PacSec2013会場で11月13日に開催された、スマートデバイスなどの攻撃実証コンテスト「Mobile Pwn2Own 2013」において、Galaxy S4 にプリインストールされたアプリケーションの脆弱性を使ってシステムユーザー権限取得の実証に成功し、賞金4万ドル(※)を獲得した「TEAM of MBSD」こと三井物産セキュアディレクション株式会社を訪ねた。(※賞金4万ドルにプラスで、Zero Day Initiativeが発行する換金可能なポイントが1万ドル分贈呈される)
「TEAM of MBSD」は、三井物産セキュアディレクション プロフェッショナルサービス事業部 部長のK氏の発案のもと、社内公募で集められた、同社プロフェッショナルサービス事業部の4名(当日会場入りしたのはチームリーダーをのぞく3名)から構成される。
ハッキングイベントで、ひとつの企業のメンバー「だけ」で構成されるチームは珍しい。有名なsutegoma2 などは、多数の組織に所属する専門家によるチームだ。TEAM of MBSDは、同じ職場に勤める同士ならではの、コミュニケーションやチームワークが高まることが予想される反面、複数の視点による分析ができるのか、アプローチの多様性が確保できるのかといった懸念も多々あったはずだ。
チームリーダーのK氏と、メンバーのT氏に、「Mobile Pwn2Own 2013」で成功するために、どのような作戦のもと、準備と調査作業を行ったか、そして今回発見したエクスプロイトについて話を聞いた。
--
──Mobile Pwn2Own 参加のきっかけ、目的は何ですか
K氏
日頃、私たちが様々なお客様から依頼を受けて行っている携帯電話のセキュリティ診断の力が生かせると考えて応募しました。Pwn2Own は、他のセキュリティイベントよりも、海外メディアで大きく取り上げられることが多い印象があり、どうせやるなら、そういうイベントに参加したいと。
──TEAM of MBSD の4名のメンバーはどのように人選されたのですか
K氏
私が発案して、社内公募しました。今年の7月に Apache Struts 2 の脆弱性を発見したり、過去 Google や Facebook の脆弱性を発見し何度か賞金を受け取っているエンジニアの他、計4名のメンバーでチームを組織しました。
──iOS で成功した中国の Keen Team の賞金額は2万7,500ドルでしたが、今回獲得した賞金額はいくらですか
K氏
4万ドルプラス1万ドルの計5万ドルです。
──5万ドルは新卒学生の年収の約2年分ですが、金額の大きさはモチベーションになりましたか
K氏/T氏
金額もさることながら、世界的に著名なコンテストなので、そこに参加して何か成果を出したいという気持ちで参加しました。
──準備のために端末は何台くらいそろえましたか
T氏
Galaxy S4 を2台、iOS は4台程度、10台までいかないくらいです。通常の診断や検証でも使うので、この機会に買ったのもあるんですけどね。
──競技は課題が公開された1ヶ月前から始まるわけですね
T氏
コンテストのルールの中で、端末とかソフトのカテゴリが決められています。まずは経験豊富な、ブラウザ、アプリ、フレームワークなどのカテゴリから調査をはじめました。その中でいくつか脆弱性を見つけたので、主催者に連絡を取りました。本番は会場に行く必要があるんですが、探して見つけたものをデモンストレーションする場です。
──なるほど。3分でクラックしたとか華々しい報道がされていますが、そのまえに準備期間があると。4名のメンバーはまるまる1ヶ月間 Mobile Pwn2Own 2013 の調査検証作業に従事したんですか?
