日本人セキュリティ研究者が国際脆弱性発見コンテストPwn2Ownで賞金3万ドル獲得 | ScanNetSecurity
2024.05.17(金)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

日本人セキュリティ研究者が国際脆弱性発見コンテストPwn2Ownで賞金3万ドル獲得

日本人セキュリティリサーチャーが国際的セキュリティコンテストで研究成果を認定され、日本円にして約 320 万円の賞金を獲得した。

製品・サービス・業界動向
zerodayinitiative.com
 日本人セキュリティリサーチャーが国際的セキュリティコンテストで研究成果を認定され、日本円にして約 320 万円の賞金を獲得した。

 セキュリティ研究組織 Zero Day Initiative が 2007 年から毎年開催している「Pwn2Own」と呼ばれるソフトウェアなどのセキュリティホールを発見するコンテストの 2021 年大会。今春 4 月に行われた。Pwn2Own は、かつて Jeep Cherokee の脆弱性を発見して世界中で話題となったチャーリー・ミラー氏なども受賞歴がある。セキュリティ研究者の世界の「神々」とも言える受賞者一覧の一人に、若手日本人技術者 志賀遼太氏が加わった。

 志賀氏が発見報告したのは「 Ubuntu における権限昇格の脆弱性」で賞金は 3 万 USドル、日本円で約 320 万円を獲得した。

 Zero Day Initiative は脆弱性情報の発見・報告・公開等の情報共有体制を確立する嚆矢となった組織で、それまでネガティブな印象を持たれるなど、あまり理解されてこなかった、脆弱性の発見およびその報告と情報共有活動に、社会性と公共性を持たせ、国際的な研究者コミュニティー形成に寄与した。

 Pwn2Own のコンテスト結果が、BBC や CNN、New York Times などの大手一般メディアによって報道されたことは一度や二度ではない。Zero Day Initiative が持つ社会性と公共性の証左ともいえる。

 Zero Day Initiative の勝因は、脆弱性公開プロセスの透明性(中国のセキュリティ研究機関などとは対極的姿勢である)の確保維持と、そして重要な脆弱性に報奨金を支払ったことである。3,000 名以上の腕に覚えがある研究者が参加し、公開脆弱性件数において、現在最も成功しているバグバウンティ活動のひとつに成長した。

 三井物産セキュアディレクション株式会社のチームが2013年に Pwn2Own で受賞し、5 万 USドルを獲得しているが、日本人研究者の受賞例はこれまでほとんどなかった。

 脆弱性はサイバー攻撃に悪用される側面を持つが、先んじて発見しそれを防御に活かせばシステムとアプリケーションを守る積極的価値を社会にもたらす。発生する前の事故の芽を摘むことすらできる。

 新しい脆弱性の発見という研究領域は、自然科学における「新星」や「新種」の発見にも似ている。実力・努力・センスそして運に恵まれれば、それまで誰も見つけなかった脆弱性を発見し、一夜にして自分の力と価値を社会に認めさせることができる。サイバーセキュリティの研究フィールドには、そんな夢が埋蔵されており、まだ見ぬ若者がそれを採掘し掘り当てるのを待っている。
《高橋 潤哉( Junya Takahashi )》

関連リンク

編集部おすすめの記事

特集

株式会社Flatt Security

バグバウンティ(脆弱性発見報奨金制度)

製品・サービス・業界動向 アクセスランキング

  1. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

  2. 「Cloudbase」が Oracle Cloud Infrastructure 対応

    「Cloudbase」が Oracle Cloud Infrastructure 対応

  3. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  4. 「Pマークポータルサイト」サービス開始、担当者にアカウント情報をメール送付

  5. ランサムウェア「LockBit」被疑者の資産を凍結し起訴

  6. 「LogStare Collector」新バージョン 2.3.8 リリース、バイナリファイルの収集とダウンロード機能搭載

  7. ICカードがなければスマホで入ればいいじゃない ~ 日本のビジネスパーソンが入退室カードから解放される日[HID VP インタビュー]

  8. 暗所や逆光にも対応、両備システムズの多要素認証「ARCACLAVIS」がパナソニックの顔認証に対応

  9. Salesforce の設定不備の問題はなぜ起きたのか? ~ SHIFT SECURITY が 3 つの無償サービスを続ける理由

  10. 経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

アクセスランキングをもっと見る

Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×