iOSの脆弱性見つけたチームに100万ドル、遠隔操作ハックにさらされるiPhone

iOSの脆弱性見つけたチームに100万ドル、遠隔操作ハックにさらされるiPhone 1

バグハンターとでも言うべきビジネス。

さまざまなシステムのバグを見つけることをビジネスとするセキュリティ系スタートアップのZerodiumが、最新版iOSをハックし遠隔操作する方法に懸賞金をかけていました。その額なんと100万ドル(約1億2,000万円)。さて、いま世界のどこかで新たにミリオネアが誕生しました。だって、iOSハック方法が見つかって、Zerodiumに報告され、100万ドルを手にした人がでましたから。

iOSのゼロデイ探しは終了。とあるチームが、iOS 9.1/9.2bでブラウザーを使ったリモートジェイルブレイクの方法を見つけました。おめでとう!

Zerodiumがだしたハックお題は、SafariまたはChromeのブラウザ、テキストメッセージ、メディアファイルのいずれかを介してハックできるiOSの脆弱性を探せというかなり困難なものでした。が、成せば成る何事ってなもので、どこかの誰かが見事その方法を見つけ出したのです。この方法を使いハックしたiPhoneは、遠隔操作でスパイアプリをダウンロードしたり、マルウェアをアップロードしたりできるようになってしまいます。恐ろしいですね。

脆弱性が見つかって報告されたのならば、喜ばしいニュースかと思いきや、今回はそうではありません。特殊なケースだからです。なぜ、100万ドルという大金が賞金にあったかを考えれば納得ですね。報告先がアップルではなく、セキュリティ会社のZerodiumです。

Zerodiumのビジネスモデルは、セキュリティ関連ですが「ゼロデイ攻撃」を対象にしたもの。ゼロデイ攻撃とは、対策方法がまだない状態の脆弱性に対して攻撃することです。ネタ元のMotherboardの解説を借りると、Zerodiumは、通常のIT企業が脆弱性発見に出す奨励金よりも高額を提示することで、脆弱性を早く見つけ出し、その内容を公表はせずに、顧客にだけ教えるというビジネスをしています。この顧客には、NSA(アメリカ国家安全保障局)のような政府団体も。こうして、脆弱性へのパッチが提供される前に、脆弱性を利用して端末に侵入しターゲットとする人物の動向を探るというわけ。

今回、Zerodiumが入手したハッキング方法を可能にしてしまう脆弱性が何なのかは、まだわかりません。しかし、アップル側もその何かを突き止めようと努力するでしょう。Zerodium顧客が利用するのが先か、アップルがパッチを公開するのが先かという厳しいレースが、いま正に行なわれているのではないでしょうかね。ちなみに、iPhone遠隔操作ハックは、iOS 7以降初めて

image: Apple / Gizmodo US

source: MotherboardWiredForbes

Adam Clark Estes - Gizmodo US[原文

(そうこ)