■Vista vs Mac OS X vs Ubuntuクラッキングコンテスト

　3月26日から28日までカナダのバンクーバーで開催された「CanSecWest Vancouver 2008」で、いわゆる「クラッキングコンテスト」である「PWN2OWN」が行なわれました。

　今回はターゲットは以下の3つ（物理的に各1台ずつ計3台）。

　・Windows Vista Ultimate SP1（Fujitsu U810）
　・Mac OS X 10.5.2（MacBook Air）
　・Ubuntu 7.10（VAIO VGN-TZ37CN）

　すべて最新のパッチが適用されており、「典型的」な設定が施されています。もちろん何をもって「典型的」とするかはあらかじめ定められています。

　コンテストのルールは、まずランダムな順番で1台のターゲットに対して1人ずつ攻撃をします。そこで、任意のコードが実行可能な未公開の脆弱性（0day code execution vulnerability）を使って侵入し、指定されたファイルの中身を読めば、クラッキング成功と見なされます。

　そして、各マシンに対して最初にクラッキングに成功した者が、対象となったマシンと賞金を手に入れることができます。なお、賞金は次のように設定されています。

　初日（3月26日） は、遠隔からの認証なしの侵入のみを対象とします。成功した場合の賞金は20,000ドル。

　2日目（3月27日）は、標準でインストールされているクライアント側のアプリケーションの脆弱性を狙います。具体的には、メール内にあるリンクをクリックしたり、悪質なWebサイトにアクセスしたりするなどの、クライアント側からの何らかのアクションをきっかけに侵入するというものです。これに成功した場合の賞金は10,000ドル。

　最終日（3月28日）は、一般的に広く使われているサードパーティのクライアントアプリケーションをターゲットに追加インストールして、その脆弱性を使うというものです。このアプリケーションのリストは別途用意されています。ここで侵入に成功した場合の賞金は5,000ドル。

　コンテストの結果、初日には侵入に成功した者はいませんでしたが、2日目にボルチモアのセキュリティベンダーであるIndependent Security Evaluators社のチームがMac OS Xの標準ブラウザ「Safari」の未公開の脆弱性を使って侵入に成功し、ターゲットマシン本体と賞金10,000ドルを獲得しました。なお、この脆弱性については現在、Appleが対応中です。

　2日目が終わった時点で、Windows VistaとUbuntuが「生き残り」、ルールに従い、審判が「popular」と見なすサードパーティのアプリケーションをターゲットにすることになりました。

　最終日の3日目、夜7時30分になって、Seucrity Objectives社のメンバーが、Windows Vista にインストールされた最新のAdobe Flashの未公開の脆弱性を使って侵入に成功しました。なお、この脆弱性については現在、Adobe Systemsが対応中です。

　このままコンテストは終了し、最終的にはUbuntuのみが生き残った形になりました。

　このコンテスト自体は、新しい脆弱性を発見・検証し、その脆弱性に対するベンダーの対応を促す意味でとても意味のある活動だと思います。しかし気になるのは、このコンテストの結果をもって、どのOSが安全であるかを論ずるメディアが存在するということです。（「NEWS VAluation」3月30日付記事）

　このコンテストの結果は、あくまであらかじめ定められたルールと条件の下で、侵入が可能か否かを比べたに過ぎず、この結果をもって「Linuxが相対的に安全」とするのは明らかに論理に飛躍があります。

　例えば、Windows VistaについてはOS標準機能の脆弱性ではなく、あくまで追加インストールされたアプリケーションの脆弱性が使われたに過ぎません。また、コンテスト参加者の多くが、Linuxを攻略することに関心が薄く、Mac OS XやWindows Vistaを攻略することに興味があった（＝力を入れた）だけとも言えます。

　もし本当にOSの安全性を比較するのであれば、技術的な点だけでなく、OSおよび広く利用されているアプリケーション（サードパーティ製含む）のサポート体制などの分析も必要となります。しかし、そこまでの手間をかけてまでOSの安全性を比較することに、本質的にあまり意味がないことは、「セキュリティ」をご存知の方ならよくわかると思います。単なる「研究」目的なら「面白い」でしょうけど（苦笑）。

　今回のコンテストの結果が示しているものを強いて挙げるならば、OSを稼動させているだけでは外部から侵入できていないこと、また、クライアント側からの何らかのアクションによって初めて侵入に成功していることから、侵入を許してしまうか否かは、OSそれ自体の安全性の差よりも、使い方に依存する方が大きいということかもしれません。これも論理に少し飛躍はありますが（苦笑）。

■韓国の報道に見る中国のセキュリティ事情

　これまでの連載でも何度か取り上げていますが、この数年来、高句麗の歴史問題をきっかけに、韓国と中国の間で頻繁にDDoS攻撃をはじめとする「サイバー戦争」が起こっています。

　また、韓国のメディアが報道するさまざまなネット犯罪についても、その攻撃元などの「関係者」として中国の可能性を明確に言及するケースは少なくありません。

　そこで韓国で最近報道された中国関係の話題をいくつか紹介します。まず、「東亜日報」の3月4日付記事は、2007年末から2008年にかけての中国が関係していると思われる攻撃に関してまとめられた報道です。

　この中で興味深いのは、韓国情報保護振興院が発表した、2008年1月の1カ月間における、韓国に対する攻撃および有害トラフィックの解析結果です。これによると、アクセス元IPアドレスの33.6％が中国のものだったそうです。中国以外が、米国が19.4％、EUが4.9％、日本が4.8％となっていることと比べると、極端に中国が多いことがわかります。もちろん、踏み台や詐称の可能性があるので、これをもって即中国からの攻撃と判断するのは早計ですが、中国の多さは際立っています。

　また、韓国を代表するセキュリティベンダーであるAhnLab（安哲秀研究所）のコメントとして、中国では、攻撃の手段や攻撃の実演動画資料などが出回っていて、誰でも攻撃を行なえるような状況にあるとしています。

　「マネートゥデイ」3月27日付記事と「NEWS VAluation」3月28日付記事は、ボットネットを使ったDDoS攻撃を請け負う商売があり、中国での相場が1日あたり日本円で約80,000円、一方、韓国では100万ウォン（約10万円）であるとの報道です。

　この中で興味深いのはオンラインゲームアカウントの詐取に関する部分。韓国も中国もオンラインゲームが盛んで、しかもオンラインゲーム上で流通する仮想通貨が本物の通貨とほぼ同じように使えることから、ゲームのアカウントを盗み取って悪用する事例が頻発しています。

　これに関連して、中国のコミュニティでは、韓国内のゲーム別に「利用者情報収集用悪性コード製作プログラム」が300元（約4,000円）から3,000元（約40,000円）の金額で売買されているのだそうです。

　上で紹介したような状況に関連して、中国政府の動きについての報道もありました。（「上海日報」3月25日付記事、「ETNEWS」3月27日付記事）

　中国政府は、中国のインターネットにおける「無法状態」を（それなりに）深刻に受け止めているらしく、ネット犯罪を犯した者を厳罰に処す姿勢を示しています。

　最近、マルウェアを流布して、オンラインバンキングの個人情報を盗み取って10万元（約140万円）を引き出した犯人に対し、実際に犯行を行なった3人に禁固6年半から8年、また犯行を助けた1人に2年半の懲役刑が下されたそうです。中国らしい「厳罰」で犯罪を抑制しようという典型的な事例です。

(2008/04/09)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2008 Impress Watch Corporation, an Impress Group company. All rights reserved.