ハッキング大会開催　ハッカーに人気の製品判明　2021年の標的はコレだ！

ハッキング技術コンテスト「Pwn2Own Austin 2021」では、セキュリティ研究者が名声と賞金を懸け、NASやスマートフォン、ルーター、プリンタなどのデバイスの攻撃に挑戦した。どのような結果になったのか。

　2021年11月開催のハッキング技術コンテスト「Pwn2Own Austin 2021」では、米テキサス州オースティンの会場に集まったセキュリティ研究者が、脆弱（ぜいじゃく）性を突く腕前を披露。総額100万ドル以上の賞金を獲得した。

　Pwn2Ownの参加者は、1回の挑戦につき30分以内に標的の制御に成功しなければならない。表彰の指標となる「Master of Pwnポイント」や賞金は、デバイスをハッキングした場合だけでなく、ゼロデイ脆弱性（ベンダーが未修正の脆弱性）を利用した場合にも獲得できる。ゼロデイ脆弱性を使ったリモートコード実行のデモに成功すれば数万ドルの獲得が可能だ。

　大会の参加者がデバイスを乗っ取る（Pwn）ことで、デバイスを所有（Own）する権利をもらえたことが、Pwn2Ownという名称の由来だ。
初期の大会では、参加者はささやかな賞金とデバイスの所有権を手にした。それから年月がたち、Pwn2Ownはセキュリティ研究者にとってのビッグビジネスになった。

Pwn2Ownのスポンサーでもある、トレンドマイクロの脆弱性発見コミュニティーZero Day Initiative（ZDI）によると、Pwn2Own Austin 2021の期間4日間で贈呈した賞金の総額は108万1250ドル。新たに見つかったゼロデイ脆弱性は60件だった。

■ハッキングがことごとく成功した“あのIT製品”とは

　Pwn2Own Austin 2021は、特にNAS（ネットワーク接続ストレージ）やルーターにスポットを当てた他、スマートフォンやプリンタもハッキングの対象となった。
人気が高かった標的のうち、

Cisco Systemsのルーター「Cisco RV340」

に対する攻撃は、9回の成功あるいはコリジョン（既知の脆弱性を利用した攻撃）の判定を受け、もう1回の挑戦は失敗に終わった。

　挑戦者の人気を集めた別の標的は、

Western Digital製NAS「My Cloud Pro Series PR4100」だ。

同製品に対するハッキングは9回が成功またはコリジョンと認定された。

　コンテストの頂点に立ったのは、セキュリティベンダーSynacktivのチームだ。同チームは19万7500ドルの賞金と、Master of Pwnポイントを20ポイント獲得した。2位はセキュリティテスト企業DEVCOREの研究者オレンジ・ツァイ氏、エンジェルボーイ氏、メー・チャン氏の3人で、6回の攻撃を成功させ、総額18万ドルを手にした。

　ツァイ氏はPwn2Own 2021の前後、多忙な日々を送ることになった。2020年末、DEVCOREの研究チームはメールサーバ製品「Microsoft Exchange Server」の脆弱性「ProxyLogon」「ProxyShell」を発見してMicrosoftに報告した。ツァイ氏らは2021年8月にセキュリティカンファレンス「Black Hat 2021」に登場し、ProxyShellについて解説した。

(>2以降へ)

ハッキング大会で攻撃がことごこく成功してしまった“不名誉”なIT製品とは？
https://techtarget.itmedia.co.jp/tt/news/2112/25/news02.html
2021年12月25日 05時00分 Shaun Nichols TechTarget