Ubuntuだけが生き残ったPwn to Ownコンテスト：Security Incident Report（2/3 ページ）

[Bruce Byfield，Open Tech Press]

クラッキングの成功

　カンファレンス2日目の正午過ぎ、Independent Security Evaluatorsのチームが最初のクラッキングに成功した。メンバーであるチャーリー・ミラー氏、ジェイク・ホノロフ氏、マーク・ダニエル氏はSafariの脆弱性を利用してMacBook Airのセキュリティを破り、1万ドルを獲得した。

　続いてのクラッキング成功は、CanSecWestの閉幕間近となった3日目の午後6時、Security Objectivesのシェーン・マコーレー氏がデレク・キャラウェイとアレクサンダー・ソチロフの両氏の協力によって成し遂げた。昨年のコンテストの勝者チームにもいたマコーレー氏はAdobe Flashの弱点を突いてVistaノートPCを落とし、5000ドルを獲得した。

　マコーレー氏によるクラッキング成功の直後にカンファレンスは終了し、Ubuntuマシンだけがクラッキングされることなく残った。

　なお、クラッキングに使われた方法の詳細は不明である。というのも、賞金獲得者は守秘義務契約書へのサインが求められ、パッチが作成されるまでは利用した脆弱性の内容を公言できないためだ。

勝者が採った方針と参加の動機

　マコーレー氏はカンファレンス中もその後もコメントを差し控えている。一方、ミラー氏はLinux.comに対し、マコーレー氏がクラッキングを成功させたエクスプロイトの試行時期について語ってくれた。

　「テレビや何かでは、ハッカーが席に座って数秒でシステムのセキュリティを破ってしまう。だが、現実は違う。今回のコンテストは1か月前に告知され、その上でわたしとチームのセキュリティ担当者が参加を決めたというのが実際のところだ」

　「われわれがMacを選んだのは、単純に一番落としやすい標的だからだった。これまでにも調査したことがあるが、Macを調べるとそのたびに何らかの問題が見つかる。ほかのシステムでは、そううまくは見つからないのが普通だ。だから、これまでで問題の見つかりやすかったものを狙うことにした」

　ミラー氏によると、今回のコンテストは注目を集めていたにもかかわらず、実際に課題に取り組んだ参加者はほんのわずかだったという。「基本的に勝算のない人がコンテストに参加することはない。われわれのように3週間前に参加を決めた人々は皆、何らかの弱点が見つからなければ参加しなかったはずなので、何人がクラッキングを試みて何人が失敗したかは把握できない。ただ分かるのは、そうやって参加を決めた人はクラッキングできると思っていたということだ」

　ミラー氏は、このPwn to Ownコンテストに参加した理由を、自身の腕試しとセキュリティへの貢献のためと話している。「競争心が強い性分なのだが、そういう気持ちを満足させられる機会はあまりない。そしてもちろん、われわれにはセキュリティの向上に貢献できるスキルがある。今回のコンテストは、そうしたスキルを積極的に生かせる機会だった。このコンテストがなかったとしたら、われわれがバグを探すことはなく、このバグが修正されることもなかっただろう」