日本企業の三井物産セキュアディレクションは、Samsung Galaxy S4 から機微情報を盗み出し、さらに攻撃コードをインストールするための手法を示して、4 万ドル(編集部註:約 400 万円)を獲得した。それは、工場出荷時の S4 にインストールされているソフトウェアの欠陥を利用したハッキングだった。この攻撃の手法においては、ユーザーに「特別に構築されたウェブサイト」を訪問させることが必要となるが、それ以外のユーザーの操作は一切要求しない。
このコンテストの協賛企業である HP のシニアセキュリティコンテンツディベロッパー Heather Goudey はブログに記している。「この脆弱性がどのような影響を与えるのか気がかりだ。あなたは(よく表示される『クリックは慎重に』という、少々ばかげたアドバイスを聞き入れて)注意深くリンクをクリックしているかもしれない。しかしモバイル機器を利用する際、デスクトップで行うのと同じぐらいの慎重さでリスクを判断し、用心するとは考え難い」
一方、中国の Keen Cloud Tech の 8 人組は、iOS 7.0.3 の脆弱性を利用して Facebook のログイン認証情報を盗み出す方法、および iOS 6.1.4 を搭載したデバイスから写真データを盗み出す方法を示し、27,500ドル(編集部註:約 275 万円)の賞金を獲得した。この攻撃では、Apple のサンドボックス技術を破ることができなかった;もしもそれができていたならば、彼らはより多額の賞金を獲得しただろう。
その様子は以下の動画で見ることができる。
Keen Team Discusses Safari exploits at Mobile Pwn2Own - YouTube
この Apple のハッキングは、どちらのケースにおいても、ユーザーに特定のリンクをクリックさせなければならない。だがソーシャルエンジニアリングの技術を適切に利用すれば、それは難しいことではない。中国のチームが Pwn2Own コンテストで受賞し、また攻撃を 5 分以内に完了させたのは今回が初めてのことだった。
Pwn2Own のチームは既に、これらのセキュリティホールに関わる全メーカーへ連絡を済ませている。全てのチームのメンバーは、その攻撃がどのように行われたのかを詳細に説明し、また利用したコードを残さず伝えることが要求されているので、それらの欠陥はまもなく修正されることになるだろう。
オリジナルの「Pwn2Own」コンテストは、5 月にバンクーバーで開催されている毎年恒例のセキュリティ懇談会 CanSecWest のイベントの一つとして始まった。もともとはデスクトップのシステムのみに焦点を当てた大会であったが、スマートフォンの利用と勢力の成長に伴い、モバイルの分野に乗り出した。
このコンペティションでは現在のところ、スマートフォンの通信の背後にあるベースバンドエレクトロニクスを首尾よくクラッキングしたチームのために、まだ 10 万ドル(編集部註:約 1,000 万円)の賞金が残されている。参加者のチームはすでに作業を開始し、コードを最適化している。その結果の発表は木曜日になると予想されている。
※本記事は全文を掲載しました。
© The Register.
(翻訳:フリーライター 江添佳代子)
