脆弱性発見報酬プログラムはGoogleやFacebookなどが採用して普及してきましたが、それらの中でも異彩を放っているゼロデイ脆弱性発見コンテスト「Pwn2Own」がついに日本で11月に開催されることになりました。今回のコンテストは「Mobile Pwn2Own」というタイトルのように、モバイルデバイスの脆弱性にフォーカスしたもので、先週9月13日に発表されたアナウンスによると総額US$300,000 (約3000万円弱)にのぼる賞金が提供される予定です。

  「Mobile Pwn2Own」は、2012年秋にアムステルダムでのEUSecWestコンファレンスでも開催され、NFC経由でSamsung S3に対する攻撃を成功させた発表があるなど話題になりました。
  また、2013年3月のCanSecWestと同時に開催されたPwn2Ownでは、PS3のハックで有名になり今はFacebookのセキュリティチームにいるジョージ・ホッツ氏も参加してUS$70,000 (約700万円)の賞金と賞品ラップトップをさらって行きました。
  ということで世界中のメディアの注目も集まり、Pwn2Ownは脆弱性での賞金稼ぎを狙っているハンターには目の離せないイベントになっています。

  Pwn2Ownコンテストは基本的に割り当てられた部屋の中で行われます。今回の開催ルールはこちらにありますが、18歳以上であること、主催者のHP、Google、BlackBerryの社員やその傘下の企業社員は参加出来ないこと、アメリカが制裁処置を取っている国の国民でないこと、開催する国の法律に抵触する行為を行わないことなどの規定があります。

  Pwn2Ownコンテストは、2007年にカナダで開催されているCanSecWestセキュリティ・コンファレンスと同時開催されて始まりました。その時に共同開催したHP社の脆弱性リサーチ部門のZero Day Initiativeが続けて協力していて、CanSecWest主催者の行う他のコンファレンスなどともシンクロして開催され、今回の11月はPacSecコンファレンスでの同時開催になります。
  賞金はHP社が主に用意していますが、Chromeに対するコンテストではGoogleが賞金を用意しています。今回はBlackBerry社も賞金を用意します。(なので、特定の対象以外でPwn2Ownで発見されたほとんどの脆弱性やそのエクスプロイット・コードなど知的財産にあたるものは、HP社ZDIに帰属することになります。) 

  今回の賞金は5つのカテゴリーで用意されています。ある意味ここから脆弱性の重大性のランクを感じることができますね。
・$50,000 近距離通信/物理的アクセス 
・$40,000 モバイルウェブブラウザー 
・$40,000 モバイルアプリ、OS 
・$70,000 SMSなどメッセージングサービス
・$100,000 ベースバンド

  対象になるデバイスは以下の9種類です。
・Nokia Lumia 1020 - Windows Phone 使用
・Microsoft Surface RT - Windows RT 使用
・Samsung Galaxy S4 - Android 使用
・Apple iPhone 5 - iOS 使用
・Apple iPad Mini - iOS 使用
・Google Nexus 4 - Android 使用
・Google Nexus 7 - Android 使用
・Google Nexus 10 - Android 使用
・BlackBerry Z10 - BlackBerry 10 使用

もちろん日本からの参加も期待されています。この分野の研究をしている人はぜひ注目。