毎年恒例ハッキングコンテスト、今年はスマートフォンとブラウザのセキュア度をチェック
米3comのセキュリティ部門TippingPointのゼロデイ・イニシアティブ(ZDI)が、2007年からカナダ・バンクーバーで開催しているMac絡みのハッキング年次コンテスト「Pwn2Own」の2009年版として、今年はスマートフォンとWebブラウザの2種類それぞれ5つのテクノロジがターゲットとなり、どれがもっとも安全か(どれが真っ先にハックされてしまうのか)を競うことになります(発表記事 [En])。
モバイルデバイス(スマートフォン)は、Appleの「iPhone」、Research in Motion (RIM) の「BlackBerry」、Googleの「Android」、Microsoftの「Windows Mobile」、Nokiaの「Symbian」といった5機種のデバイスがターゲットとなり、デフォルトの設定では修正パッチが完全に適用された状況が与えられます。
Webブラウザについては、Windows 7を搭載したSony Vaioで動作する「Internet Explorer 8」、同「Firefox」、同「Chrome」、Mac OS Xを搭載したMacbookで動作する「Safari」、同「Firefox」の5つのブラウザがターゲットとなり、同様にデフォルトの設定で修正パッチが完全に適用された状態でスタートします。
コンテストへの参加には、スマートフォンかブラウザかどちらか一方または両方のテクノロジを選択でき、脆弱性を利用した悪意のあるコードの実行(ハッキング)の証明が求められます。
賞金はモバイルデバイスへのバグに対して1万ドル、ブラウザのバグには5,000ドルが用意され、モバイルデバイスを最初にハックした参加者にはそのハックしたデバイスと1年間の使用契約料が支払われます。また、ブラウザの場合は、最初にハックした参加者にハックしたブラウザが搭載されていたノートパソコンが提供されます。
さらに、もし5人以上が脆弱性を発見する状況になれば、ボーナスとして5,000ドルがコンテストに追加提供されて、ショーの中でもっとも目を引いたハッキングに対して賞が贈られることになるとのことです。
難易度は日によって設定が異なり、例えばスマートフォンの場合には、初日はデバイスにアプリケーションがインストールされてない状態で、Wi-Fiやネットワーク経由でのみ攻撃することが許されますが、2日目はルールが少し緩和され、メールやWebブラウザなどのアプリケーションのインストールが許可される一方で、サードパーティ製アプリなどの使用は認められません。
今年のハッキングコンテストは、3月16日から20日にかけて行われるセキュリティ・カンファレンス「CanSecWest」期間中の3月18日から実施されます。
ちなみに昨年のコンテストでは、Leopard、Vista、Linuxという3つのOSへのハッキングが競われ、Mac OS Xが最初に陥落しました。
さらに一昨年はMacBook Proへの侵入が競われ、QuickTimeの脆弱性を利用したハッキングが証明されたことはあまりにも有名です。Appleはその1週間後に、コンテストで利用された脆弱性を修正するパッチを公開しました。
今年のコンテストでも、iPhoneなどのプラットフォームで脆弱性が発見されれば、OSアップデートでの修正などが行われるかもしれません。
そういった意味でもベンダーや開発者の間で毎年賛否両論が飛び交うイベントでもあります。