旧ブログからインポートしたエントリーなのでリンクが切れている場合があります。画像はインポートしていません。
ハッキングコンテストでMacBook Airが2分で陥落
CanSecWestセキュリティカンファレンスで開催されたPwn to Ownコンテスト。これは用意されたマシンをいかにして陥落させるかを競うコンテスト。
大会初日ルールは[OSのみを攻撃対象]。さらに、攻撃者は一方的な手段を使うことしか許されておらず、この厳しい条件下でテストマシンを攻略するものは現れなかった。
大会二日目は[OSにプリインストールされているクライアント寄りのソフトウェアも攻撃対象]という条件に緩められる。恐らく、Mac OS XならApple純正のQuickTimeやSafari、MSならWindows MediaやInternet Explorerなどを介した攻撃も許すということだろう。さらにもう一つ、攻撃者は操作者に対して何らかの指示を与えることも許されたため、攻撃者は悪意のあるプログラムを仕込んだサイトに誘導するなどの手段を講じることが出来るようになり、この条件において、MacBook Airがスタート2分後に陥落した。
大会三日目は[OSにプリインストールされている標準的なソフトウェアも攻撃対象]とさらに条件が緩和された。この条件下で3チームがAdobe Flashの未公開の脆弱性を利用してWindows Vista Ultimateを掌握した。
この三日を耐え抜いたのはUbuntu(ウブントゥ)搭載機ただひとつだったようだ。
ちなみにMacBook Airが陥落したと書かれているが、これはたまたまMacBook Airを使ったということであって、MacBook Airに固有の脆弱性があった訳ではない。
とはいえ、セキュリティに関してあまりに無頓着でいればそれがMacだろうとWindowsだろうと、簡単に餌食となる可能性が十分にあることだけは肝に銘じておくことが重要だ。
なお、このコンテストの大会規則には『優勝チームのメンバーは彼らが用いたテクニックに関する機密保持契約(NDA)に即座に署名する』ように規定されており、発見された手段(脆弱性)は開発ベンダー(AppleやMicrosoftなど)にのみ開示される。
【続報】「PWN to OWN」コンテストでMacBook Airに30秒で侵入成功@CNET Japan
【関連】Linuxはハッキングに強い?@日々是電脳空間さん