全2401文字
PR

 2021年10月16~17日、中国・成都でハッキングコンテスト「天府杯」の2021年版が開かれた。米情報分析会社Recorded Future(レコーデッド・フューチャー)によれば、米Microsoft(マイクロソフト)の「Windows 10」や米Apple(アップル)の「iOS」といったOS、米Google(グーグル)のWebブラウザー「Chrome」などについて、未知の脆弱性が同コンテストで見つかった。

米Recorded Futureによる天府杯の分析リポート
米Recorded Futureによる天府杯の分析リポート
(出所:米Recorded Future)
[画像のクリックで拡大表示]

 有力ベンダーが固めたはずのソフトの「守り」が中国人エンジニアの技術力に「陥落」した格好だ。セキュリティーサービスを手掛けるサイバーディフェンス研究所の名和利男専務理事は日本企業に対し、天府杯など中国開催のコンテストで判明した脆弱性が悪用される可能性を想定し、防御策を整備するよう呼びかける。

サイバーディフェンス研究所の名和利男専務理事
サイバーディフェンス研究所の名和利男専務理事
(撮影:日経クロステック)
[画像のクリックで拡大表示]

 名和専務理事は天府杯を警戒すべき理由を3つ挙げる。1つ目は、日本や欧米でよく使われているソフトが対象になっていること。2つ目はコンテストで見つかった脆弱性の扱いに「透明性」がないこと。3つ目は、中国で2021年9月に施行された法制度との組み合わせによって脅威が増すことだ。

 まず、よく使われているソフトという点は、Windows、iOS、Chromeなどが対象になっていることから分かる。さらにマイクロソフトのメールサーバー「Exchange Server 2019」、米VMware(ヴイエムウェア)の仮想化ミドルウエア「VMware ESXi」といった多くの企業が利用するソフトもターゲットになっている。

 大会では例年、ITベンダーが未公表の「ゼロデイ脆弱性」が次々と判明する。ゼロデイ脆弱性を発見できたということは、修正プログラム(パッチ)がまだ存在しないなかで、ゼロデイ脆弱性を攻撃できるツールをつくれる技術者がいるともいえる。悪用された場合、企業が防ぐ難度は高い。

判明した脆弱性を活用される恐れ

 ゼロデイ脆弱性を見つけ出すコンテスト自体は以前から開かれ、世界的には「Pwn2Own」が知られている。2018年に始まった天府杯も中国版Pwn2Ownを標榜する。その違いについて名和専務理事は「天府杯など中国のコンテストでは、見つかった脆弱性の扱いが不透明だ」と指摘する。これが2つ目の警戒すべき理由である。

 「不透明」とはどういうことか。企業や組織のセキュリティーを広範囲に脅かしかねない新たな脆弱性が見つかったとき、欧米でも中国でも当局が主導して取り扱う。

 欧米の当局は脆弱性の取り扱いについてある程度の透明性を確保している。多くの場合、まずベンダーに報告し、修正プログラムなどの適切な対策が整ったら脆弱性の存在と対策を周知する。米国であれば大統領令などから把握できる。