韓国人の若者ハッカーの独壇場に!
AppleのSafari、GoogleのChrome、MicrosoftのInternet Explorer、MozillaのFirefoxは世界4大ブラウザだが、3月18〜19日にカナダで行われた世界で最も有名なハッカーコンテスト(コンペ)のうちの1つ"Pwn2Own"において、これらの全てが2日目までにそのセキュリティ保護が破られる結果となった。
Single Hacker earns $225,000; All Major Browsers, Adobe reader, Flash Hacked at #Pwn2Own http://t.co/loZc1dDVjL pic.twitter.com/LK14bzASJp
— The Hacker News (@TheHackersNews) 2015, 3月 22Pwn2Own成果まとめ
the hacker newsで報告されている今回のPwn2Ownの成果は以下の通り。
・5つのバグ:Windowsオペレーティングシステム
・4つのバグ:Internet Explorer 11
・3つのバグ:Mozilla Firefox
・3つのバグ:Adobe Reader
・3つのバグ:Adobe Flash
・2つのバグ:Apple Safari
・1つのバグ:Google Chrome
・全部で$557,500 USD(約6,692万円)が賞金として支払われた
Pwn2Own 2015では韓国のセキュリティ研究者lokihardtことJung Hoon Leeの独壇場に
今年のPwn2Own 2015では、韓国のセキュリティ研究者Jung Hoon Lee(ニックネーム: lokihardt)が大活躍し、Pwn2Own史上一人で最高額の賞金を手にした。殆ど彼の独壇場だったと言っても過言ではないだろう。その中にはたった2分で11万米ドル(約1,320万円)稼いだというのがある。
■lokihardtことJung Hoon Lee
Leeはまずベータ版のGoogle Chromeをバッファオーバーフローレースコンディションバグによって攻略し、75,000米ドル(約900万円)の賞金をゲットした。
そして上記と同じバグによって、Leeは2つのWindowsのカーネルドライバ(kernel drivers)に情報リークとレースコンディションをターゲットにすることによってシステムアクセスをすることに成功し、更に25,000米ドル(約300万円)という賞金を得た。上記のベータ版のGoogle Chromeのセキュリティシステムを破ったことで、GoogleのProject Zeroが更にLeeに10,000米ドル(約120万円)の賞金を与えたため、上記全てを合計すると11万米ドル(約1,320万円)ということになる。これらの作業はたった2分間で行われた。
「lokihardtは2分のデモンストレーションで、一秒あたりに換算するとざっと916米ドル(約11万円)を稼いだ」とHPのセキュリティリサーチチームは木曜のブログ記事に書いている。「あれはまさに"Wow"だけじゃ足りないような時間だった」
Leeは更にその日2分間の奇跡を起こす前にも、64ビットのInternet Explorer 11をtime-of-check to time-of-use (TOCTOU) という脆弱性を使ってブラウザ上でアクセスしたファイルの読み書きが可能となる特権を得ることに成功し、そのことで65,000米ドル(約780万円)の賞金をもゲットしていた。彼はJavaScript埋め込みのSandbox回避によってWindowsの防御メカニズムを回避したのだった。
そしてuse-after-free exploitと分離Sandbox回避方法によって、Leeは更にAppleのSafariブラウザをも攻略して50,000米ドルの賞金をもぎ取り、LeeがPwn2Ownコンテストで最終的にゲットした賞金額はなんと225,000米ドル(約2,700万円)にものぼった。
画蛇添足 One More Thing
4つのブラウザのうち、Safari、Internet Explorer、Chromeの3つがLeeによって破られる結果となった今回のPwn2Own。
中国の活躍がなかったのがちょっと残念だが、素直にこの素晴らしい韓国出身の、秒速で11万円を稼ぎ2分で1,320万円、全部で2,700万円の賞金を手にした若き天才、lokihardtの活躍をたたえたいと思う。
韓国は人口が少なく、外に道を求めるしかないというところが、世界的に優れた人物を多く生み出す原動力になっているように思える。
そして悲しいかな、日本人は完全に蚊帳の外だったりする。。情けない話。
今回のPwn2Ownハッカーコンテストの成果が、いずれiOS脱獄にも応用されることを祈りたい。
記事は以上。
(記事情報元:The Hacker News)
---------- 小龍茶館オススメ製品 ----------
■私も開発に関わっている、究極のiPhone5s/5c/5用カバー"Palmo(パルモ)"!
・【安全】セクシーでスタイリッシュな外観なのに、落としてもしっかり四つ角を守ってくれる!
・【安定・安心】指を挟んで固定できるから、安定した片手でのラクラク操作を実現。電車の中、寝ながらの操作が楽に!自撮りもやりやすくなって安心!
・【コダワリのデザイン】iPhone本来のデザインと生の触感を大事にしたい、つけない派のあなたにもぜひオススメ!
■私も使っています!塗るだけでスマートフォンの液晶ガラスを水晶化して保護!【クリスタルガード・ガラスアーマー】
論より証拠!この記事で私自身もiPhone 6 Plusへの塗布後の実証実験を行っています。
■私も使っています!無線LANルータならこれに決まり!最強ギガビット・フルスペック・フラッグシップモデル【NEC Aterm WG1800HP2】
NEC2014-10-09
■私も使ってます!軽くて使える大容量モバイルバッテリー!【Cheero Power Plus3】
バッテリーがもたない昨今のスマートフォン。モバイラーにとっては外出時には必須のモバイルバッテリー。どうせ使うなら、いいものを!
実績と信頼のCheero製で、安全の日本製電池使用。
大容量13,400mAhなのに、先代のCheeroよりもサイズを20%カット。iPhone6を4回充電可能。
2.4Aの出力もあり、2Aでの充電も可能。それでいてこのお値段!
発売当初人気絶頂で高額転売が続いたが、適正価格で買えるようになったのでご紹介。
■私も使ってます!MacBook Pro/AirのSSD容量が足りない人へ、SDカードスロットにジャストフィットのソリッドディスク【PNY StorEDGE Fit SDスロット disk】。
MacBook Pro/AirのSSDの換装が非常にお金がかかるが、これならある程度手軽に増量可能。Airだとほんの少しだけ出っ張るだけで邪魔にならない。Proだと出っ張りが大きくなるので注意。