Pwn2Own 2013 と Pwnium 3 のハッキング コンテストはどちらも先週、ブリティッシュ コロンビア州バンクーバーで開催された CanSecWest セキュリティ カンファレンスという同じ場所で開催されましたが、その結果の違いは驚くほどのものでした。
HPセキュリティリサーチブログHP の Zero Day Initiative (ZDI) が開催した Pwn2Own 2013 では、今年はブラウザーとブラウザー プラグインに焦点が当てられ、テスト対象のソフトウェアに関して比喩的な流血の惨事 (右の結果を参照) が広範囲にわたって繰り広げられました。
一方、Google の同時実行版 Pwnium 3 では、Google の Linux ベースの Chrome OS オペレーティング システムを解読できなかったハッカーたちが敗北した。
賞金総額314万1590ドル
「セキュリティはChromeの中核理念の一つですが、完璧なソフトウェアは存在せず、セキュリティ上のバグは最高の開発・レビュープロセスでさえもすり抜けてしまうものです」と、Google Chromeセキュリティチームのメンバーであるクリス・エバンス氏は、1月下旬にこのコンテストを発表したブログ記事で述べています。「だからこそ、私たちはセキュリティ研究コミュニティと連携し、脆弱性の発見と修正に尽力してきました。」
参加者は、Chrome OS の最新の安定バージョンを実行している Samsung Series 5 550 Chromebook の基本 (WiFi) モデルに対する攻撃を実証する必要がありました。
Google も十分な動機を提示した。Google によると、数字の「円周率」にちなんで名付けられた 314 万 1590 ドルという総額は、ブラウザまたはシステムの侵害に対して 11 万ドル、再起動後も侵害が続く場合の 15 万ドルの内訳である。
受賞作品なし
「これらのより大きな報酬は、従来のオペレーティングシステムと比較して、Chrome OS のセキュリティ防御に取り組むことに伴うさらなる課題を反映していると考えています」とエバンス氏は説明した。
グーグルChromebook ユーザーにとっては幸運なことですが、競合するハッカーにとっては不運なことに、完全な侵害に成功した人は誰もいませんでした。
「受賞作品はありませんでしたが、部分的なエクスプロイトとして認められる可能性のある作品を評価中です」と先週木曜日のGoogle+での結果発表には書かれていた。
Linuxの利点
もちろん、セキュリティ企業 Sophos の先週のブログ投稿で指摘されているように、Chrome の脆弱性攻撃が 2 日前に発見されたことで、Google は Pwnium が始まる前に Chrome OS にパッチを適用できたことは注目すべき点です。
それでも、他に何も発見されなかったという事実は、Chrome OS が Linux をベースとしていることの大きな証拠であり、Linux は独自の OS よりもはるかに安全であると広く考えられています。
その理由は、権限の割り当て方法やソフトウェアのオープンソース性などさまざまなものがありますが、Chrome OS には、最近 Linux カーネルに追加されたサンドボックス機能である seccomp-bpf の利点も加わっています。
その結果は、本質的には「攻撃者が投げつける攻撃の多くをすぐに拒否するカーネル内の小さなフィルター」となる、と Google のソフトウェア エンジニア Julien Tinnes 氏は昨年秋に Chromium ブログで説明した。
結論としては、セキュリティを最優先に考えるなら、Chrome OS やその他の Linux 形式が最適だということです。