T氏
私はこの調査検証に集中するためスケジュールを空けられましたが、他の3名は通常の業務もやりながらでした。
──もっと時間があったらできたと思うことはありますか
T氏
最終目標はルート権限を取ることだったのですが、今回はその下のシステムユーザー権限しか取れなかった。もっと時間をかけたら取れたかもしれない。けれども、それはそれで、ひとつの高いハードルを越えなければなりませんが。
K氏
もうちょっとあれば取れてたと思います(笑)
──見つけたExploitについて教えて下さい。ゼロデイですか
今回見つけたのは、Galaxyにプリインストールされているアプリの脆弱性と、カスタマイズされたAndroid Framework部分の脆弱性です。いずれもゼロデイです。悪用されると、端末内の様々な情報を読み取る権限を持つ不正なアプリをこっそりとインストールされてしまいます。またシステムユーザー権限も取得されます。当日のデモでは、攻撃の入り口としてブラウザを使いました。ユーザがブラウザで悪意のあるページにアクセスすると攻撃が開始されるという段取りです。デモの中では、端末内のユーザ情報、電話帳、SMS、通話履歴、ブラウザのアクセス履歴などを盗み出しました。また端末に表示されている画面を外部から盗み見するデモもしました。
──賞金の使い道は決まっていますか
過去、弊社エンジニアが Google や Facebook から受け取った1,000ドルから5,000ドルくらいの報奨金は、全部個人に払っていますが…
──冗談ですが、1ヶ月で500万円の売上と考えれば、これを事業化できませんか。バウンティハンター事業として
T氏
数十人規模の事業部を成り立たせることはできないでしょう。しかし、今は脆弱性情報にお金を払う企業が増えてきているので、力がある個人が、これで生活するくらいは可能になっていると思います。
──成功した理由は何だったと思いますか
K氏
弊社は年に何件か「○○について徹底的に調べて報告してくれ」というタイプの調査案件を手がけていますが、その過程で、いろんなプロトコルを隅から隅まで調べるという作業を経験していて、そういうことをやってきたメンバーだったので、勘所はいいという自信はありました。また、我々の部署では、すぐに売上にならないものであっても、いろんな脆弱性を調べたりする時間を普段から作るようにしています。CTFに参加したりもしています。そういったことの積み重ねはあったのかもしれません。
──他の日本チームは参加したんですか
T氏
我々以外の日本のチームがエントリーしたかは把握していませんが、少なくとも最終段階のデモには出てきていませんでした。他にも日本のチームが出るだろうと思っていたので、とても意外でした。Mobile Pwn2Ownは毎回参加チームが少ないらしく、過去には全参加チームが3チームということもあったそうです。今回も全部で3~4チームだったようです。
──スマートフォンやタブレットのメーカーや、サービス提供企業に向けて、セキュリティに関して何かコメントをお願いします
「TEAM of MBSD」は、三井物産セキュアディレクション プロフェッショナルサービス事業部 部長のK氏の発案のもと、社内公募で集められた、同社プロフェッショナルサービス事業部の4名(当日会場入りしたのはチームリーダーをのぞく3名)から構成される。
ハッキングイベントで、ひとつの企業のメンバー「だけ」で構成されるチームは珍しい。有名なsutegoma2 などは、多数の組織に所属する専門家によるチームだ。TEAM of MBSDは、同じ職場に勤める同士ならではの、コミュニケーションやチームワークが高まることが予想される反面、複数の視点による分析ができるのか、アプローチの多様性が確保できるのかといった懸念も多々あったはずだ。
チームリーダーのK氏と、メンバーのT氏に、「Mobile Pwn2Own 2013」で成功するために、どのような作戦のもと、準備と調査作業を行ったか、そして今回発見したエクスプロイトについて話を聞いた。
--
──Mobile Pwn2Own 参加のきっかけ、目的は何ですか
K氏
日頃、私たちが様々なお客様から依頼を受けて行っている携帯電話のセキュリティ診断の力が生かせると考えて応募しました。Pwn2Own は、他のセキュリティイベントよりも、海外メディアで大きく取り上げられることが多い印象があり、どうせやるなら、そういうイベントに参加したいと。
──TEAM of MBSD の4名のメンバーはどのように人選されたのですか
K氏
