Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

セキュリティの通信簿

脆弱性価格は実情に合ったものかも知れません。

gigazine.net

 

様々な「脆弱性」をクラッカーから買い取っているZERODIUMが、買取対象としている脆弱性の大部分の価格を引き上げました。ただ、バグや脆弱性の発見に対する企業の報奨金プログラムと比べてZERODIUMの買取額は破格であり、研究者からはZERODIUMの信頼性に疑問を投げかける声もあります。

 

具体的には、iOSを遠隔で脱獄(ジェイルブレイク)させる脆弱性が、クリック不要なら200万ドル(約2億1700万円)、1クリックなら150万ドル(約1億6300万円)。WhatsAppやiMessage、その他のSMS・MMSでリモートコードを実行させる脆弱性が100万ドル(約1億900万円)。Windowsでリモートコードを実行させる脆弱性も100万ドル(約1億900万円)となっています。

Gigazine記事より引用)

 

◆キタきつねの所感

バグ報奨金プログラムではなく、脆弱性を購入するZERODIUMは、グレーなサイトと位置づけられるかと思います。ZERODIUMの脆弱性買取は、セキュリティ研究者向けの販売でもある様ですが、それ以外にも、どこぞやの暗く深いサイトにも流れている、と考えると購入する価格が高額であるのもしっくりきます。

zerodium.com

 

新たに設定された、購入価格を見ると、、、

f:id:foxcafelate:20190114090432j:plain

記事にもありましたが、iOS関連の脆弱性についてはかなり高額なオファーとなっています。Appleが公式に提供するバグ報奨金は、最高で20万ドル(下図はMotherboard2017/7/17記事より引用)程度ですので、ゼロディ攻撃の脆弱性について5倍~8倍程度のニーズがあると考える事もできそうです。

f:id:foxcafelate:20190114085636p:plain

 

 

f:id:foxcafelate:20190114090525j:plain

 

モバイル端末への価格オファーの中では、WhatsApp/iMessageへのリモートコード実行が出来る脆弱性も高額(約1.1億円)ですし、ChromeSafariサンドボックス回避も何故かニーズがある訳ですが、2.5倍に買い取り価格が上がっている事から考えるとハッカー側がサンドボックスを回避できてない、つまりセキュリティが強固であるという裏返しでもあるのだと思います。

 

f:id:foxcafelate:20190114085013j:plain

 

PC端末側では、Windowsの共有プロトコル(SMB)やリモートデスクトップ(RDP)のパケット攻撃、モバイル端末と同じくChrome、そしてApacheへのリモートコード実行、アウトルックやPHP、OpenSSL、VMWare・・・やはりよく使われているソフトウェア、あるいは重要な情報が保存・通過するサーバ系のセキュリティの穴をハッカー側は欲しがっている、そんな状況が垣間見れます。

 

個人ベースで考えると、iOSで、Chromeを使っていれば比較的安全そうな事が分かるわけですが、買取リストから見ると、PC端末/サーバの買取価格では、macOS系が(利用ユーザが影響していると思いますが)少ないので、現時点ではハッカーに狙われにくいと考える事ができそうです。

 

 

åç«åã®å¼±ã人ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年1月14日AM(予約投稿)