Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング~検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか

 3月は、英BBCのボットネット購入やロシアの青年組織幹部が一昨年のエストニアに対するサイバー攻撃への関与を認めるなど、話題に事欠かない1カ月でしたが、今回はまず、昨年4月の本連載でも紹介したCanSecWestのクラッキングコンテスト「PWN2OWN」の話題から紹介します。

「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」

CanSecWestのWebサイト

 10回目となるCanSecWestの年次会合「CanSecWest Vancouver 2009」が3月16日から3月20日までカナダのバンクーバーで開催されました。

 今回も、いわゆる「クラッキングコンテスト」である「PWN2OWN」が3月18日から3月20日までの3日間行なわれました。昨年のターゲットはOS(Ubuntu Linux、Windows Vista、Mac OS X 10.5) でしたが、今年はWebブラウザと携帯電話を対象としています。

 まず、WebブラウザはInternet Explorer(IE)8、Firefox、Google Chrome、Safariの4種類。いずれもコンテスト実施時点での最新のパッチが適用された状態にしてあります。

 ・Windows 7(Sony VAIO)
  - IE8
  - Firefox
  - Google Chrome

 ・Mac OS X (Apple MacBook)
  - Safari
  - Firefox

 ユーザーがこれらのブラウザを使って攻撃用のWebページにアクセスしただけでコードを実行させることができたら、クラッキング成功と見なされ、賞金5000ドルとクラックしたノートパソコンが授与されます。

 また、Webブラウザの設定は以下の通り。

  1日目: 標準インストール、プラグインなし
  2日目: Flash、Java、QuickTimeあり
  3日目: Acrobat Readerのような広く使われているアプリあり

 一方、携帯電話(OS)は以下の5種類。

  - BlackBerry
  - Android
  - iPhone
  - Nokia Symbian
  - Windows Mobile

 こちらは、ユーザーデータなどの情報を失わせたり、金銭的コストを負わせたりすればクラッキング成功と見なされ、賞金1万ドルと携帯電話本体(+1年間の使用契約)が授与されます。

 携帯電話側の設定や攻撃のルールは以下の通り。

  1日目: メールの受信のみ
        WiFiオン(標準の場合)
        Bluetoothオン(標準の場合)、など
  2日目: 受信したメールの閲覧
        WiFiオン
        Bluetoothオン、など
  3日目: 標準アプリに対するユーザー操作あり、など

 実際のコンテストは30分を1スロットとして、参加者が順に行ない、先にクラッキングに成功した者だけが賞品をもらうことができます。順番という「運」によって賞品を手に入れられるか否かが決まるので必ずしも公平ではないですが、一種の「お遊び」としてのイベントなので、これでもよいのでしょう。なお、賞金は順番によらず、成功すればもらえるようです。

 さて、実際のコンテストの内容ですが、結論から言えば、成果があったのは初日だけ。2日目以降は特に進展がありませんでした。

 まず、Webブラウザは、Google Chrome以外の3つは初日でクラッキングに成功。一方、携帯電話はいずれも最後まで成功しませんでした。なお、Google Chromeは、多少不安定になるところまでは行ったようですが、クラッキング成功とまでは至らなかったようです。

 今回のPWN2OWNの成果として評価すべきは、ブラウザの4つの未公開の脆弱性を明らかにすることができた点です。いずれの脆弱性もこのイベントに資金提供しているTippingPoint社のZero Day Initiativeを通じて各ベンダーに通知され、うち1つは既に修正されています(詳細は後述)。

 まず、最初にクラッキングに成功したのは、Charlie Miller氏。昨年のPWN2OWNで最初にクラッキングに成功し、MacBook Airを手に入れた人物でもあります。今回はコンテスト開始後、最初のスロット、しかもわずか数分でSafariの未公開の脆弱性を使ってクラッキングに成功。あっという間に賞金5000ドルとMacBookを手にしました。

 次に成功したのは、Nils氏。IE8の未公開の脆弱性を使い、賞金5000ドルとSony VAIOを手に入れました。続けてNils氏は、Miller氏とは異なる脆弱性を使ってSafariのクラッキングに成功。MacBookは既にMiller氏のものになっていましたが、賞金5000ドルを獲得しました。

 さらにNils氏は別スロットで、Firefoxのクラッキングにも成功。結局、Nils氏は初日で VAIOと賞金1万5000ドルを手に入れたのです。

 初日はこのまま終了し、2日目以降は何も進展がないままイベントは終了しました。結果として、IE8に1件、Firefoxに1件、Safariに2件の計4件の脆弱性が明らかになりました。

