日本人セキュリティ研究者が国際脆弱性発見コンテストPwn2Ownで賞金3万ドル獲得 | ScanNetSecurity
2022.07.03(日)

日本人セキュリティ研究者が国際脆弱性発見コンテストPwn2Ownで賞金3万ドル獲得

日本人セキュリティリサーチャーが国際的セキュリティコンテストで研究成果を認定され、日本円にして約 320 万円の賞金を獲得した。

製品・サービス・業界動向
zerodayinitiative.com
  • zerodayinitiative.com
 日本人セキュリティリサーチャーが国際的セキュリティコンテストで研究成果を認定され、日本円にして約 320 万円の賞金を獲得した。

 セキュリティ研究組織 Zero Day Initiative が 2007 年から毎年開催している「Pwn2Own」と呼ばれるソフトウェアなどのセキュリティホールを発見するコンテストの 2021 年大会。今春 4 月に行われた。Pwn2Own は、かつて Jeep Cherokee の脆弱性を発見して世界中で話題となったチャーリー・ミラー氏なども受賞歴がある。セキュリティ研究者の世界の「神々」とも言える受賞者一覧の一人に、若手日本人技術者 志賀遼太氏が加わった。

 志賀氏が発見報告したのは「 Ubuntu における権限昇格の脆弱性」で賞金は 3 万 USドル、日本円で約 320 万円を獲得した。

 Zero Day Initiative は脆弱性情報の発見・報告・公開等の情報共有体制を確立する嚆矢となった組織で、それまでネガティブな印象を持たれるなど、あまり理解されてこなかった、脆弱性の発見およびその報告と情報共有活動に、社会性と公共性を持たせ、国際的な研究者コミュニティー形成に寄与した。

 Pwn2Own のコンテスト結果が、BBC や CNN、New York Times などの大手一般メディアによって報道されたことは一度や二度ではない。Zero Day Initiative が持つ社会性と公共性の証左ともいえる。

 Zero Day Initiative の勝因は、脆弱性公開プロセスの透明性(中国のセキュリティ研究機関などとは対極的姿勢である)の確保維持と、そして重要な脆弱性に報奨金を支払ったことである。3,000 名以上の腕に覚えがある研究者が参加し、公開脆弱性件数において、現在最も成功しているバグバウンティ活動のひとつに成長した。

 三井物産セキュアディレクション株式会社のチームが2013年に Pwn2Own で受賞し、5 万 USドルを獲得しているが、日本人研究者の受賞例はこれまでほとんどなかった。

 脆弱性はサイバー攻撃に悪用される側面を持つが、先んじて発見しそれを防御に活かせばシステムとアプリケーションを守る積極的価値を社会にもたらす。発生する前の事故の芽を摘むことすらできる。

 新しい脆弱性の発見という研究領域は、自然科学における「新星」や「新種」の発見にも似ている。実力・努力・センスそして運に恵まれれば、それまで誰も見つけなかった脆弱性を発見し、一夜にして自分の力と価値を社会に認めさせることができる。サイバーセキュリティの研究フィールドには、そんな夢が埋蔵されており、まだ見ぬ若者がそれを採掘し掘り当てるのを待っている。
《高橋 潤哉( Junya Takahashi )》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  2. Googleアカウント無効化管理ツールの使い方

    Googleアカウント無効化管理ツールの使い方

  3. 富士通、AI のセキュリティリスク分析ツールを無償公開

    富士通、AI のセキュリティリスク分析ツールを無償公開

  4. また上野宣が社外取締役、GSX選任

  5. 通信障害の再発防止対策をまとめた報告書を総務省に提出(NTTドコモ、KDDI)

  6. 「Trend Micro CTF 2016」を開催、対象地域は全世界へ(トレンドマイクロ)

  7. 「リクナビ2020」会員データ提供の法律違反で是正勧告(個人情報保護委員会)

  8. Microsoft Edge の IE モードについて公式が解説

  9. スマートフォン用セキュリティ対策製品の新版を発表、Android端末に対応(トレンドマイクロ)

  10. イエラエ CSIRT支援室 第 27 回 ペネトレーションテスト「OSINTとは」前篇

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×