セキュリティコミュニティには毎年のように、新たな“スター”が登場する。この2年ほどで急にその名が広く知られるようになったセキュリティ研究者 Pinkie Pie 氏もその1人だ。

セキュリティ研究者 Pinkie Pie 氏は、Chrome ブラウザの脆弱性発見だけで15万ドルを稼いでいた
Pinkie Pie
(C)2013 Hasbro
「Pinkie Pie」は、子ども向けの TV 番組「My Little Pony」に登場するキャラクターだ。セキュリティ研究者がデバイスやアプリケーションを乗っ取ることを「pwning」と呼ぶが、Pinkie Pie という名前はもしかしたらここから来ているのかもしれない。

私が初めて Pinkie Pie 氏の名前を耳にしたのは、2012年3月。Google の開催したセキュリティイベント「Pwnium」で、同氏が Google Chrome Web ブラウザを「pwn」したときのことだった。このとき Pinkie Pie 氏は、Google から6万ドルの賞金を授与されている。

Pinkie Pie 氏は今年開催された Hewlett-Packard の Zero Day Initiative(ZDI)主催の Pwn2Own イベントにも参加。ここでは、Chrome OS 上で動作する Chrome ブラウザの脆弱性を発見し、4万ドルの賞金を獲得している。

そして先週、Pinkie Pie 氏は日本で開催された Mobile Pwn2Own イベントに参加し、Nexus 4 と Samsung Galaxy S4 スマートフォン上の Google Chrome に存在する脆弱性を突くことに成功。5万ドルの賞金を得た。

Pinkie Pie 氏はわずか1年半の間に、15万ドルもの賞金を獲得したことになる。

Pinkie Pie 氏のスキルは優れたものだ。Google Chrome は Java ではない。簡単に見つかる脆弱性が転がっているシステムではないのだ。Chrome には堅牢なサンドボックス機構があり、侵入を容易ならざるものにしている。

Pinkie Pie 氏のスキルについて、私が最も驚いているのは、彼が何度も繰り返し Chrome の脆弱性の発見に成功しているという点だ。名前とは異なり、Pinkie Pie 氏は「one-trick pony(1つしか才能のない人)」ではなかった。

だが、懸念もある。Pinkie Pie 氏が Chrome の新たな脆弱性を発見できるということは、アタッカーにも同じことができるかもしれない、ということだ。実は、アタッカーたちは Chrome の未知の脆弱性を発見し、それを公けにせず、ブラックマーケットで売買しているかもしれないのだ。

私には、Chrome の脆弱性に対して、ブラックマーケットでいくらの値が付けられているのか、調べる手段はない。だが、Google と Pwn2Own を運営している HP は、ともに脆弱性を発見したセキュリティ研究者に高額の賞金を授与している。この賞金が、ブラックマーケットの悪意のあるバイヤーのそれよりも高額であることを祈るばかりだ。

Pinkie Pie 氏は、生きた伝説となりつつある。だが同氏は、ほんの2年前まではセキュリティコミュニティでは無名の人物だった。だがいまや彼は、Google Chrome の脆弱性を発見することで、15万ドルもの大金を得る賞金稼ぎとなった。「pwning」でこれだけ稼げれば、悪くないだろう。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。