セキュリティ研究者がMacBookへの侵入に成功--ハッキングコンテストにて

文:Joris Evers(CNET News.com) 翻訳校正:編集部

2007-04-23 12:58

 ブリティッシュコロンビア州バンクーバー発--Shane Macaulay氏が賞品のMacBookを獲得した。

 ソフトウェアエンジニアMacaulay氏が、AppleのブラウザSafariのゼロデイ脆弱性を利用してMacBookへの侵入に成功した。このMacBookは、当地で開催されたCanSecWestカンファレンスで催されたMacハッキングコンテスト「PWN to Own」の賞品として用意された2台のうち1台である。

 コンテストの2日目と最終日に成功した攻撃は、カンファレンス主催者がSafariを使用して悪意あるウェブサイトを閲覧しなければ実行できないものであった。Windowsユーザーには馴染みのある攻撃方法である。イベント初日にMacへの侵入を成功させた参加者がいなかったため、CanSecWest主催者が当地時間4月20日、ルールを緩和したのだった。

 Macaulay氏は最近まで、Matasano Securityのセキュリティ研究者Dino Dai Zovi氏とチームを組んでいた。Dai Zovi氏は以前AppleでMacソフトウェアの脆弱性調査を担当していた人物で、本人によると、Safariの脆弱性発見後9時間ほどかけて、徹夜で悪用コードを書き上げたのだという。

 Dai Zovi氏は電話取材に対しニューヨークから「脆弱性を発見したのも悪用コードを書いたのも私だ。Shane氏は私の部下だ」と答えた。

 AppleのスポークスマンLynn Fox氏は、MacBookのハックに関するコメントを避け「Appleはセキュリティ問題を重大に受け止めており、潜在的な脆弱性がユーザーに影響を与える前に解決してきた大きな実績がある」とセキュリティに関する従来の主張を繰り返した。

 Dai Zovi氏は、今回侵入に利用したAppleのバグが未知のものであるなら、TippingPointが4月19日に告知したバグ探し懸賞金1万ドルに申し込む計画である。同氏は「Shane氏はラップトップを獲得したが、私は賞金が欲しい」と述べた。TippingPointはバグ探し懸賞金プロジェクト「Zero Day Initiative」を主催している。

 TippingPointの担当者によると同社は、脆弱性について調査したうえで賞金を支払うという。同社のセキュリティレスポンス担当マネージャーTerri Forslof氏は「本当にSafariのゼロデイなのであれば、喜んで賞金を支払いたい」と述べた。

 MacBookへの侵入は、Appleが2007年4回目の「Mac OS X」用セキュリティアップデートをリリースした翌日に成功した。このアップデートでは25件の脆弱性が修正されている。

 CanSecWest主催者はMacBookをワイヤレスルータに接続し、すべてのセキュリティパッチが当たった状態にセットアップした。セキュリティソフトウェアの追加インストールや設定の変更などは行っていない。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]