TokyoBlackHatNews

darkreading.com 4分で読了

Pwn2Ownが安全な開発への懸念を浮き彫りに

Image

Westend61_ GmbH(Alamy ストックフォト経由)

今年のPwn2Ownの本当の謎は、ハッカーがいくつバグを見つけるかや、いくら稼ぐかではありません。特定のハッカーと、その人物が発見したと主張するWhatsAppのゼロクリック脆弱性が本物かどうかにあります。

今週、セキュリティ研究者たちはアイルランドに集まり、Pwn2Ownに参加しました。ここでは研究者たちが様々なデバイスの攻略を競い、賞金を争います。このハッカソンは2007年に始まり、トレンドマイクロのZero Day Initiative(ZDI)が主催しており、研究者とベンダー間の協調的な脆弱性開示の推進を目的としています。研究者とベンダー間の連携を促進します。ZDIは仲介者として、研究者が大会で使用した脆弱性の詳細をベンダーに開示する手助けをします。

主要な脆弱性カテゴリは、開発ライフサイクル全体にセキュリティを組み込むという業界が直面している継続的な課題を浮き彫りにしました。

今年の大会には15カ国から参加者が集まり、10月21日から24日まで、Samsung、QNAP、Metaのアプリケーションやデバイスに挑戦しました。Samsung GalaxyのハッキングやMeta Questの脆弱性攻撃は、トレンドマイクロの脅威認識責任者であるダスティン・チャイルズ氏が主催者兼参加者として特に注目しているイベントです。Meta Questはバーチャルリアリティヘッドセットのシリーズです。

このことが彼の興味を引き、「何を攻略するのか?」「参加者はどうやってその過程を見ることができるのか?」といった疑問が湧いたとチャイルズ氏は語ります。

今年のPwn2Ownで話題となっているのはWhatsAppであり、Metaの暗号化メッセージアプリに対するゼロクリック脆弱性を持つと主張する研究者が実際に現れて100万ドルの賞金を手にするのかどうかです。トレンドマイクロは野生下で様々なWhatsAppの脆弱性を観測しており、このアプリは高度な攻撃者によく狙われています。そのため、ユーザーの操作なしでアプリを攻略できる脆弱性は非常に重要です。この謎の人物は主催者に飛行機のチケットを購入し向かっていると伝えましたが、実際に握手するまでは安心できないとチャイルズ氏は話します。

「まだ多くの疑問があります」とチャイルズ氏は言います。「私は興味津々ですし、みんなもそうです。この人物は誰なのか?本当に(脆弱性は)実在するのか?Metaの人たちもここにいて興奮しています。これはハイライトです。」

私たちはいまだに「古いバグ」に対処している

これまで大会で研究者たちが使ってきた脆弱性の種類について尋ねられると、チャイルズ氏はスタックベースのバッファオーバーフローとヒープベースのバッファオーバーフローをトップ2の脆弱性カテゴリとして挙げました。どちらも現時点では回避可能な脆弱性と考えられています。ベテランのPwn2Own参加者も新人も、バッファオーバーフローやインジェクション脆弱性を攻略の一部として利用しており、これらの問題が製品にどれほど蔓延しているかを示しています。

「これらは私にとって、私たちがよく知っていて本来なら(製品化前に)発見し排除できるはずの古いバグです」とチャイルズ氏は警告します。「しかし、プリンター、NASデバイス、WiFiルーターなど新しいデバイスにも依然として存在します。エンタープライズ分野で以前から知られていたバグが、他の分野にも入り込んでいるのです。」

チャイルズ氏は、これらの脆弱性が依然として存在する理由を、安全なコード開発の問題にあると考えています。開発者が過去の失敗から学ばずに新しいデバイス向けのコードを書くためです。業界には、バッファオーバーフローのような容易に防げる問題を新しいデバイスがユーザーに届く前にテストするための確立された安全な開発手法が不足していると彼は付け加えます。

みんな仲良くできないの?

今年の大会には多くの新人が参加しているとチャイルズ氏は強調します。ベテランと新人の研究者が混在することで、家族の同窓会のようなコミュニティが生まれつつも、新しいエネルギーやアイデアももたらされています。今でこそお互いから学び合い、アフターパーティーで新しい脆弱性について語り合っていますが、以前はそうではありませんでした。

「数年前はチーム間の競争が非常に激しかった」とチャイルズ氏は言います。「敵対的だったとは言いたくありませんが、決して友好的ではありませんでした。今では非常に友好的で、異なるチームの人たちが互いに学び合っています。」

企業チームの参加が減少したことも変化の一因です。企業チームは今も存在しますが、以前ほど熾烈ではなくなったとチャイルズ氏は説明します。

「彼らは自分たちのスキルを示すために来ていますが、他の競争相手を貶めるためではありません」と彼は言います。「みんながお互いを高め合っています。これは素晴らしい変化だと思います。」

翻訳元: https://www.darkreading.com/vulnerabilities-threats/pwn2own-underscores-secure-development-concerns

ソース: darkreading.com
#Pwn2Own Berlin #Trend Micro #WhatsApp #サイバーセキュリティコミュニティ #セキュリティ脆弱性 #ゼロクリックエクスプロイト #ハッキングコンテスト #バッファオーバーフロー #安全な開発ライフサイクル #脆弱性開示ポリシー

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開