私が発案して、社内公募しました。今年の7月に Apache Struts 2 の脆弱性を発見したり、過去 Google や Facebook の脆弱性を発見し何度か賞金を受け取っているエンジニアの他、計4名のメンバーでチームを組織しました。
──iOS で成功した中国の Keen Team の賞金額は2万7,500ドルでしたが、今回獲得した賞金額はいくらですか
K氏
4万ドルプラス1万ドルの計5万ドルです。
──5万ドルは新卒学生の年収の約2年分ですが、金額の大きさはモチベーションになりましたか
K氏/T氏
金額もさることながら、世界的に著名なコンテストなので、そこに参加して何か成果を出したいという気持ちで参加しました。
──準備のために端末は何台くらいそろえましたか
T氏
Galaxy S4 を2台、iOS は4台程度、10台までいかないくらいです。通常の診断や検証でも使うので、この機会に買ったのもあるんですけどね。
──競技は課題が公開された1ヶ月前から始まるわけですね
T氏
コンテストのルールの中で、端末とかソフトのカテゴリが決められています。まずは経験豊富な、ブラウザ、アプリ、フレームワークなどのカテゴリから調査をはじめました。その中でいくつか脆弱性を見つけたので、主催者に連絡を取りました。本番は会場に行く必要があるんですが、探して見つけたものをデモンストレーションする場です。
──なるほど。3分でクラックしたとか華々しい報道がされていますが、そのまえに準備期間があると。4名のメンバーはまるまる1ヶ月間 Mobile Pwn2Own 2013 の調査検証作業に従事したんですか?
T氏
私はこの調査検証に集中するためスケジュールを空けられましたが、他の3名は通常の業務もやりながらでした。
──もっと時間があったらできたと思うことはありますか
T氏
最終目標はルート権限を取ることだったのですが、今回はその下のシステムユーザー権限しか取れなかった。もっと時間をかけたら取れたかもしれない。けれども、それはそれで、ひとつの高いハードルを越えなければなりませんが。
K氏
もうちょっとあれば取れてたと思います(笑)
──見つけたExploitについて教えて下さい。ゼロデイですか
今回見つけたのは、Galaxyにプリインストールされているアプリの脆弱性と、カスタマイズされたAndroid Framework部分の脆弱性です。いずれもゼロデイです。悪用されると、端末内の様々な情報を読み取る権限を持つ不正なアプリをこっそりとインストールされてしまいます。またシステムユーザー権限も取得されます。当日のデモでは、攻撃の入り口としてブラウザを使いました。ユーザがブラウザで悪意のあるページにアクセスすると攻撃が開始されるという段取りです。デモの中では、端末内のユーザ情報、電話帳、SMS、通話履歴、ブラウザのアクセス履歴などを盗み出しました。また端末に表示されている画面を外部から盗み見するデモもしました。
──賞金の使い道は決まっていますか
過去、弊社エンジニアが Google や Facebook から受け取った1,000ドルから5,000ドルくらいの報奨金は、全部個人に払っていますが…
──冗談ですが、1ヶ月で500万円の売上と考えれば、これを事業化できませんか。バウンティハンター事業として
T氏
数十人規模の事業部を成り立たせることはできないでしょう。しかし、今は脆弱性情報にお金を払う企業が増えてきているので、力がある個人が、これで生活するくらいは可能になっていると思います。
──成功した理由は何だったと思いますか
K氏
弊社は年に何件か「○○について徹底的に調べて報告してくれ」というタイプの調査案件を手がけていますが、その過程で、いろんなプロトコルを隅から隅まで調べるという作業を経験していて、そういうことをやってきたメンバーだったので、勘所はいいという自信はありました。また、我々の部署では、すぐに売上にならないものであっても、いろんな脆弱性を調べたりする時間を普段から作るようにしています。CTFに参加したりもしています。そういったことの積み重ねはあったのかもしれません。
──他の日本チームは参加したんですか
T氏
我々以外の日本のチームがエントリーしたかは把握していませんが、少なくとも最終段階のデモには出てきていませんでした。他にも日本のチームが出るだろうと思っていたので、とても意外でした。Mobile Pwn2Ownは毎回参加チームが少ないらしく、過去には全参加チームが3チームということもあったそうです。今回も全部で3~4チームだったようです。
──スマートフォンやタブレットのメーカーや、サービス提供企業に向けて、セキュリティに関して何かコメントをお願いします
