Chromebook のエクスプロイトを見つけた研究者、2度目の10万ドルの報奨金を獲得

2017.12.07

Google のバグ報奨金を同じ人物が 2 度獲得しました。


2016 年 9 月、Gzob Qq と呼ばれる匿名のハッカーが、Chromebook で使用される Google Chrome OS に存在する攻撃者による「常駐」を許してしまう極めて重要なエクスプロイト(リンク先:英語)を報告し、10 万ドルを獲得しました


それから 12 か月後同じ研究者に同額の報奨金が振り込まれました。Google Chrome OS に攻撃者による「常駐」を許してしまう極めて重要な 2 つ目の問題が存在することが報告されたのです。


Google が、「5 万ドルの報酬を導入して以来、一度も報償対象となった報告がないとして、2014 年に Chrome OS のハッキングに対する最大報酬額を 10 万ドル(リンク先:英語)に大胆に倍増したことを後悔したのではないかと思っていませんか。


それどころか、バグ報奨金の目的である問題を引き起こす恐れのある脆弱性についての報告がなかったため、同社はまったく後悔していませんでした。


Chromebook にとって最新の問題は非常に重大であり、攻撃者がリモートから Web ページを介してシステムを乗っ取ることが可能となる5 つの重大な脆弱性 (CVE) (リンク先:英語)からエクスプロイトチェーンは構成されています。


重大度が「高」と評価されているこれらの問題は、Chrome の V8 JavaScript エンジンにある帯域外のメモリアクセスの問題 (CVE-2017-15401)、PageState における権限昇格の問題 (CVE-2017-15402)、network_diag におけるコマンド挿入の問題 (CVE-2017-15403)、crash_reporter におけるシンボリックリンクトラバーサルの問題 (CVE-2017-15404)、cryptohomed におけるシンボリックリンクトラバーサルの問題 (CVE-2017-15405) です。


安定したネットワークがあり、10 月 27 日以降に Chromebook や Chromebox をオンにしているユーザーは、バージョン 62.0.3202.74 (またはそれ以降) に自動的にアップデートされるため、再起動に 10 秒間ほどかかること以外には負担はありません。


このアップデートでは、ついでに、別の重大な欠陥である CVE-2017-15400 も修正されKRACK(リンク先:英語) の原因となる Wi-Fi のいくつかの脆弱性も修正されています。


Chrome OS は、「多くのサービスを提供する」Windows や Apple のプラットフォームと比較してその欠陥の数は、非常に少ないことを示していますが、まったく欠陥がないわけではありません。


このプラットフォームが注目を集めるにつれて、見つかる欠陥の数も増加しているようです。


数週間前ですが、このプラットフォームも、Infineon の TPM (トラステッドプラットフォームモジュール) で見つかった 重大な脆弱性 (CVE-2017-15361) の影響を受けました(リンク先:英語)。更新プログラムが公開され、この問題は迅速に修正されていますこの問題は、多くの PC に影響しましたが、Chromebooks は設計上 TPM を必ず使用するため、真っ先に問題視されました。


言うまでもありませんが、Google Web ストア内からプラットフォームのユーザーをターゲットにしている暗号通貨の採掘ツール、アドウェア、Web リダイレクタなどの、Chrome 拡張機能も厄介であり(リンク先:英語)、その数は少なくても拡大していることに不安があります。


しかし、バグ報奨金プログラムが Google にとって有益であるというトピックに戻りましょう。


CanSecWest 2014 で開催された Google の Pwnium イベントで重大ないくつもの ChromeOS の欠陥を検出したことにより著名なハッカーである George Hotz 氏に(リンク先:英語) Google が 15 万ドルを報奨金として渡したことが転換点になりました。


Google の中で電球のように明るいひらめきがあり、報償プログラムに PR の機会を見い出しました。Google が Pwnium を 1 年ごとの報償プログラムに変更したのはこのためです。最近では、同社の報奨金プログラムの対象となるバグが見つかることはほとんどありません。


Google Play Store にある 悪意のあるアプリについて Google に報告した(リンク先:英語)人物に報奨金が支払われたケースが1つあっただけです。これは、Google 自社では防ぐことができなかった問題でした。


バグ報奨金プログラムは、欠陥に対して報奨金を提供することは、結局はサイバー犯罪者が勝利を収める競争になってしまうと批評家が信じていた (実際そうなりました) 数十年前から、さまざまな経緯を経てきました。


Google やその他の企業にとってバグ報奨金プログラムは、高額な給与の研究者をフルタイムで雇用せずに、脆弱性の検収をクラウドソーシングできる費用効果の高い方法となっています。


Google は Chrome OS のバグ報償金に特に力を入れています。これは、Windows PC と比較してパッチ適用や更新のサイクルの全体が Chromebook でどれくらい簡単にできるか (自動化された迅速な展開、ミラーリングされたパーティションへのインストール) が注目を集めるからです。


Chromebook は難攻不落で完全なセキュリティプラットフォームではありません。しかし、欠陥がある場合、それに対応する必要があるのは、ユーザーではなく Google 社自身です。


引用元

おすすめの記事はこちら