1994年、インターネットが人々の生活に広く行き届くはるか前に、とあるハッカーがイギリスからニューヨークのアメリカ空軍開発センター(NASA)のシステムを襲撃するという事件が起こりました。
そのハッカーは、瞬く間に複数のシステムに侵入し危険にさらし、被害はアメリカ航空宇宙局(NASA)にとどまらず、100以上の機関にまで及んだと言われています。
当時、このサイバー攻撃の被害規模甚大さに加え、そのハッカーが当時16歳の少年だった事も世界に衝撃を与えました。
たった一人の少年が、僅かなコストで国家の中枢に対して易々と攻撃をしかけたこの事件は、その後のサイバー攻撃の大規模化・高度化を宿命づける象徴的な事件だったと言えます。
実際、IT革命以降のインターネットの普及の歴史は、無遠慮に大規模化かつ高度化していくサイバー攻撃との闘いの歴史でもありました。
「サイバー戦争が始まっている時代にもかかわらず、私たちが依存しているITシステムは無防備のままだ」
カスペルスキーCEO ユージン・カスペルスキー
近年のサイバー攻撃の事件の数々を見る度に、悪意を持った(あるいは、善意に満ちすぎた)ハッカー達によるサイバー攻撃からは、大企業はおろか国家機関すらも、あまりにも脆弱なもののようにも見えます。
ITが人々の生活の隅々まで行き渡って久しい今日、人々はどのようにインターネットの安全を守っていくべきなのでしょうか。
悪意あるハッカーよりも早く脆弱性を見つけるために
2000年頃になると、サイバー攻撃の規模や頻度が増大し、各企業が単体で対応する事が現実的でなくなります。
そこで、各企業や政府は協力して、業界横断的なサイバーセキュリティのカンファレンスが組成されるようになります。
官民や業界の垣根を超えて、世界中のセキュリティ専門家が脆弱性情報や知見を共有し一般公開する事で、インターネットの安全向上を図るという目論見です。
その中のひとつに、世界約 80 カ国約 3,000 名のセキュリティ研究者が参加するZDI(Zero Day Initiative) というサイバーセキュリティコミュニティがあります。2007年にZDIは、よりセキュアなインターネットの環境のために Pwn2Ownというハッキングのコンテストを開催しました。
システムの安全性を確保するためには、「脆弱性が攻撃者に悪用される前に修正する」事が重要であるため、賞金を出す事で世界中のセキュリティ研究者に脆弱性を見つけてもらうという事は、非常に有効だと考えられています。これまでも数多くの企業がハッカーを雇い、彼らにシステムの脆弱性を見つけてもらう対価として高額な報酬を支払うというケースはよくありました。
世界最大のハッキングコンテストPwn2Own
年2回開催されるPwn2Ownでは、いわゆるホワイトハッカー達が、制限時間内で様々なソフトウェアやオペレーティングシステムに対し、脆弱性を突き、侵入するという課題が与えられるのですが、その課題を提供する企業の顔ぶれがすごいのです。
2019年のバンクーバー大会では、Microsoft Edge、Teslaのモデル3、Amazon Echo、FacebookのスマートディスプレイPortalなどがハッキングの課題として登場しました。
現在、Pwn2Ownは、名声と莫大な賞金を求めて世界中のホワイトハッカーが参加するの世界最高峰のハッキングコンテストに成長しています。
最も多くの攻撃を成功させたホワイトハッカー
その中でも近年、圧倒的な実力を見せつけているのが、Amat Cama(アマト・カマ)とRichard Zhu(リチャード・チュー)の2人から成るTeam Fluoroacetateです。
2019年のバンクーバー大会では、彼らは参加チームの中でもっとも多くの攻撃に成功して優勝しています。この大会での彼らの実績を見てみましょう。
【 Safari 】
整数オーバーフローとヒープオーバーフローを用いてサンドボックス機能を回避し、ブルートフォースなどを実行し乗っ取りに成功。報奨金は55000米ドル。
【Firefox】
JITバグを突いて、乗っ取りに成功。許可されていない領域のメモリに書き込むを行うことも達成。報奨金は5万米ドル。
【Microsoft Edge 】
VMWare上で動作するMicrosoft Edgeを経由してWindowsホストの破壊に成功。報奨金は13万米ドル。
【Tesla 】
JITのバグを突いて乗っ取りに成功。さらにWebブラウザに自分たちのメッセージを表示させることにも成功。報奨金3万5000米ドルに加えてTesla Model 3を獲得。
Fluoroacetate はこの大会で総額37万500ドル(+ Tesla Model 3 )を獲得しています。 大会後、イーロン・マスクがツイッターで「About to be upgraded to Chromium」 と発言するなど、この大会がいかにIT業界にとって重要な役割を果たしているかが伺えます。
見ているだけでも知的好奇心が刺激されるPwn2Own!
さて、これらのサイバー攻撃はかなり、特殊な領域であるため、誰しもが精通する必要はありませんが、サイバーセキュリティのトレンドに追いつくためにも、すべてのエンジニアにとって最低限の知識は必要だと言えます。
そこまで難しく考えなくても、世界最高峰のホワイトハッカー達が腕を競い合うPwn2Ownは、知的好奇心を刺激する特別な大会です。気軽に参加するだけでも多くのモノが得られると思います。次の大会は3月18日から3月の20日まで、バンクーバーで開催されます。お時間のある方は会場に足を運んでみては如何でしょうか?会場にいかなくても大会結果は随時Youtube にアップされるので是非、チェックしてみてください!