3月20から23日にかけて、カナダのブリティッシュコロンビア州バンクーバーでハッカーが腕を競う「ポーンバンクーバー(Pwn2Own Vancouver) 2024」が開催された。Windows11やテスラ自動車などのゼロデイの脆弱性(未知の脆弱性)が発表され、賞金73万2500ドル(約1億1200万円)とテスラモデル3が授与されている。
ゼロデイの脆弱性とは、パソコンやスマートフォンに内蔵されたソフトウェアや機器を制御するファームウェアなどのプログラムの瑕疵(脆弱性)について、製品提供者(ベンダー)がその脆弱性の存在に気付いていない状態をいう。修正プログラムが配布されていないため、インターネット上の「ダークウェブ」などで高値で取引され、サイバー攻撃に利用される。
日本でもハッキング大会は度々行われているが、主催者側が事前に用意したすでに知られている脆弱性を利用してハッキングを行うもので、ゼロデイの脆弱性を見つけ出せた例はほとんどない。
海外のコンテストでは、ソフトウェアを製造した人たちでも気づいていない「欠陥」を見付け出す力が競われている。
海外のハッキング大会への参加を禁止した中国
世界各地で行われるハッキングコンテストに、かつて優勝もしていた中国の若者やセキュリティ研究者の姿はない。中国は脆弱性情報の管理強化を目的として、2017年以降、セキュリティ研究者らが海外のハッキングコンテストに参加することを禁止している。
中国では、海外の国際コンテストに代わる「天府杯」と呼ばれる大会が毎年開催されている。18年11月に開催された第1回の大会では、100万ドルという賞金総額が用意された。
優勝したのは、iPhoneを乗っ取った中国大手セキュリティ企業である奇虎360の研究者であった。最新のiPhoneがハッキングされ、遠隔操作で乗っとることができる手口やその攻撃に使用される脆弱性情報は、当時、数百万ドルで取引される価値があるといわれた。
その大会の2カ月後の19年1月には、Appleが修正プログラムを配布し、発見者に感謝の意を表した。この問題は終わったかに思えたが、同年8月、Googleが「天府杯」で優勝したハッカーが使用した脆弱性が利用されiPhoneが乗っ取られていることを公表したのである。
