2010年のCanSecWestで開催されるPwn2Ownコンテストの主催者はモバイル機器に照準を合わせ、iPhone、Android、Nokia、BlackBerryの各スマートフォンの脆弱性を悪用したハッカーに、6万ドルもの賞金を提示した。
Pwn2Own 2010は2010年3月24日にバンクーバーで開催されるが、コンテストのスポンサーであるTippingPoint ZDIは、スマートフォンとウェブブラウザ/OSの組み合わせという2つの主要なテクノロジーの目標に対し、10万ドルの賞金を用意した。
ZDIのAaron Portnoy氏によれば、2010年はモバイル機器に影響のある脆弱性に重点が置かれるという。
Pwn2Own 2010の第2部では、携帯電話に影響のある脆弱性に賞金を掛ける。スマートフォンの存在感と能力が増す中、これまで非携帯型プラットフォームでのみ見られたセキュリティ上の問題が生じており、注目も集めている。これまでにも、メディアの構文解析、動的ウェブコンテンツ、電子メール、その他のクライアントサイドの問題が公表されている。それに加え、携帯電話が実装している通信プロトコルの多くが、セキュリティ研究の課題として急成長している(例:Lackey氏、Langlois氏、Bailey氏の発表)。
Portnoy氏は、総額10万ドルの賞金のうち、6万ドルがコンテストの携帯電話部門に振り分けられ、それぞれの標的に1万5000ドルが設定されると述べた。
同氏は、これらの標的に対するハッキングが成功と見なされるには、ユーザーの関与がほとんどないか、まったくないコードの実行によるものでなくてはならないと述べている。2010年の標的は以下の通りだ。
- Apple iPhone 3GS
- RIM Blackberry Bold 9700
- Symbian S60を搭載したNokiaのデバイス(E62である可能性が高い)
- Androidを搭載したMotorolaのデバイス(Droidである可能性が高い)
携帯電話は2009年のコンテストでも標的になったが、ハッカーの活動はほとんどなかった。むしろ、セキュリティ研究者は主にウェブブラウザに焦点を当て、初日に3つの主要なブラウザ(Internet Explorer、Firefox、Safari)を陥落させた。
残りの4万ドルが振り分けられた2010年のターゲットには、Microsoft Internet Explorer、Mozilla Firefox、Google Chrome、Apple Safariの最新バージョンが含まれている。
これらのブラウザは、パッチを完全に適用済みのOSと組み合わせられている。Portnoy氏によれば、1日目の標的は次の通りだ。
- Windows 7上のMicrosoft Internet Explorer 8
- Windows 7上のMozilla Firefox 3
- Windows 7上のGoogle Chrome 4
- Mac OS X Snow Leopard上のApple Safari 4
2日目には、古いバージョンのOSも対象になる。
- Windows Vista上のMicrosoft Internet Explorer 7
- Windows Vista上のMozilla Firefox 3
- Windows Vista上のGoogle Chrome 4
- Mac OS X Snow Leopard上のApple Safari 4
3日目には、コンテストの対象はさらに古いOSとブラウザの組み合わせにも拡大される。
- Windows XP上のMozilla Firefox 3
- Windows XP上のGoogle Chrome 4
- Mac OS X Snow Leopard上のApple Safari 4
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
