オリジナルの Pwn2Own コンテスト(編集部註:Mobile ではない Pwn2Own)は、何年も前からバンクーバーの CanSecWest にて毎年 3 月に開催されている。この兄貴分にあたる大会と同様、Mobile Pwn2Own も HP の Zero Day Initiative の出資によって資金の一部が支えられており、計 30 万ドルの賞金が参加者のために用意されている。また Google's Android Security Team と BlackBerry も、このモバイル界の決戦を後援している。
今年、日本で開催されるこの大会では、スマートフォンやタブレットにおける脆弱性のエクスプロイトに焦点が当てられており――その点がオリジナルとは異なっている。ごく最近のオリジナルの大会では、Windows、Mac OS X および Linux を搭載した PC 上で、ウェブブラウザ、Adobe Flash、Java、その他の類似したソフトウェアに対して行う攻撃を対象としていた。
Mobile Pwn2Own の賞金は攻撃のタイプによって分けられる:つまり、機器のモデルやプラットフォームごとに分けられるのではなく、まさに「いかにして出場者がデジタル機器に潜り込むことができたのか」という攻撃の方法で区別される。近距離の物理的なハッキング――たとえば Bluetooth や Wi-Fi、USB、NFC の欠陥を悪用したものには 5 万ドルが割り当てられている。ここで及第点となる攻撃は「ユーザーとのやりとりをほとんど、あるいは全く必要としない」ものでなければならない。危険なアプリをインストールさせるよう、ユーザーを騙して「OK」をクリックさせるような攻撃は、このカテゴリにおいて良い成績を残せないだろう。
ウェブブラウザのエクスプロイトに成功したハッキングには、最高 4 万ドルが授与される。ユーザーに気づかれずに長距離電話をさせる、会話を盗聴する、またはデータを抜き出してリモートサーバにアップロードするなどのコードを作り上げた場合も、その勝利を手に入れられる可能性がある。
モバイルアプリケーション、またはオペレーティングシステムのハッキングもこのコンテストの対象となっており、4 万ドルの賞金が用意されている。このカテゴリの攻撃は、サードパーティのアプリを実行していない、完全にパッチを当てられたスマートフォンに対して行われなければならない。
SMS や MMS などのメッセージングサービスに対する上首尾の攻撃には、さらに高額の賞金(7 万ドル)が待っている。このカテゴリでは、「ユーザーとのやりとりが限定的に許可」されている。そのため、攻撃をアクティベートするためのメッセージをユーザーに開かせる行為は、おそらくこのルールでは許容範囲となりそうだ。しかしユーザーを騙して危険なウェブサイトへのリンクを辿らせる試みは、ほぼ確実にオフサイドだろう。
金額的に最もやりがいのある競技―― 10 万ドルという魅力的な賞金が設定されている――は、スマートフォンのベースバンドシステムに対するハッキングに割り当てられている:つまり、携帯電話とネットワーク間の通信に関わる、すべての重労働を行う実際の電子機器に対する攻撃だ。たとえば、ベースバンドチップセットとソフトウェアを混乱させる、あるいは危殆化するような信号列の電波を送信して携帯電話をハッキングするといった手法は理想的な例だろう。
「この賞金額は、おそらく比較上の難しさ(USB ケーブルやインターネットを介した侵入と比較したときの、モバイルネットワーク自体を介して侵入を試みる際の難易度)を反映している」と、セキュリティマーケットウォッチャー Paul Ducklin は Sophos's Naked Security のブログ記事に記している。
(もちろん、この大会で提示されている賞金額は、プライベートなエクスプロイト市場において非常に需要の大きい「ゼロデイ脆弱性を利用した攻撃」に支払われる金額とは、あまり比較されていない)
今年の大会で叩きのめされるのを待っているスマートフォンやタブレットには、Nokia Lumia 1020(Windows Phone 8 搭載)、Microsoft Surface RT(Windows 8 kernel 搭載タブレット)、Samsung Galaxy S4(Android 搭載)、Apple iPhone 5 および Apple iPad Mini(iOS 搭載)、Google Nexus 10(Android 搭載タブレット)、そして BlackBerry Z10(BlackBerry OS 10 搭載)が含まれている。
攻撃対象となったプラットフォームを、誰が最初に攻撃するのかは抽選で決められる。選択されたデバイスに対し、参加者が自分の攻撃法でハッキングできる時間は 30 分である。
各カテゴリで最初に成功した参加者は、そのカテゴリの賞金(および、彼らがハッキングに成功した端末)を受け取ることができる。5 のカテゴリと 9 のデバイスの中で、どのプラットフォームがほとんど無傷のまま残るのか、また、どれが大敗するのか、その結果は興味深く見ることができそうだ。
「もし、攻撃対象として誰一人として選ばないデバイス(またはオペレーティングシステム)があるとするなら、それは興味を持たれていないために避けられたのか、あるいは、その強さが認められたために避けられたのか、その点を我々が知ることは決してないだろう」と Ducklin は付け加えている。「Pwn2Own は(多くのセキュリティテストと同様に)、『この製品にはセキュリティの弱さがある』ということを知らせるには良いものだが、それぞれの製品の『強さ』については、あまり多くを語るものではない」
このコンペティション(入場はカンファレンスの出席者に限定されている)は、11 月 11 日から 13 日にかけて、東京で開かれる PacSec 2013 Conference で行われる。
※本記事は全文を掲載しました。
© The Register.
(翻訳:フリーライター 江添佳代子)