 なお、今回明らかになったFirefoxの脆弱性は、先日公開された「Firefox 3.0.8」で修正されています(Mozilla Foundation セキュリティアドバイザリ 2009-13:XULツリー要素を通じた任意のコード実行)。

 今回、携帯電話に対する攻撃に誰も成功しなかったことに対して、主催者側は「携帯電話は制約が大きく、攻撃が難しい」といった見解を述べています。しかし、携帯電話に対する脅威がないわけではなく、今後の研究課題として重要であるとの考えから、来年もまた携帯電話に対するクラッキングコンテストを行なうとしています。

 なかなか興味深いイベントですが、日本からの参加者は非常に少なかったそうです。オープンなカンファレンスではありますが、多分に「内輪ウケ」の要素があるコミュニティのイベントなだけに、外部の人間には少々敷居の高さを感じなくはありません。それでも日本からもこのようなイベントに参加し、関係者とのコネクションを作ることは非常に重要なことだと考えます。来年のカンファレンスでは、日本から1人でも多くの方が参加してくださることを願っています。

URL
 CanSecWest
 http://cansecwest.com/
 TippingPoint DVLabs
 http://dvlabs.tippingpoint.com/blog/
 Zero Day Initiative
 http://www.zerodayinitiative.com/
 Mozilla Foundation セキュリティアドバイザリ 2009-13
 XULツリー要素を通じた任意のコード実行
 http://www.mozilla-japan.org/security/announce/2009/mfsa2009-13.html

イタリアで服役中のルーマニア人クラッカーが地方検事に雇われた?

 インターネット犯罪を犯した人物が服役後にセキュリティの専門家として企業に雇われた例はよくあります。また、中国では「お祈りパンダ」ウイルスを作って逮捕された犯人が獄中で修正ソフトを作らされたといった例もありました。そして、それらの延長上とも言える出来事として、服役中の犯人がインターネット犯罪防止のために公的機関に雇われ、パートタイムで働くことになるかもしれないとの報道がありました。

 問題の人物は、イタリア北部の都市コモの刑務所に服役中の22歳のルーマニア人青年 Gabriel Bogdan Ionescu氏。彼は、イタリアの郵便局を模した偽サイトを用意し、そこで詐取した口座から金を盗み取った罪で、2007年にイタリア当局に逮捕され、現在、懲役3年の刑に服しています。

 ところが、彼は「只者」ではありませんでした。2007年のバルカン情報オリンピックの金メダリストであり、ブカレスト工科大学への無試験での入学が認められていたほどの実力を有している人物だったのです。そのようなこともあり、前途ある若者の才能の芽を潰してはいけないとの判断があったのか、イタリア当局は2008年10月、彼がミラノ工科大学の入試を受けることを認めました。その結果、彼は学部史上の最高点を獲得し、入学が許可されたのです。

 そのような中、服役している刑務所のあるコモの地方検察局と契約し、モニタリングやインターネット犯罪防止を行っている専門企業のWay-Logが、彼に対してパートタイムでの雇用をオファーしたのです。

 実際にパートタイムで仕事をするとなると、コモの裁判所が、彼の収監を解き、「house arrest(自宅軟禁)」とすることを許可しなくてはなりませんが、彼の弁護士は許可が下りることに強い自信を示しているようです。

 確かに非凡な才能を有効に活用し、犯罪防止に結び付けようと言うのは決して「悪いこと」だとは思いません。しかし今回の場合は、イタリアの大学に入学し、その上、イタリアの企業で働けるという点で、彼にとってはルーマニアにいたときよりも、むしろ恵まれた環境にあると言えるかもしれません。これでは、インターネット犯罪を犯す者が、ますます増えてしまう可能性もないとは言えません。もちろん彼ほどの能力を持つものばかりではないでしょうが、本当の意味での犯罪の抑止のためには、服役中はきちんと罪を償うことに専念させるべきではないでしょうか。どうしても彼の才能や能力を使いたいのであれば、それは出所後にすべきでしょう。

URL
 Softpedia(2009年2月27日付記事)
 Italian Authorities Want to Hire a Romanian Hacker Genius
 http://news.softpedia.com/news/Italian-Authorities-Want-to-Hire-a-Romanian-Hacker-Genius-105597.shtml
 BalkanInsight.com(2009年2月27日付記事)
 Italy To Hire Convicted Romanian Hacker
 http://www.balkaninsight.com/en/main/news/17062/

(2009/04/07)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2009 Impress Watch Corporation, an Impress Group company. All rights reserved.