セキュリティ研究者たちは、サンドボックス保護を回避し、Google Chromeブラウザ経由でPCを攻撃することに成功したと主張しています。Vupen Securityは、ハッカーや研究者が3回連続でPwn2Ownコンテストで達成できなかったことを、Vupenが達成したと発表しました。Googleは有効なエクスプロイトに対し2万ドルの賞金を出していたにもかかわらず、達成できなかったのです。しかしながら、Vupenが使用したエクスプロイトは実際にはChromeサンドボックスを回避できないのではないかという憶測が高まっています。
Vupen Securityは、この攻撃を実演するビデオクリップを公開しています。この攻撃は、Chromeサンドボックス、WindowsのDEPおよびASLRセキュリティ機能を回避し、Vupenが発見したゼロデイ脆弱性を悪用して、ユーザーに気付かれることなく密かに実行されます。Vupenによると、この攻撃は32ビット版と64ビット版の両方のWindows PCで実行可能です。
Invinceaの創設者兼チーフサイエンティストであるAnup Ghosh氏は、Chromeブラウザのサンドボックスがクラックされたことはそれほど驚くべきことではないと述べています。「Google Chromeサンドボックスは、Google Chromeブラウザの一部、具体的にはレンダリングエンジンのみをカプセル化しています。今回のエクスプロイトは、このサンドボックスのコードまたは設計に欠陥が見つかったか、サンドボックス外から呼び出されるソフトウェアの欠陥を悪用したもので、ブラウザ内とChromeが呼び出すオペレーティングシステムライブラリの両方に、かなりの攻撃対象領域があります。」
しかし、Google内部の情報筋によると、Vupenは攻撃の実行方法の詳細をまだ明らかにしていないとのことです。セキュリティ専門家の間では、Vupenが実際にはChromeブラウザで完全にサンドボックス化されていないFlashのバグを悪用したのではないかとの憶測が飛び交っています。もしそうだとすれば、厳密に言えばVupenはChromeサンドボックスを突破していないことになります。
しかし、もしVupenがサンドボックスを突破できたとしても、Chromeブラウザがサンドボックス保護を突破される最初の例にはならないでしょう。Adobe Reader Xのサンドボックスなど、他のサンドボックス実装も既に回避されています。では、これはIT管理者と消費者にとって何を意味するのでしょうか?サンドボックス保護は無意味なのでしょうか?
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は次のように述べています。「サンドボックスは貴重なセキュリティ機能です。セキュリティのあらゆるレイヤーには価値がありますが、いずれのセキュリティ対策も破られる可能性があります。これは敵対者同士の戦いであることを忘れてはなりません。私たちは常に、ますます巧妙化する攻撃者よりも一歩先を行くよう努めています。」
マカフィー研究所のセキュリティ研究およびコミュニケーション担当ディレクターのデイブ・マーカス氏は、「多くのサンドボックスは最終的には特定の技術によって回避されてしまいますが、ブラウザベースのマルウェアやエクスプロイトに対する防御策として依然として必要です」と説明しています。
ストームズ氏は、攻撃者が脆弱性が発見されるまで様々な攻撃戦略を自動生成するファジングツールなどのツールを利用できるため、攻撃者が有利だと指摘しています。ファジングツールの使用には攻撃者にとって何のコストもかからず、実行可能な攻撃が発見されるのは時間の問題です。
サンドボックスセキュリティは無意味か、そして私たち全員が諦めるべきかという問いに対する答えは、一言で言えば「ノー」です。しかし、IT管理者と消費者が共に覚えておくべき重要なことは、万能のセキュリティ対策は存在しないということです。それぞれのセキュリティ対策や機能は、パズルのピース、つまり防御層の一部に過ぎません。それ自体ではすべての攻撃を防ぐことはできませんが、全体として見ると、より熟練した、より熱心な攻撃者でなければ突破できない多面的な防御を構築します。
