Appleが待ち望まれていたバグ報奨金プログラムを開始

generic_code_hack_security

ハイテク企業たちは私たちにとって最も個人的な情報への鍵を握っている。給与の支払明細、健康の履歴、恋人とのチャットのログ、そして家族の写真アーカイブ。私たちがプライベートデータを渡せば渡すほど、データを安全に保存することによって企業が私たちの信頼を得ていくことがますます重要になっていく。

過去5年間で、ほとんどの主要なハイテク企業は、ハッカーからの脆弱性の報告を歓迎し現金でそれに報いる形のバグ報奨金プログラムを制定している。独自の報奨金プログラムを実行するための専門知識を持っていない企業は、外部の企業にこの重要なセキュリティの仕事を委託している。

しかし何年もの間、Appleはこの制度の導入を拒んでいた。セキュリティは企業物語の重要な一部をなしているが、Appleはこれまで無言のうちにバグへの報奨金支払を拒み、しばしばセキュリティ研究者をフラストレーションに晒して、欠陥をAppleに報告することを難しくしてしまっていた。しかしそれも今日変わった。Appleにおけるセキュリティエンジニアリングとアーキテクチャの長であるIvan Krsticが、最先端セキュリティ国際会議Black Hatの参加者に対して、Appleは製品に脆弱性を見つけた研究者に対して最高20万ドルまでの報奨金を支払うことを発表したのだ。

このKrsticの発表は、セキュリティアーキテクチャの周りに張り巡らせた秘密の扉を、Apple製品のセキュリティ向上に役立とうと考えるハッカーのコミュニティや研究者、暗号学者たちに開こうとしているAppleの努力の一環である。Black HatにおけるKrstic自身の講演も、HomeKit、AutoUnlock、そしてiCloudキーチェーンのセキュリティ機能について触れた、Appleとしては幾分珍しい種類のものだった。同社の代表がBlack Hatで話したのは4年ぶりのことで、通常ならAppleはセキュリティ関連のアナウンスを自身の会議であるWWDCで行うものだった。

「過去のAppleは、研究者たちとはあまり良い関係を結んでいませんでした」と述べるのは、SecurosisのCEOで、iOSのセキュリティを追い続けているアナリストでもあるRich Mogullである。「過去10年間で多くのことが変化して、より良い状態になって来ています」。バグ報奨金プログラムは正しい方向への一歩だと彼は述べた。

これまでAppleは、報奨金を出さない理由の一つとして、政府やブラックマーケットが支払う高い報酬の存在を挙げて来た。理屈はこうである:もしもっと高い金額を払ってくれる買い手が別にいるなら、どうしてこちらにわざわざ売ろうとするだろうか?確かに20万ドルはかなりの報酬で、企業が提供するバグ報奨金プログラムとしては最高額の1つだが、研究者が捜査機関やブラックマーケットから支払われる可能性のある金額に打ち勝つほどではない。例えば昨年12月にカリフォルニア州サンバーナディーノで起きた銃乱射事件に関わったサイード・ファルーク容疑者のiPhoneに侵入するために、FBIは噂によれば、ほぼ100万ドルを支払ったらしい。

バグ報奨金プログラムが、巨額の支払いを得ることにのみ関心があるハッカーを魅了することはほとんどない。現金のみが気になる相手が満足できる額をAppleが支払うことはないだろうとMongullは語った。しかし、世の中に対するインパクトを重んじる者にとっては、Appleからの小切手の持つ意味は全く違ってくる。「これは善い仕事を奨励するためのものです」とMogullは説明する。

Apple製品をクラックするために雇われた、Apple自身の侵入テスト担当者たちからの報告にも影響を受けて、Appleの幹部の考え方は変わった。脆弱性を発見することは、社内テスターであるか外部の研究者であるかを問わず、より困難になって来ているため、もはやバグ報告のためにより多くのインセンティブを提供すべき時なのだとAppleは語っているのだ。

