ハッキングコンテスト Pwn2Own はベンダーをハラハラさせ、一般観衆をワクワクさせてきた。セキュリティ研究者たちはライブイベントの壇上にあがり、場合によっては数分間でブラウザのハッキングを成功させ、名声と賞金を得てきた。

HP セキュリティ部門 TippingPoint の Zero Day Initiative(ZDI)は、Pwn2Own 2013の賞金総額を56万ドルに設定したと発表した。Pwn2Own 2012 での賞金総額10万5,000ドルからは大幅なアップとなる。

賞金は、例えば Google Chrome へのアタックに最初に成功した研究者には10万ドル与えられる。その他、Windows 8 上の Microsoft IE 10 へのアタックに成功すれば10万ドル。Firefox に対しては6万ドル。Safari では6万5,000ドルと設定されている。

そう、Pwn2Own 2013 では、2012年のイベントとは勝者を決定するルールが変更されているのだ。Pwn2Own 2012ではショー的な要素は抑られ、賞金はより多くポイントを獲得した研究者に授与されていた。このルール変更について、HP DVLabs の ZDI マネージャ Brian Gorenc 氏は次のように語っている。

「Pwn2Own 2013では、従来のアプローチに戻ることにした。プラットフォームにはそれぞれ独自のセキュリティ対策が必要であり、我々はそれをテストしたいと考えたからだ。新ルールのもとでより多くの研究者に参加してもらい、1つでも多くのバグを修正したいと考えている」

Pwn2Own 2013 では、賞金の対象となるのはブラウザだけではない。今回からは、プラグインも対象となる。

「Pwn2Own 2013 では、ブラウザだけでなくプラグインもカバーすることにした。プラグインの脆弱性を狙うツールは増加傾向にあり、大企業のセキュリティの欠陥を突く際に、プラグインが利用されるケースが増えているためだ」

例えば、Adobe Reader XI や Adobe Flash といったプラグインがこの対象となっている。Windows 7 上の IE 9 でこれらのプラグインのハッキングに成功した場合、7万ドルの賞金を手にすることができる。出場者はまた、2013年でもっとも脆弱性が突かれているプラグイン Oracle Java を狙うことも可能だ。Oracle Java に対する賞金は、2万ドルとなっている。

Google が Pwn2Own に復帰

Google は 2013年、Pwn2Own イベントに復帰する。Google と Pwn2Own の関係は近年悪化しており、2012年のイベントの直前には Google はイベント開催者が脆弱性情報をベンダーに対して適切に公開していないと非難していた。Google は、Pwn2Own のスポンサーからは撤退し、Pwnium と呼ばれる独自のハッキングコンテストを Pwn2Own と同時期に開催したほどだった。

Gorenc 氏は、Google と ZDI は現在は同じ目的を共有できているとしている。また、Pwn2Own に Google が復帰したことに、関係者の多くは喜んでいると述べた。Google は今回は Chrome に限らず、イベント全体のスポンサーとなっている。

参加者は?

2012年のイベントでは、最初に陥落したブラウザは Google Chrome だったことが話題となった。セキュリティリサーチ会社である VUPEN が Chrome へのアタックに成功した。VUPEN は今回のイベントにも参加する。VUPEN の CEO である Chaouki Bekrar 氏は次のように述べている。

「Pwn2Own のルールと賞金は良いものだった。今回我々は、すべてのカテゴリーで脆弱性を突く準備を整えており、すでにイベントに登録済みだ。期待して欲しい」

Pwn2Own 2013 は3月6日から8日まで、カナダバンクーバーで開催される CanSecWest 2013 カンファレンス内で実施される。

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。