あなたの“お気に入り”のブラウザがどうやってぼくに分かるのか? でも、実はそんなことはどーでもよい。人気上位の4つのブラウザ、ChromeとInternet ExplorerとFirefoxとSafariがどれも、先ほど、見事にやられてしまったのだ。
今週(3/15-21)は今年の(第8回の)Pwn2Ownが開かれ、世界中から集まったセキュリティの研究者たちが、その腕前を競った。今回の勝負は、人気ブラウザの最新のビルドをいためつけること。成功すると巨額の賞金がもらえる。
ただし、その手口の詳細は、ブラウザのメーカーがその穴にパッチを当てるまでは公開されない。だから、あなたをはじめ、一般ユーザが被害に遭う可能性は限りなく小さい。
たとえばMozillaは、Firefoxのパッチを今日(米国時間3/20)じゅうに当てる、と言っている。ほかの3社は、本誌からの問い合わせにまだ返事をくれない。
Pwn2Ownにおける、ブラウザ侵犯(エクスプロイト, exploit)の定義は簡単明瞭で、“プログラムの標準的な実行パスを変えて、任意の命令を実行可能にすること”、だ。
言い換えると、ブラウザのセキュリティを破って、想定外のコードを実行させること。ただし、そのエクスプロイトはユーザとの対話をしてはいけないが、“ユーザが悪質なコンテンツを閲覧するために必要なアクション”、なら許される。
挑戦者は、自分がまだ触ったことのないマシンの上で30分の時間を与えられる。各マシンの上のオペレーティングシステムは、完全にセキュリティパッチが当てられている。というよりバグは数日間/数週間にわたる調査研究の結果見つけたものであり、当日のわずか30分で見つけるというものではない。
各ブラウザの結果はこうだった:
- Internet Explorerでは4つのバグが見つかった(Windows 8.1上)
- Mozilla Firefoxでは3つのバグが見つかった(Windows 8.1上)
- Safariでは2つのバグが見つかった(OS X Yosemite上)
- Chromeでは1つのバグが見つかった(Windows 8.1上)
(注記: “ふん!ぼくはOperaを使ってるもんね!”と言いたいあなた、Operaは2013年5月以降Chrome/Chromiumがベースなのだ。ChromeのバグはOperaにも影響を与えるだろう。)
なお、このカンファレンスに集まった研究者たちは、Adobe ReaderとFlashとWindowsに対するエクスプロイトもデモした。
Chromeに1つだけ見つかったバグは、このコンテスト始まって以来の最高賞金額11万ドルを獲得した。Chromeは犯しにくいブラウザとして悪名高いので、これまでも賞金額は最高だったが、今回は研究者のJungHoon Leeが、そのボーナスをもらうことになった。内訳は、バグを見つけたことに75000ドル、自分のコードをシステムレベルで走らせたことに25000ドル、そしてそのバグがChromeのベータビルドにもあったために追加の10000ドルだ。
JungHoonは、Safariのバグの発見にも貢献して50000ドル、IE11でも貢献して65000ドルを獲得し、一日で22万5000ドルを稼いだ。悪くない一日だったね。
2日間のコンペで、総額55万7500ドルが賞金として支払われた。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa)
