日本人セキュリティ研究者が国際脆弱性発見コンテストPwn2Ownで賞金3万ドル獲得 | ScanNetSecurity
2024.03.19(火)

日本人セキュリティ研究者が国際脆弱性発見コンテストPwn2Ownで賞金3万ドル獲得

日本人セキュリティリサーチャーが国際的セキュリティコンテストで研究成果を認定され、日本円にして約 320 万円の賞金を獲得した。

製品・サービス・業界動向
zerodayinitiative.com
 日本人セキュリティリサーチャーが国際的セキュリティコンテストで研究成果を認定され、日本円にして約 320 万円の賞金を獲得した。

 セキュリティ研究組織 Zero Day Initiative が 2007 年から毎年開催している「Pwn2Own」と呼ばれるソフトウェアなどのセキュリティホールを発見するコンテストの 2021 年大会。今春 4 月に行われた。Pwn2Own は、かつて Jeep Cherokee の脆弱性を発見して世界中で話題となったチャーリー・ミラー氏なども受賞歴がある。セキュリティ研究者の世界の「神々」とも言える受賞者一覧の一人に、若手日本人技術者 志賀遼太氏が加わった。

 志賀氏が発見報告したのは「 Ubuntu における権限昇格の脆弱性」で賞金は 3 万 USドル、日本円で約 320 万円を獲得した。

 Zero Day Initiative は脆弱性情報の発見・報告・公開等の情報共有体制を確立する嚆矢となった組織で、それまでネガティブな印象を持たれるなど、あまり理解されてこなかった、脆弱性の発見およびその報告と情報共有活動に、社会性と公共性を持たせ、国際的な研究者コミュニティー形成に寄与した。

 Pwn2Own のコンテスト結果が、BBC や CNN、New York Times などの大手一般メディアによって報道されたことは一度や二度ではない。Zero Day Initiative が持つ社会性と公共性の証左ともいえる。

 Zero Day Initiative の勝因は、脆弱性公開プロセスの透明性(中国のセキュリティ研究機関などとは対極的姿勢である)の確保維持と、そして重要な脆弱性に報奨金を支払ったことである。3,000 名以上の腕に覚えがある研究者が参加し、公開脆弱性件数において、現在最も成功しているバグバウンティ活動のひとつに成長した。

 三井物産セキュアディレクション株式会社のチームが2013年に Pwn2Own で受賞し、5 万 USドルを獲得しているが、日本人研究者の受賞例はこれまでほとんどなかった。

 脆弱性はサイバー攻撃に悪用される側面を持つが、先んじて発見しそれを防御に活かせばシステムとアプリケーションを守る積極的価値を社会にもたらす。発生する前の事故の芽を摘むことすらできる。

 新しい脆弱性の発見という研究領域は、自然科学における「新星」や「新種」の発見にも似ている。実力・努力・センスそして運に恵まれれば、それまで誰も見つけなかった脆弱性を発見し、一夜にして自分の力と価値を社会に認めさせることができる。サイバーセキュリティの研究フィールドには、そんな夢が埋蔵されており、まだ見ぬ若者がそれを採掘し掘り当てるのを待っている。
《高橋 潤哉( Junya Takahashi )》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

    NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

  2. 共通脆弱性評価システムCVSS v2 評価の掲載終了、4/1 以降は CVSS v3 評価のみに

    共通脆弱性評価システムCVSS v2 評価の掲載終了、4/1 以降は CVSS v3 評価のみに

  3. NRIセキュア MSS技術開発部長 木内雄章氏、自動車セキュリティのグループ会社の新社長に

    NRIセキュア MSS技術開発部長 木内雄章氏、自動車セキュリティのグループ会社の新社長に

  4. 脆弱性診断自動化ツール「AeyeScan」アップデート、「スキャン結果(一覧)」画面に脆弱性情報の確認欄を追加

  5. 「Microsoft Copilot for Security」活用、高度なセキュリティ運用効率化に向けラックと Trust Base が実証実験

  6. メール誤送信対策「CipherCraft/Mail」新バージョン、添付ファイルのプロパティ情報や Excel の非表示項目に含まれる個人情報を抽出

  7. DMARC導入企業が半数近くに、猛威振るうあのマルウェアが普及加速の一因か?

  8. この診断ツールがいいねと顧客が言ったから これが LAC の AI 元年 ~ AeyeScan がスキャンエンジンに採用されるまで

  9. 情報セキュリティサービスの2024年度第1回登録申請の募集開始、4/10まで

  10. Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×