開催中、セキュリティ企業Independent Security Evaluators(ISE)の研究者である、Charlie Miller氏、Jake Honoroff氏、Mark Daniel氏の3人によるハッキングを取材した。同チームは、コンテストの2日目にMacBook Airのハッキングに成功した。このコンテストでは、MacBook Airと、Windows VistaやUbuntu搭載機の間で安全性が競われた。
26日のコンテスト初日には、いずれのシステムでもコードの実行に成功した者はいなかった。その日、ハッカーたちが使用できる技術は、OS自体に搭載されているネットワークを使用するだけの手法に限定されていた。しかし、2日目にはルールが変更され、悪意を持って作成されたウェブサイトに誘導したり、メールを開封させるなどの攻撃も可能になった。またハッカーたちは、ブラウザなど「デフォルトでインストールされているクライアント側アプリケーション」を標的にすることも可能になった。
ISEの研究者チームは、あるウェブサイトにあらかじめ攻撃用コードを設定した上で、判定者らを同サイトに誘導した後、MacBook Airにアクセスし、ファイルを取り出した。TippingPointのDVLabsブログによると、同チームは、今回新たに発見されたSafariの脆弱性を利用してMacBook Airのハッキングに成功したという。
同コンテストの規則には、優勝チームのメンバーは彼らが用いたテクニックに関する機密保持契約(NDA)に即座に署名するよう規定されており、その脆弱性は開発ベンダーにのみ開示される。TippingPointによると、今回の脆弱性に関する情報はすでにAppleに送られたという。
2007年のコンテスト優勝者は、QuickTimeの脆弱性を突いて優勝した。Appleはコンテスト後2週間以内に、その脆弱性にパッチを適用した。この本稿掲載時には、まだVistaやUbuntu搭載機のハッキングに成功した者はいない。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
