Researchers Find 63 Zero-Day Bugs at Latest Pwn2Own
2022/12/12 InfoSecurity — 先日の Pwn2Own コンテストの参加者は、さまざまな製品に存在する数多くのゼロデイ脆弱性を発見し、デジタル世界の安全性を高めるために貢献した。このコンテストは、Trend Micro の Zero Day Initiative (ZDI) により運営されており、ベンダーに依存しない世界最大のバグバウンティ・プログラムとなっている。
トロントにある Trend Micro のオフィスで、3日間にわたり開催されたコンテストでは、複数のカテゴリで散見された、さまざまなメーカーのソフトウェアに対するハッキングが行われ、参加者に対して $934,750 の報奨金が提供された。具体的には、26 のチームと個人が参加し、66種類のターゲット製品のハッキングに挑戦した。
今年は、コンシューマー向けコンテストの 10周年にあたるため、Small Office Home Office (SOHO) 機器にフォーカスする新しいカテゴリが導入された。ホームワーカーが使用するシステムへの脅威が増大しており、企業ネットワークを侵害する魅力的な経路となり得ることを、脅威アクターたちが認識しているという背景がある。
最終日のクロージングで ZDI の Dustin Childs は、「今日の報奨金は $55,000 であり、コンテストの総額は $989,750 に達した。このコンテスト期間中に、我々は 63件のユニークなゼロデイを購入した」と述べている。
彼は、「Master of Pwn のタイトルは、最後までもつれた。そして、DEVCORE のチームが $142,500 と 18.5 ポイントを獲得し、2回目のタイトルを獲得しまた。Team Viettel と NCC Group が、それぞれ 16.5 ポイントと 15.5 ポイントという僅差で、それに続いた。
出場者たちがハッキングに成功したベンダーとしては、HP/Mikrotik/Sonos/TP-Link/Ubiquiti/Western Digital/Lexmark/Netgear などが挙げられる。対象となった機器には、プリンター/ルーター/スマートスピーカー/NAS 機器に加えて、Samsung Galaxy S22 などのスマートフォンも含まれている。
世界中から参加した数十のチームは、リアルおよびリモートで、ハッキングを競い合った。ハッキングされた製品のベンダーは、ZDI からゼロデイ情報が公表されるまでの 120日間に、自社製品で発見された 63件の脆弱性にパッチを適用することになる。
おなじみのコンテスト Pwn2Own ですが、63件の脆弱性に対して、$934,750 の報奨金が支払われたとのことです。なお、文中にある「我々は 63件のユニークなゼロデイを購入した」ですが、原文も「we purchased 63 unique zero days」となっているので、「購入」と訳しました。これは、今後の参加者に対するアピールであることは明らかですが、他のセキュリティ・ベンダーへの販売も行うのでしょうかね? よろしければ、カテゴリ BugBounty も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.