Ubuntuだけが生き残ったPwn to Ownコンテスト：Security Incident Report（1/3 ページ）

OS X、Ubuntu、Vistaを標的に技を競い合ったCanSecWestで、Ubuntuマシンだけがクラッキングされずに残るという形で幕切れを迎えた。この出来事がもたらしたのは、UbuntuがセキュアでほかのOSがそうではないということなどではない。

[Bruce Byfield，Open Tech Press]

　今年も、自称クラッカーたちがCanSecWestカンファレンスで3台のノートPC（それぞれOS X、Ubuntu、Vistaが稼働）を標的として技を競い合った。先週、カナダのバンクーバーで3日間にわたって開かれたこのセキュリティカンファレンスは、Mac OS X LeopardとVistaの両マシンのセキュリティが破られるのを尻目に、Ubuntuマシンだけがクラッキングされずに残るという形で幕切れを迎えた。

　このコンテストは、TippingPoint社のDigital Vaccine Laboratoriesがスポンサーとなり、同社が新たなバグの検出およびレポーティングのために実施しているZero Day Initiativeプログラムの一環として開催された。コンテストの告知は数週間前に済んでいたが、明確なルールと賞金の増額が発表されたのはカンファレンスのわずか2日前だった。

　コンテストの参加者は、攻撃の対象を3台のノートPC（Ubuntuを搭載したVAIO VGN-TZ38CN、Vista Ultimate Service Pack 1搭載の富士通UB810、OS X 10.5.2搭載のMacBook Air）から自由に選ぶことができた。各OSは最新バージョンであり、その時点で利用可能な最新のセキュリティアップデートが適用されていた。

　CanSecWest開催中の3日間、サインアップを済ませたクラッカーたちには自作のエクスプロイトを試す30分の時間枠が与えられた。ただし混乱を避けるために、1つの時間枠では1件のみ利用可とされた。目的は、ゼロデイ攻撃（未知の脆弱性を利用した攻撃）によって、ノートPC上の特定のファイルの内容を読み取ることだった。それぞれのノートPCのクラッキングに最初に成功した者には、そのPCと賞金が贈られることになっていた。

　コンテストの課題に対する関心の幅を拡げるため、技術的な難易度を段階的に低くする（それに合わせて賞金の額も下がる）というルールが定められた。カンファレンス初日は、ユーザーによる操作を一切伴わないリモートの脆弱性だけが対象となり、賞金は2万ドル。2日目は、任意の標準アプリケーションからの攻撃、また電子メール、インスタントメッセージング、Webブラウジングなどによるフィッシング攻撃も可能だが、賞金は1万ドルに減額される。最終日には、著名なサードパーティー製アプリケーションが各マシンに追加され、それらを介した攻撃も可能になるが、賞金は5000ドルとなる。こうしたルールにより、クラッカーたちは最も重大と考えられる脆弱性から順に取り組むことになる。

　クラッキングされたマシンは、その時点でコンテストの対象から除かれる。また、あるマシンのクラッキングに成功した者が残りのマシンを対象として攻撃を続けることは可能だが、複数のマシンに対してクロスプラットフォームの脆弱性を利用することはできない。