日本人セキュリティ研究者が国際脆弱性発見コンテストPwn2Ownで賞金3万ドル獲得 | ScanNetSecurity
2021.06.22(火)

日本人セキュリティ研究者が国際脆弱性発見コンテストPwn2Ownで賞金3万ドル獲得

日本人セキュリティリサーチャーが国際的セキュリティコンテストで研究成果を認定され、日本円にして約 320 万円の賞金を獲得した。

製品・サービス・業界動向
zerodayinitiative.com
  • zerodayinitiative.com
 日本人セキュリティリサーチャーが国際的セキュリティコンテストで研究成果を認定され、日本円にして約 320 万円の賞金を獲得した。

 セキュリティ研究組織 Zero Day Initiative が 2007 年から毎年開催している「Pwn2Own」と呼ばれるソフトウェアなどのセキュリティホールを発見するコンテストの 2021 年大会。今春 4 月に行われた。Pwn2Own は、かつて Jeep Cherokee の脆弱性を発見して世界中で話題となったチャーリー・ミラー氏なども受賞歴がある。セキュリティ研究者の世界の「神々」とも言える受賞者一覧の一人に、若手日本人技術者 志賀遼太氏が加わった。

 志賀氏が発見報告したのは「 Ubuntu における権限昇格の脆弱性」で賞金は 3 万 USドル、日本円で約 320 万円を獲得した。

 Zero Day Initiative は脆弱性情報の発見・報告・公開等の情報共有体制を確立する嚆矢となった組織で、それまでネガティブな印象を持たれるなど、あまり理解されてこなかった、脆弱性の発見およびその報告と情報共有活動に、社会性と公共性を持たせ、国際的な研究者コミュニティー形成に寄与した。

 Pwn2Own のコンテスト結果が、BBC や CNN、New York Times などの大手一般メディアによって報道されたことは一度や二度ではない。Zero Day Initiative が持つ社会性と公共性の証左ともいえる。

 Zero Day Initiative の勝因は、脆弱性公開プロセスの透明性(中国のセキュリティ研究機関などとは対極的姿勢である)の確保維持と、そして重要な脆弱性に報奨金を支払ったことである。3,000 名以上の腕に覚えがある研究者が参加し、公開脆弱性件数において、現在最も成功しているバグバウンティ活動のひとつに成長した。

 三井物産セキュアディレクション株式会社のチームが2013年に Pwn2Own で受賞し、5 万 USドルを獲得しているが、日本人研究者の受賞例はこれまでほとんどなかった。

 脆弱性はサイバー攻撃に悪用される側面を持つが、先んじて発見しそれを防御に活かせばシステムとアプリケーションを守る積極的価値を社会にもたらす。発生する前の事故の芽を摘むことすらできる。

 新しい脆弱性の発見という研究領域は、自然科学における「新星」や「新種」の発見にも似ている。実力・努力・センスそして運に恵まれれば、それまで誰も見つけなかった脆弱性を発見し、一夜にして自分の力と価値を社会に認めさせることができる。サイバーセキュリティの研究フィールドには、そんな夢が埋蔵されており、まだ見ぬ若者がそれを採掘し掘り当てるのを待っている。
《高橋 潤哉( Junya Takahashi )》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  2. 平成18年のサイバー犯罪の検挙件数や特徴などを発表(警察庁)

    平成18年のサイバー犯罪の検挙件数や特徴などを発表(警察庁)

  3. 番外編:疑問その6「俺とおまえとクラウドセキュリティ ~ 26枚の “白紙” の束」~日商エレに聞く、CASBとクラウドセキュリティの疑問

    番外編:疑問その6「俺とおまえとクラウドセキュリティ ~ 26枚の “白紙” の束」~日商エレに聞く、CASBとクラウドセキュリティの疑問

  4. 「インターネットトラブル事例集(2020年版)追補版」を公表(総務省)

  5. 疑問その7「CASBベンダ統廃合の過去、そして未来」~日商エレに聞く、CASBとクラウドセキュリティの疑問

  6. 元国土交通省職員ら、「アイコラ」をサイトに掲載し逮捕

  7. Salesforce の設定不備の問題はなぜ起きたのか? ~ SHIFT SECURITY が 3 つの無償サービスを続ける理由

  8. NTT西日本、グループ社員の個人情報を記録したノートPCを紛失

  9. 脆弱性診断士が認定資格に、早ければ来春に第一号合格者誕生か

  10. ファジングによる「脆弱性検出の普及活動」を8月から開始(IPA)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×