中国の四川省で毎年開催されるハッキングコンテスト「天福杯」の開催中に、ハッカーがiOS 15、Windows 10、Google Chromeの防御を突破した。特定のメーカーの声明によると、このトーナメント中に悪用された特定のゼロデイ脆弱性はすでに修正されているか、まもなく修正される予定です。
数日前にコラムでお話しましたが、中国のハッカーがわずか15秒でiPhone 13のハッキングに成功。この偉業は、中国の四川省で毎年開催されるハッキング大会、天府杯(10月16~17日)で達成された。このイベントは、中王国のハッカーエリートにとって見逃せないイベントとしての地位を確立しています。国境外で同様のトーナメントに参加することは禁止されています。
中国のハッカーエリートが大混乱を引き起こした
ただし、サイト上の同僚によって報告されているように、フォーブス、TianFu Cup の参加者は、iOS 15.0.2 だけでなく、多数の人気サービスや製品の防御を打ち破ることで、今回の大会でも好成績を収めました。したがって、ハッカーは、以下で特定された 5 つのセキュリティ上の欠陥を悪用することに成功しました。Windows 10そのうちの 1 つは Microsoft Exchange に影響します。 Google Chrome に関しては、ハッカーは 2 つの脆弱性を利用してブラウザをダウンさせました。
しかし、被害者のリストはそれだけにとどまりません。Adobe PDF、Asus AX56U ルーター、Docker CE、Parallels VM、QEMA VM、Ubuntu 20、VMware ESXi、Workstation も見事にハッキングされています。疑問に思われるかもしれませんが、悪用された脆弱性とその影響に関する詳細は、今後数か月以内には判明しないでしょう。
実際、この種のコンテストの参加者は通常、「責任ある情報開示」を行っています。言い換えれば、メーカーがパッチを公開するまでに、悪用された欠陥の詳細を提供しないことを約束します。ただし、天府杯には少し特別なステータスがあります。実際、中国は 2021 年 9 月 1 日に新しい法律を制定しました。中国国民に対し、発見されたゼロデイ脆弱性を政府に開示するよう義務付けている。
特定の点で懸念される競争
Lookout のチーフ IT セキュリティ エンジニアであるクリスティーナ バラム氏にとって、この措置は次のことを意味するという意味で憂慮すべきものです。中国政府は、他の地域で広く使用されている製品に対する膨大な数のゼロデイ脆弱性を保存し、パッチが適用される前に、これらの製品を悪用するために必要な知識にアクセスできる可能性があります。「。
それでも、ITセキュリティ会社BreachQuestの共同創設者であるジャック・ウィリアムズ氏は、天府杯についてはあまり心配する必要はありません。彼が指摘するように、参加者は検出した脆弱性を秘密にし、それを競技会で悪用することにあらゆる関心を持っています。理由?競争においてこれらの欠陥を明らかにする方がはるかに有益ですメーカー (バグハンティング プログラム経由) や当局に公開して賞品を獲得します。例として、チームパングー海賊はポケットに入れました。天府期間中30万ドル カップ脱獄するためにiPhone13iOS 15.2です。
コンテスト中に悪用された欠陥の影響を受けるメーカーについて、マイクロソフトは次のように保証しました。即時サポートの基準を満たす検証済みのセキュリティ問題に対する解決策は、通常、パッチ火曜日の一部としてリリースされます。Googleに関して言えば、同社はちょうどGoogle Chrome 95の2つのゼロデイセキュリティ脆弱性を修正。これらは、競争中に悪用された 2 つの脆弱性であることをすべて示唆しています。
