2人のセキュリティ研究者が、年に一度の著名なハッキングコンテスト「Pwn2Own」を席巻し、Tesla Model 3を含む37万5000ドル(約4100万円)の賞金を手にした。このTesla車のインフォテインメントシステムが持つ脆弱性を、みごとに暴き出したことに対する報奨だ。
今年Teslaは、新しいModel 3セダンをPwn2Ownに供出した。自動車自体がこの競技に出されたのは初めてのこと。Pwn2Ownは、Trend MicroのZDI(Zero Day Initiative)によって運営されていて、今年で12年目となる。ZDIは、この企画に対して、これまで累計で400万ドル(約4億4000万円)以上の賞金を提供してきた。
この2人組のハッカー、Richard Zhu氏とAmat Cam氏は、チームFluoroacetate(フルオロアセテート)として知られている。ZDIによると、彼らは車に乗り込んで「集まった観客をワクワクさせた」。たった数分のセットアップ作業のあと、彼らは探索がうまくいったことをModel 3のウェブブラウザーに表示したのだ。
2人は、レンダラーのJITバグを利用してメッセージを表示した。そして、車そのものに加えて賞金も獲得した。わかりやすく言えば、JIT、つまりジャスト・イン・タイムのバグは、メモリ上のデータのランダム化をバイパスしてしまうもの。そのために、保護されるべき情報が露見してしまう。
Teslaは、このハッカーによって発見された脆弱性を修正するソフトウェアのアップデートをリリースすると、TechCrunchに語った。
「私たちが、Model 3を、この世界的に有名なPwn2Ownコンペに参加させたのは、セキュリティ研究コミュニティの中でも、最も優秀なメンバーに興味を持ってもらうためです。そして、このような特別なフィードバックが得られることを願っていました。今回のコンペでは、研究者は車載のウェブブラウザーに潜む脆弱性を指摘してくれました」と、Teslaは電子メールで伝えてきた。「私たちの車は、何層にもなったセキュリティ機能を備えています。それらは設計した通りに機能し、今回のハッキングのデモも、ブラウザーの表示だけに留めることに成功しました。その他の車の機能はすべて保護されていました。近日中に、今回の研究者の発見に対応するソフトウェアのアップデートをリリースするつもりです。今回のデモには、並はずれた努力と技術が必要だったことを理解しています。そして、彼ら研究者たちの仕事が、私たちの車が今日最も安全な乗り物であることを保証し続けるために役立っていることを、彼らに感謝します」。
Pwn2Ownの春の脆弱性研究コンペ、Pwn2Own Vancouverは、3月20日から22日まで開催された。今年は以下の5つのカテゴリに分かれていた。それらは、ウェブブラウザー、仮想化ソフトウェア、エンタープライズアプリケーション、サーバサイドソフトウェア、そして新たに追加された自動車だ。
今回Pwn2Ownは、AppleのSafari、MicrosoftのEdgeとWindows、VMwareのWorkstation、MozillaのFirefox、そしてTeslaなど、全部で19個の特徴的なバグに対して、総額54万5000ドル(約6000万円)を授与した。
Teslaは、ハッカーコミュニティとの協力関係を公にしている。その関係は、同社が2014年にバグに対する報奨金制度を開始してから続いている。それ以来、年々促進、強化されてきた。
昨年、同社は報酬の最大支払額を、1万ドル(約110万円)から1万5000ドル(約165万円)に引き上げ、同社のエネルギー関連製品も、その対象に追加した。今では、Teslaの車両、同社が直接ホストしているすべてのサーバー、サービス、そしてアプリケーションが、その報奨金制度によってカバーされている。
[原文へ]
(翻訳:Fumihiko Shibata)