あなたのお気に入りのブラウザがさっきハックされた、でもご安心を

次の記事

ロイター通信社、中国から閲覧不能に

browsers

あなたの“お気に入り”のブラウザがどうやってぼくに分かるのか? でも、実はそんなことはどーでもよい。人気上位の4つのブラウザ、ChromeとInternet ExplorerとFirefoxとSafariがどれも、先ほど、見事にやられてしまったのだ。

今週(3/15-21)は今年の(第8回の)Pwn2Ownが開かれ、世界中から集まったセキュリティの研究者たちが、その腕前を競った。今回の勝負は、人気ブラウザの最新のビルドをいためつけること。成功すると巨額の賞金がもらえる。

ただし、その手口の詳細は、ブラウザのメーカーがその穴にパッチを当てるまでは公開されない。だから、あなたをはじめ、一般ユーザが被害に遭う可能性は限りなく小さい。

たとえばMozillaは、Firefoxのパッチを今日(米国時間3/20)じゅうに当てる、と言っている。ほかの3社は、本誌からの問い合わせにまだ返事をくれない。

Pwn2Ownにおける、ブラウザ侵犯(エクスプロイト, exploit)の定義は簡単明瞭で、“プログラムの標準的な実行パスを変えて、任意の命令を実行可能にすること”、だ。

言い換えると、ブラウザのセキュリティを破って、想定外のコードを実行させること。ただし、そのエクスプロイトはユーザとの対話をしてはいけないが、“ユーザが悪質なコンテンツを閲覧するために必要なアクション”、なら許される。

挑戦者は、自分がまだ触ったことのないマシンの上で30分の時間を与えられる。各マシンの上のオペレーティングシステムは、完全にセキュリティパッチが当てられている。というよりバグは数日間/数週間にわたる調査研究の結果見つけたものであり、当日のわずか30分で見つけるというものではない。

各ブラウザの結果はこうだった:

  • Internet Explorerでは4つのバグが見つかった(Windows 8.1上)
  • Mozilla Firefoxでは3つのバグが見つかった(Windows 8.1上)
  • Safariでは2つのバグが見つかった(OS X Yosemite上)
  • Chromeでは1つのバグが見つかった(Windows 8.1上)

(注記: “ふん!ぼくはOperaを使ってるもんね!”と言いたいあなた、Operaは2013年5月以降Chrome/Chromiumがベースなのだ。ChromeのバグはOperaにも影響を与えるだろう。)

なお、このカンファレンスに集まった研究者たちは、Adobe ReaderとFlashとWindowsに対するエクスプロイトもデモした。

Chromeに1つだけ見つかったバグは、このコンテスト始まって以来の最高賞金額11万ドルを獲得した。Chromeは犯しにくいブラウザとして悪名高いので、これまでも賞金額は最高だったが、今回は研究者のJungHoon Leeが、そのボーナスをもらうことになった。内訳は、バグを見つけたことに75000ドル、自分のコードをシステムレベルで走らせたことに25000ドル、そしてそのバグがChromeのベータビルドにもあったために追加の10000ドルだ。

JungHoonは、Safariのバグの発見にも貢献して50000ドル、IE11でも貢献して65000ドルを獲得し、一日で22万5000ドルを稼いだ。悪くない一日だったね。

2日間のコンペで、総額55万7500ドルが賞金として支払われた。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa