セキュリティ研究者がMacBook Airの侵入に成功--所要時間はわずか2分

文:Tom Krazit(CNET News.com) 翻訳校正:編集部2008年03月28日 17時20分

 セキュリティ研究者のチームが、セキュリティコンテストでSafariの未公開の脆弱性を利用して2分でMacBook Airのハッキングに成功し、賞金1万ドルを獲得した。

 毎年カナダで開催されるセキュリティカンファレンスCanSecWestがバンクーバーで開催され、その中で、TippingPoint主催のハッキングコンテスト「Pwn to Own」が行われた。IDG News Serviceはコンテストの開催中、セキュリティ企業Independent Security Evaluators(ISE)の研究者である、Charlie Miller氏、Jake Honoroff氏、Mark Daniel氏の3人によるハッキングを取材した。同チームは、コンテストの2日目にMacBook Airのハッキングに成功した。このコンテストでは、MacBook Airと、Windows VistaやUbuntu搭載機の間で安全性が競われた。

 26日のコンテスト初日には、いずれのシステムでもコードの実行に成功した者はいなかった。その日、ハッカーたちが使用できる技術は、OS自体に搭載されているネットワークを使用するだけの手法に限定されていた。しかし、2日目にはルールが変更され、悪意を持って作成されたウェブサイトに誘導したり、メールを開封させるなどの攻撃も可能になった。またハッカーたちは、ブラウザなど「デフォルトでインストールされているクライアント側アプリケーション」を標的にすることも可能になった。

 ISEの研究者チームは、あるウェブサイトにあらかじめ攻撃用コードを設定した上で、判定者らを同サイトに誘導した後、MacBook Airにアクセスし、ファイルを取り出した。TippingPointのDVLabsブログによると、同チームは、今回新たに発見されたSafariの脆弱性を利用してMacBook Airのハッキングに成功したという。

 同コンテストの規則には、優勝チームのメンバーは彼らが用いたテクニックに関する機密保持契約(NDA)に即座に署名するよう規定されており、その脆弱性は開発ベンダーにのみ開示される。TippingPointによると、今回の脆弱性に関する情報はすでにAppleに送られたという。

 2007年のコンテスト優勝者は、QuickTimeの脆弱性を突いて優勝した。Appleはコンテスト後2週間以内に、その脆弱性にパッチを適用した。この本稿掲載時には、まだVistaやUbuntu搭載機のハッキングに成功した者はいない。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]