「Appleは明らかに、内部では膨大な時間を使い、最も優秀な者を投入して努力をしてきました。それでも『脆弱性の発見はますます難しくなって来ている』という声が上がっているのです、彼らは『セキュリティへの対応をさらに推し進めたいという願いのためには、壁を乗り越えて外へ広げることが大切だ』と言っています」こう話すのはコンシューマーテクノロジーの研究者Ben Bajarinだ。「これは、彼らがこれまでやってきたセキュリティ作業の拡張です」。

脆弱性の発見と侵入が困難になるにつれ、Appleは研究者たちに、より深い仕事をしてもらうための奨励手段の必要性を感じている。研究者への開放は成果につながることが多い、と語るのはバグ報奨金プログラムHackerOneの共同創設者であるAlex Riceだ。

「バグ報奨金プログラムを開始して、それまで知らなかった脆弱性を発見できなかった会社はありません」とRiceは語る。「バグ報奨金プログラムを始めると、簡単な脆弱性は全て取り除かれ、ベストプラクティスに従うことになります。しかしそれでは十分でないことも彼らは知っています」。

Appleの招待者限定のバグ報奨金プログラムは、これまで同社に対して貴重な脆弱性の情報を報告した研究者に対してのみ適用される。このバグ報奨金プログラムの計画段階でAppleは他の企業に意見を求め、もし報奨金システムを一般向けのものにすると、大量のレポートの処理がリスクの高い脆弱性を埋もれさせてしまうだろうと結論付けたからである。

とはいえ、Appleは有益な情報を伝えてくれる新しい研究者に背を向けるつもりではなく、徐々にプログラムを拡大する予定だ。

9月に始まるプログラムは、リスクと報酬に応じて5つのカテゴリーに分かれている:

  • セキュアブートファームウェアコンポーネントの脆弱性:20万ドルまで
  • Secure Enclave(チップ内部のセキュリティ領域)から機密情報の抽出を可能にする脆弱性:10万ドルまで
  • カーネル権限による任意または悪意のあるコードの実行:5万ドルまで
  • Appleのサーバ上のiCloudアカウントのデータへのアクセス:5万ドルまで
  • サンドボックス外のユーザデータへの、サンドボックスプロセスからのアクセス:2万5000ドルまで

報奨金受領の資格を得るためには、研究者は最新のiOSとハードウェア上で証拠を示す必要がある。脆弱性のそれぞれのカテゴリの最高額は示されたものまでだが、Appleは正確な報奨金の額を様々な要素を勘案して決定する。脆弱性レポートの明晰性、問題の新規性と利用者の遭遇確率、そして脆弱性につけ込むために必要な手順の複雑さの程度などだ。

更に珍しい試みだが、Appleは研究者たちが報奨金を慈善団体へ寄付することを奨励する手段を計画している。Appleが研究者の選択した団体を承認した場合、Appleが同額を更に拠出するというものだ – つまり20万ドルの報奨金が40万ドルになるのである。

[ 原文へ ]
(翻訳:Sako)

ゼロデイ脆弱性の‘発見者’たちを雇ってMacのセキュリティを確保したApple

macbook-pro-2013

Thunderstrike 2を、おぼえておられるだろうか? 昨年の夏にXeno KovahとTrammell Hudsonが発見したOS Xの深刻なゼロデイ脆弱性は、マルウェアの作者がユーザーのMacを完全な煉瓦の塊(ないし‘文鎮’)にしてしまい、工場出荷時の状態にリセットする方法もない。Appleは、その脆弱性をフィックスしただけでなく、この悪行の背後にいた人たちを雇用して、セキュリティ対策に当たらせることにした。

Thunderstrike 2は、Ethernetアダプタや外付けDVDドライブなどのThunderboltデバイスに感染する。感染したThunderboltデバイスを接続したままでMacをリブートすると、MacのファームウェアはそのThunderboltアクセサリ上のオプションROMを実行してからOS Xをブートする。するとMacのファームウェアが煉瓦になり、Macは使用不能になる。

いちばん厄介なのは、アクセサリの感染はずっと残るので、今後、煉瓦状のMacがいくらでも量産されてしまうこと。Appleとしても早急な対策が必要な、強力で悪質なマルウェアだった。

