編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

ハッキングコンテスト「Pwn2Own」、次回のターゲットは産業機器に

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 編集部

2019-10-31 12:11

 2020年1月に開催が予定されている、世界最大規模の有名なハッキングコンテスト「Pwn2Own」では、産業機器向けソフトウェアが主なターゲットになるという。

ICSのイメージ
提供:emregillerden

 Pwn2Ownで産業用制御システム(ICS)のソフトウェアやプロトコルのハッキングがターゲットになるのは、今回が初めてだ。

 ホワイトハッカーが名声を得るために、さらには巨額の賞金を手にするために参加する同コンテストの12年にわたる歴史のなかで、ハッキングの主なターゲットはブラウザーやOSがほとんどとなっていた。

 コンテストの主催者らは近年、仮想マシンやTeslaの自動車、さらにはFacebookのスマートディスプレイ「Portal」など、ターゲットの多様化を図ってきている。

 Pwn2Ownの主催者であるトレンドマイクロのZero Day Initiative(ZDI)プロジェクトによると、今回のコンテストではICS機器と関連ソフトウェアのみをハッキングの対象にするという。

 同コンテストは、2020年1月21〜23日にかけてフロリダ州マイアミサウスビーチで開催される「S4 ICS Security」カンファレンスの場で執り行われる。

 同コンテストでは、ICSを以下の5つのカテゴリーに分類している。

  • 制御サーバー
  • 「OPC Unified Architecture」(OPC UA)サーバー
  • 「Distributed Network Protocol 3」(DNP3)ゲートウェイ
  • ヒューマンマシンインターフェース(HMI)/オペレーターワークステーション
  • エンジニアリングワークステーションソフトウェア(EWS)

 参加者は上記カテゴリーのなかから、ハッキングを試みたいICSソフトウェアを自由に選択できる。そして、ターゲットに侵入するために使用する脆弱性の種類に応じてポイントが得られるようになっている。なお脆弱性は、今までに発見されたことのない新しいものでなければならない。

 コンテストの終了時点で、最も複雑な脆弱性を駆使して最も多くのICS機器のハッキングに成功したセキュリティ研究者が勝者となり、トロフィーと賞金、そしてあらゆる名声を手にすることになる。

 ZDIプロジェクトによると、同コンテストで発見された、ICSに潜むすべての脆弱性は、関連ベンダーに対してすぐさま通知されるという。なお、同コンテストに参加して、情報を直接収集しようとしているベンダーもあるという。

 ZDIプロジェクトは、セキュリティ研究者らに支払う賞金額を公開している。研究者らは、5つのICS機器カテゴリー中の8つのターゲットに対するハッキングを通じて、総額25万ドル(約2700万円)以上の賞金と賞品をめぐって戦うことになる。

提供:ZDI
提供:ZDI

 ZDIプロジェクトは、ゼロデイ脆弱性の情報を買い取るプログラムを実施していることでも知られている。これはセキュリティ研究者らから脆弱性の情報を購入し、企業に対して個別に通知するというものだ。

 同プロジェクトは2020年のハッキング対象を産業機器にするという決断について、ICSに関するバグ情報の提供が増えたためだと説明した。

 「2018年にZDIが買い取ったICSソフトウェアのゼロデイ脆弱性は、前年より224%増えた。この増加はこれまでのところ2019年も続いている」(ZDI)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]