Pwn2Ownセキュリティカンファレンス開催--「Safari」が約10秒で陥落

　カナダ・バンクーバー発--2008年に「MacBook Air」を2分未満でハッキングして1万ドルの賞金を得たセキュリティ専門家が米国時間3月18日、今度は「Safari」に存在するセキュリティホールの攻撃に10秒ほどで成功し5000ドルの賞金を獲得した。

　Independent Security Evaluatorsで主席セキュリティアナリストを務めるCharlie Miller氏は、「Pwn2Own」と呼ばれるCanSecWestセキュリティカンファレンスのコンテストにおいて最新版のMac OSが稼働する「MacBook」を使用した。Pwn2Ownとは、コンピュータの制御を得ることを意味するハッカーの俗語である。

　Miller氏が2008年に発見したというセキュリティホールは、ユーザーに悪質なURLをクリックさせるだけで、攻撃者が遠隔からマシンの制御を得ることができるというものである。Miller氏はその手順を示してみせた。

　「容易ではないが、（Safariブラウザにおいて）1回クリックするだけでできてしまう」と同氏は述べた。

　コンテストの規則により、Miller氏はエクスプロイトの詳細を明かすことは禁じられている。同氏はこの日の操作予定を、コンテストに先立ちApple関係者らに伝えたと述べた。「無償で調査をしてもらったうえで、バグを修正できるのだから彼らは喜んでいる」と同氏は述べた。

　このコンテストを主催するのはTippingPointである。同社はエクスプロイトの詳細をAppleに通知し、それに対するパッチを開発する予定である。TippingPointは、主要なブラウザにおいて示された新しいエクスプロイト1件に対し5000ドル、主要なスマートフォンに対するエクスプロイト1件に対し1万ドルを提供する。

　Miller氏は以前、2007年に「iPhone」が発売された直後に、Safariのモバイル版のセキュリティホールを発見している。

　コンテストでは他に、ドイツのオルデンバーグ大学でコンピュータサイエンスを専攻する25歳の学生が、「IE 8」、Safari、「Firefox」におけるエクスプロイトを示し、1万5000ドルを獲得した。匿名を希望した同学生は、エクスプロイトを示すのに用いた「Sony Vaio」を与えられ、Miller氏も使用したMacBookを手にした。