2015年11月にTrammell Hudsonは、Appleが32C3カンファレンスでLegbaCoreを買収したことを公表した。Xeno Kovahも、今Appleで仕事をしていることを確認した:

[Appleは何のためにわれわれを雇ったのか? それは、言えない。“低レベルのセキュリティ”のため、ぐらいは言えるかな(今の自分の肩書を知らないんだ)。]

セキュリティコンサルタント企業のLegbaCoreは、新しい顧客の受け入れを停止した

それが本当の買収だったのか、それともLegbaCoreを支える二人の人物を雇っただけなのか、よく分からない。KovahとHudsonはLegbaCoreの仕事を続けることができず、フルタイムでAppleの仕事をしているようだ。

Appleが、これらのセキュリティエキスパートを雇用したことは、理にかなっている。セキュリティホールを、それが一般的に知られる前にハッカーを雇って直してしまうテク企業は少なくない。製品のセキュリティを確実にするためには、とても良い方法だ。

出典: Mac Rumors

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Macを完全なガラクタにしてしまうゼロデイエクスプロイトが発見された

macbook-pro-2013

またまたBlack Hatが喜びそうな話題。新しいゼロデイエクスプロイトが見つかり、われわれが日常的に使っているコンピュータ製品の弱点を、あらためて思い知らされている。今度のはXeno KovahとTrammell HudsonがOS Xに見つけた深刻なゼロデイ脆弱性で、マルウェアの作者はこれを悪用して、Macを完全にフリーズさせることができる。その際、Macを工場出荷時の状態に初期化することもできない。AppleはThe Guardian紙に、今YosemiteとEl Capitanの両方で対策中だ、と語っている。

このゼロデイエクスプロイトはThunderstrike 2と呼ばれ、接続されているThunderboltアクセサリ…Ethernetアダプタや外付けハードディスクなどを利用してMacのファームウェアを攻撃する。そのマルウェアはフィッシングメールや悪質なWebサイトからコードを受け取り、Thunderboltアクセサリを見つけるとそのオプションROMをフラッシュする。

感染したThunderboltアクセサリが接続された状態でMacをリブートすると、OS Xをブートする前にEFIがオプションROMを実行する。このオプションROMは感染しているから悪質なコードを実行してEFIも感染させ、MacのファームウェアがOS Xのブートを拒絶し、Macを何もできない金属片にしてしまう。ファームウェアがやられてしまったら、OS Xの立ち上げも、ファームウェアのアップデートも、悪質なコードの除去も、すべてできない。

このゼロデイ脆弱性の強みは、Thunderboltアクセサリがずっと感染状態であることだ。だからたとえばEthernetアダプタを新しいMacに接続したら、そのMacもリブート時に感染する。インターネット上で拡散するマルウェアほど有害ではないが、会社などでMacを使ってる場合は深刻な被害になることもある。

Stefan Esserが先月見つけたもうひとつのエクスプロイトは、DYLDと呼ばれる。こちらは犯人がroot特権を持ってしまうから、ハードディスクをフォーマットされてしまったり、あるいはお金にかかわる被害が生じたりすることも、ありえる。

Malwarebytesが見つけたDYLDの悪用例は、あるアドウェア作者によるもので、rootパーミッションを取得したらスクリプトを実行して大量のアプリケーションをインストールする…それらは、アドウェアのVSearchやGenieo、ジャンクウェアのMacKeeperなどだ。また、Download Shuttleをインストールせよ、というプロンプトが無限回出るので、Mac App Storeを利用できなくなる。

AppleはEl CapitanのベータではDYLDをフィクスしたが、今のYosemiteはまだだ。このエクスプロイトを悪用するアプリケーションをマルウェアのブラックリストに加えたが、それは一時的な安心材料でしかない。OS X YosemiteもOS X El Capitanベータも、いずれはセキュリティパッチが発表されるだろう。でも当面は、何かをダウンロードするとき用心すること、そしてMacをリブートする前には必ず、すべてのThunderboltデバイスを外すことが重要だ。万一に備えて。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa