［カナダ］【CanSecWest 2008】
ハッキング・コンテストでMacとVistaは陥落――Linuxだけが無傷

「Linuxにだれも侵入できなかったのには驚いた」

（2008年03月31日）

　カナダのバンクーバーで開催されたセキュリティ・コンファレンス「CanSecWest 2008」のハッキング・コンテストにおいて、最初に陥落したのは米国Appleの「MacBook Air」であったが、コンテスト最終日にはWindows Vistaを搭載した富士通のノートPCが侵入を許した。だが、ハッキング・コンテストが3月28日に終了するまで、ソニーのノートPC「VAIO」上で稼働しているLinuxだけは、何者をも寄せ付けなかった。

ハッキング・コンテストの対象となった3種類のノートPC

　同コンテストのスポンサーは先週初め、3種類のノートPCを用意し、コンテスト参加者がこのうち1台に侵入して、自分のソフトウェアを動作させることができるかどうかを競わせた。2万ドルに上る賞金がコンテストに花を添えたが、1日ごとに競技ルールが緩和され、コンピュータへの侵入が簡単になる代わりに、賞金額は半分ずつカットされていった。

　コンテストの2日目、セキュリティ専門家のチャーリー・ミラー（Charlie Miller）氏が、WebブラウザのSafariに未公表の攻撃を仕掛け、そこからMacBook Airの乗っ取りに成功した。同氏は3月27日、わずか2分間ほどの作業で、米国TippingPointが拠出した1万ドルと新しいノートPCを自宅へと持ち帰ったのである（関連記事）。

　また、友人の助力を得たシェイン・マコーレー（Shane Macaulay）氏も3月28日、ようやくWindows Vistaをハッキングした。

　2007年のハッキング・コンテストでも受賞者の1人となったMacaulay氏は、米国VMwareの研究者であるアレクサンダー・ソティロフ（Alexander Sotirov）氏から複数のハッキング技術を提供してもらい、バグの攻略に役立てた。セキュリティ対策が追加されたWindows Vista Service Pack 1が攻撃対象になるとは考えていなかったため、Macaulay氏はSotirov氏の手を借りざるをえなかったという。同僚のデレク・キャラウェイ（Derek Callaway）氏も、Macaulay氏を少しばかり手伝った。

　Macaulay氏とMiller氏は、コンテストの規則に従いターゲットにしたバグの詳細情報をパッチがリリースされるまで口外してはならないのだが、Macaulay氏は、Javaを利用してWindows Vistaのセキュリティを回避するクロスプラットフォーム・バグに目を付けたと述べた。

　Macaulay氏は、受賞後のインタビューの中で、「（クロスプラットフォームに）問題の脆弱性が存在しているわけではないが、Java固有の性質を利用して、Microsoftが実装した保護機能の裏をかいた。このバグは、LinuxにもMac OS Xにも影響を及ぼしうるものだ」と語った。

　Macaulay氏がWindows Vistaをハッキング対象に選んだのは、以前Microsoftの仕事を請け負った経験があり、同社の製品をよく知っていたからだという。

　TippingPointのセキュリティ・レスポンス・マネジャー、テリ・フォースロフ（Terri Forslof）氏は、「Linuxに挑戦した参加者も何人かいたが、だれも侵入できなかった」と語った。「だれもハッキングに成功しなかったのには驚いた」（Forslof氏）

　400名に及ぶ参加者のうち何人かは、Linux OSのバグを発見したが、コンテストに勝つために攻撃コードを書くのは、彼らの大半が嫌だと考えたそうだ。

　Miller氏は、ハッキングがより簡単だと思われるMacを選ぶと早くから明言していた。Windows Vistaを選択したMacaulay氏も、「確かにそれは正しいかもしれない」と、Miller氏の考えを否定しなかった。

(Robert McMillan／IDG News Serviceサンフランシスコ支局)