Ubuntuだけが生き残ったPwn to Ownコンテスト
このコンテストは、TippingPoint社のDigital Vaccine Laboratoriesがスポンサーとなり、同社が新たなバグの検出およびレポーティングのために実施しているZero Day Initiativeプログラムの一環として開催された。コンテストの告知は数週間前に済んでいたが、明確なルールと賞金の増額が発表されたのはカンファレンスのわずか2日前だった。
コンテストの参加者は、攻撃の対象を3台のノートPC(Ubuntuを搭載したVAIO VGN-TZ38CN、Vista Ultimate Service Pack 1搭載の富士通UB810、OS X 10.5.2搭載のMacBook Air)から自由に選ぶことができた。各OSは最新バージョンであり、その時点で利用可能な最新のセキュリティアップデートが適用されていた。
CanSecWest開催中の3日間、サインアップを済ませたクラッカーたちには自作のエクスプロイトを試す30分の時間枠が与えられた。ただし混乱を避けるために、1つの時間枠では1件のみ利用可とされた。目的は、ゼロデイ攻撃(未知の脆弱性を利用した攻撃)によって、ノートPC上の特定のファイルの内容を読み取ることだった。それぞれのノートPCのクラッキングに最初に成功した者には、そのPCと賞金が贈られることになっていた。
コンテストの課題に対する関心の幅を拡げるため、技術的な難易度を段階的に低くする(それに合わせて賞金の額も下がる)というルールが定められた。カンファレンス初日は、ユーザによる操作を一切伴わないリモートの脆弱性だけが対象となり、賞金は20,000ドル。2日目は、任意の標準アプリケーションからの攻撃、また電子メール、インスタントメッセージング、Webブラウジングなどによるフィッシング攻撃も可能だが、賞金は10,000ドルに減額される。最終日には、著名なサードパーティ製アプリケーションが各マシンに追加され、それらを介した攻撃も可能になるが、賞金は5,000ドルとなる。こうしたルールにより、クラッカーたちは最も重大と考えられる脆弱性から順に取り組むことになる。
クラッキングされたマシンは、その時点でコンテストの対象から除かれる。また、あるマシンのクラッキングに成功した者が残りのマシンを対象として攻撃を続けることは可能だが、複数のマシンに対してクロスプラットフォームの脆弱性を利用することはできない。
クラッキングの成功
カンファレンス2日目の正午過ぎ、Independent Security Evaluatorsのチームが最初のクラッキングに成功した。メンバーであるCharlie Miller氏、Jake Honoroff氏、Mark Daniel氏はWebブラウザSafariの脆弱性を利用してMacBook Airのセキュリティを破り、10,000ドルを獲得した。
続いてのクラッキング成功は、CanSecWestの閉幕間近となった3日目の午後6時、Security ObjectivesのShane Macaulay氏がDerek CallawayとAlexander Sotirovの両氏の協力によって成し遂げた。昨年のコンテストの勝者チームにもいたMacaulay氏はAdobe Flashの弱点を突いてVistaノートPCを落とし、5,000ドルを獲得した。
Macaulay氏によるクラッキング成功の直後にカンファレンスは終了し、Ubuntuマシンだけがクラッキングされることなく残った。
なお、クラッキングに使われた方法の詳細は不明である。というのも、賞金獲得者は守秘義務契約書へのサインが求められ、パッチが作成されるまでは利用した脆弱性の内容を公言できないためだ。
勝者が採った方針と参加の動機
Macaulay氏はカンファレンス中もその後もコメントを差し控えている。一方、Miller氏はLinux.comに対し、Macaulay氏がクラッキングを成功させたエクスプロイトの試行時期について語ってくれた。
「テレビや何かでは、ハッカーが席に座って数秒でシステムのセキュリティを破ってしまう。だが、現実は違う。今回のコンテストは1か月前に告知され、そのうえで私とチームのセキュリティ担当者が参加を決めたというのが実際のところだ」
「我々がMacを選んだのは、単純に一番落としやすい標的だからだった。これまでにも調査したことがあるが、Macを調べるとそのたびに何らかの問題が見つかる。ほかのシステムでは、そううまくは見つからないのが普通だ。だから、これまでで問題の見つかりやすかったものを狙うことにした」
Miller氏によると、今回のコンテストは注目を集めていたにもかかわらず、実際に課題に取り組んだ参加者はほんのわずかだったという。「基本的に勝算のない人がコンテストに参加することはない。我々のように3週間前に参加を決めた人々は皆、何らかの弱点が見つからなければ参加しなかったはずなので、何人がクラッキングを試みて何人が失敗したかは把握できない。ただわかるのは、そうやって参加を決めた人はクラッキングできると思っていたということだ」
Miller氏は、このPwn to Ownコンテストに参加した理由を、自身の腕試しとセキュリティへの貢献のためと話している。「競争心が強い性分なのだが、そういう気持ちを満足させられる機会はあまりない。そしてもちろん、我々にはセキュリティの向上に貢献できるスキルがある。今回のコンテストは、そうしたスキルを積極的に活かせる機会だった。このコンテストがなかったとしたら、我々がバグを探すことはなく、このバグが修正されることもなかっただろう」
コンテストの結果が意味するもの
自分の使っているオペレーティングシステムに強く肩入れしているユーザの存在を考えると、今回のCanSecWestコンテストの結果によってOS論争が激しさを増すことは明らかだ。この記事を書いている間にもFedoraのメーリングリストに「Linuxこそが王者!」という投稿が届き、ほかのOSを支持したり擁護したりする者がインターネットじゅうのブログに投稿を寄せ始めている。
Mac OS XとVistaの支持者はきっと、Ubuntuシステムがクラッキングされずに残ったのは詳しい知識を持っている人が少ないからにすぎない、と主張するはずだ。GNU/Linuxユーザはこれに対し、自分たちの選んだOSがアーキテクチャ的にセキュリティ性が高いという周知の事実がコンテストの結果によって再確認された、と主張するだろう。
しかし、いずれの結論も証拠が不十分で説得力に欠ける。もっと単純に、次のような説明も可能である。Ubuntu 7.10はリリースから半年が経っていてそれだけテストおよびパッチの取り組みが十分に行われていたが、一方のOS X 10.5.2とVistaのService Patch1はどちらもまだ6週間前にリリースされたばかりで脆弱性への対処が十分でない、というものだ。
同様に、セキュリティを実現する側にとっても、Ubuntuがクラッキングされずに残ったという事実はあまり重要ではない。むしろ、一般的なシステムの脆弱性よりもフィッシングやサードパーティ製アプリケーションが鍵になったという点のほうが重要である。
クラッキングの傾向を知りたいという誘惑にかられるが、今回のコンテストは結論を導くには規模が小さすぎる。肝心なのは、コンテストによって2件のバグが明らかになったという点ではなく、セキュリティに対する人々の関心を高めることに成功したことだ。それは詰まるところ、このカンファレンスのテーマでもあった。
Bruce Byfieldは、Linux.comとIT Manager’s Journalに定期的に寄稿しているコンピュータジャーナリスト。
