11月に東京青山でモバイル関連の脆弱性コンテスト「Mobile Pwn2Own(ポーンツーオウン)」が開催された。Mobile Pwn2Ownは、米ヒューレット・パッカードの脆弱性リサーチ部門であるZero Day Initiative(ZDI)が開催する脆弱性コンテスト。iOS・Android、モバイルブラウザ、Wi-Fi・Bluetooth・NFCといったモバイルに特化したコンテストで、全世界から7チームが参加した。今回、Pwn2Own責任者のブライアン・ゴーンズ氏に話を聞いた。

総額賞金25万ドル。「タッチせずにNFCでマルウェアを送り込む脆弱性」も発見

Pwn2Ownは、ヒューレット・パッカードの脆弱性リサーチ部門・Zero Day Initiative(ZDI)が開催するもので、東京で開催されるのは今年で2回目。

Mobile Pwn2Own 2014のプログラム。脆弱性のジャンル・機種ごとに30分で実証する

日本でも脆弱性ハンター、いわゆるバグハンターが話題に上がっているが、ZDIのMobile Pwn2Ownは全世界を対象とした大規模なもので、賞金総額は25万ドル(約3000万円)にも及ぶ。世界最大のモバイル脆弱性コンテストと言えるだろう。

具体的には近距離通信(Wi-Fi/Bluetooth/NFCなど)、モバイルウェブブラウザ、モバイルOS・アプリケーションなどのジャンルで、脆弱性を発見するコンテストとなる。ターゲットなるのはiPhone 5S、Google Nexus 5/7、Samsung Galaxy S5、Amazon Fire Phoneなどのメジャーな機種が上がっている。

今回は世界6カ国から7チームが参加し、日本からも三井物産セキュアディレクション(MBSD)の「Team MBSD」がチャレンジしている。30分の時間制限の中で、電波を遮断したケースに入れられた端末を実際にPwn(乗っ取る)ことに挑戦した。

セキュリティカンファレンス・PacSecと同時に開催されたモバイル脆弱性コンテスト・Mobile Pwn2Own。会場は和気あいあいとした雰囲気だった

電波を遮蔽したボックスの中で、ターゲットのモバイル端末を乗っ取ることができるか実証する

モニター越しにPwn=乗っ取ることができるかチェックする

三井物産セキュアディレクション(MBSD)の「Team MBSD」は、Galaxy S5に内蔵されているアプリケーションの脆弱性を突き、スクリーンショットの取得、IMEIやSMSログの収集まで行えることを実証していた。

また今回のコンテストの目玉ともなったのが、NFCの脆弱性だ。離れた場所からNFCを通じてスマートフォンにマルウェアを忍び込ませられるAndroidの脆弱性がみつかっている。

地下鉄など混みあった電車の中で、離れた場所から忍び込ませることも可能とのことで、かなり危険な脆弱性といえるだろう。またWi-Fiを利用してマルウェアを混入できる脆弱性もみつかっている。

個人のバグハンター参加者も。セキュリティ人材の確保にもつながる

Mobile Pwn2Ownの参加メンバーは多彩だ。

Pwn2Ownの責任者、ヒューレット・パッカード・ZDIのブライアン・ゴーンズ氏は「イギリス、エストニア、韓国、日本など6ヶ国のチームが集まった。Mobile Pwn2Ownは、アメリカ・カナダ以外の国で開催することを原則としており、世界各地のリサーチャー(セキュリティ研究者)を探すことも目的の一つだ。我々とは違った見方をするリサーチャーと関係を作りたいと考えている」と語る。

コンテストの参加者は企業のセキュリティ研究者が多いが、韓国からはフリーのリサーチャーが個人としても参加していたほか、20歳の研究者の参加もあったという。

米ヒューレット・パッカード Zero Day Initiative(ZDI) ブライアン・ゴーンズ氏。Mobile Pwn2Ownの責任者だ

ブライアン・ゴーンズ氏は「個人で脆弱性発見で食べていく『バグハンター』もいる。我々がやっているようなコンテスト、ベンダーが行っている脆弱性発見の報奨金プログラムなどでお金を得ている」として、バグハンターが今や欠かせない存在であることを指摘する。

日本ではセキュリティの人材不足が課題となっているが、海外ではどうなのだろうか。ブライアン・ゴーンズ氏に聞いたところ「アメリカやヨーロッパでも、セキュリティ人材が大幅に不足している。そのためヒューレット・パッカードでは、学生向けにセキュリティの学位を取るための奨学金を出している」とのこと。

筆者が「セキュリティなら稼げますね?」と聞いたところ、ブライアン・ゴーンズ氏はニヤリと笑い「そうですね、稼げるジャンルです。才能があれば高額なギャラでオファーが来ると思いますよ」と答えた。

日本のセキュリティ業界では、人材の引き抜き合戦も始まっているが、それについてゴーンズ氏は「アメリカでも同じです。セキュリティ人材を常に探しています。Pwn2Ownという場でもそうですし、ヒューレット・パッカード・ZDIの脆弱性発見プログラムの参加者を雇うことがあります」と言う。

Pwn2Ownは脆弱性発見によってセキュリティレベルを向上させるという目的に加えて、セキュリティ人材確保という面もあるわけだ。

Pwn2Ownによってヒューレット・パッカードのIPSを強化。将来的には通信プロセッサの脆弱性が問題に

Mobile Pwn2Ownでは、参加者が実演をするその場に、ベンダーの担当者や、ヒューレット・パッカードのIPS担当者も参加している。ここで発見・報告された脆弱性は、即座に各ベンダー・機器メーカーに渡され、パッチの作成作業に入る。

ブライアン・ゴーンズ氏は「Pwn2Ownは脆弱性発見コンテストであると同時に、セキュリティ人材の発掘の場所でもある」と述べた

ヒューレット・パッカードが高額な賞金を出しコンテストを主催する意味について、ゴーンズ氏は「ヒューレット・パッカードの『HP TippingPoint IPS』に即座に反映できることが大きい。このコンテストの現場にIPSのシグネチャー担当者がいるので、発見された脆弱性に対するシグネチャーを素早く作成できる」と話す。

また、ヒューレット・パッカード・ZDIの脆弱性発見プログラムについては、「2014年はZDIによって370以上の脆弱性が発見され、パッチが出された。またパッチが出ていない200以上の脆弱性を把握しており、『HP TippingPoint IPS』で守っている。Pwn2OwnやZDIによって、他社より早く脆弱性への対処ができることがメリットだ」と述べた。

最後に今後のモバイルセキュリティについてゴーンズ氏に聞いた。

「スマートフォン・タブレットなどのモバイル端末には、非常にセンシティブ・機密性の高い情報が入っており、今後さらに標的として狙われるだろう。もっとも標的になりやすいブラウザなどへの対策は進んでおり、セキュリティレベルは向上するはず。

しかし、NFCやWi-Fiなどの近距離通信には脆弱性があり、犯罪に利用される可能性が高い。また3年から5年後のスパンでは、無線通信のプロセッサの脆弱性が問題となるだろう。まだそれほどの問題とはなっていないが、通信プロセッサの脆弱性はすでに見つかっており、そこを攻撃される可能性がある」(ゴーンズ氏)

次回のMoblie Pwn2Ownについてゴーンズ氏は「今回の東京でのMoblie Pwn2Ownは大成功だった。また次回も東京に来たいですね」と嬉しそうに語っていた。