メモ

Googleの超優秀バグハンターやハッカーの神童が集結したドリームチーム「Project Zero」とは?

By TyMotion

トラフィックを増大させてシステムをダウンさせてしまうDoS攻撃や該当すると思われるパスワードの組み合わせを全て試してID認証を突破するパスワードクラックなど、サイバー攻撃にはさまざまな種類があります。Googleは現地時間の7月15日(火)に数あるサイバー攻撃の中でも防御が困難なゼロデイアタックを専門に研究し対策を開発する「Project Zero」を立ち上げ、サイバー攻撃に対して真っ向から立ち向かう姿勢を表明しました。

Google Online Security Blog: Announcing Project Zero
http://googleonlinesecurity.blogspot.jp/2014/07/announcing-project-zero.html

Meet ‘Project Zero,’ Google’s Secret Team of Bug-Hunting Hackers | Threat Level | WIRED
http://www.wired.com/2014/07/google-project-zero/

ゼロデイアタックとはソフトウェアやシステムに脆弱性が発見され修正パッチが配布されるまでの間に、その脆弱性を突いた攻撃を仕掛けることです。ゼロデイアタックを受けると、脆弱性が修正されていない時に攻撃が実行されるため、ソフトウェアやシステムは攻撃に対して防御することができず、甚大な被害を及ぼすこともあり、2014年3月にはMicrosoft Wordがゼロデイアタックの被害に遭っています。

By Anonymous9000

有効な対応策のないゼロデイアタックに対して、Googleは「Project Zero」というセキュリティチームを設立。チームには、Googleのセキュリティエキスパートが集結し、ソフトウェアを調査して脆弱性を特定したり、ゼロデイアタックの手法についても対応策を調査します。また、Googleの製品に限らず、ユーザー数の多い製品ならベンダーや種類を問わずサポートおよび調査の対象になるとのこと。

Project ZeroのメンバーにはAdobe FlashやMicrosoft Officeアプリの脆弱性を発見したBen Hawkes氏、サイバー攻撃に対して多くの功績を挙げ、アンチウイルスソフトウェアに関する脆弱性を研究しているセキュリティリサーチャーのTavis Ormandy氏、Google Chromeの防御システムをハックして受賞経験もあるハッカーの神童George Hotz氏、その他にもiOS/OS X/Safariの脆弱性を発見したことのあるIan Beer氏といった、サイバー攻撃に対するエキスパートたちが名前を連ねています。

By David Goehring

気になるのはGoogleが他社から受け取るであろう料金。Googleのセキュリティエンジニアであるクリス・エバンス氏は「Project Zeroは完全に利他主義である」、つまり他社のソフトウェアの脆弱性を調査するためなら犠牲をいとわない、としています。エバンス氏によると、インターネットに安全がもたらされることでユーザー数が増加し、結果的にGoogleに利益がもたらされるとのこと。

ただし、Wiredは「Project Zeroは多くのセキュリティリサーチャーにとって魅力的で、Googleはセキュリティ分野におけるエキスパートたちを優先的に雇用できるというメリットがあります。また、雇われたリサーチャーたちは、その後にGoogleの他の部署へ配属される可能性がある」と、Googleが無償で他社のソフトウェアを調査する代わりに得られるメリットを指摘。

Project Zeroが他社のソフトウェアの脆弱性を発見した際には、速やかに開発企業に脆弱性を知らせ、修正パッチの作成・配布に60~90日間の猶予を与えるとのこと。猶予期間終了までに修正パッチが配布されない場合には、Project Zeroの公式ブログにて脆弱性が発見されたことを公開します。猶予期間内にハッカーが脆弱性を発見した際は「ユーザーを危険にさらせない」として、脆弱性を7日間以内に公開。

By Kecko

Project Zeroが無数にリリースされる全てのソフトウェアの脆弱性を発見できるかどうかは疑問が残りますが、メンバーの1人であるHawkes氏は「調査対象となるソフトウェアは緻密に練られた戦略によって決められるし、全ての脆弱性を発見できなくても、ハッカーたちに大きな衝撃を与えることが可能だと思う」と語っています。ハッカーが発見する多くの脆弱性は同系列上に存在することが多く、1つの脆弱性を発見して修復すれば、その脆弱性に関する複数の攻撃を一度にシャットダウンすることが可能なので、Project Zeroが全ての脆弱性を発見できなくても、ゼロデイアタックを未然に防げる可能性はなきにしもあらずです。

エバンス氏によると、Project Zeroはメンバーとなる専門家の採用を進めており、まもなくチームのメンバーが10人を超えるとのこと。Project Zeroの実際の活動、そして、ハッカーたちはProject Zeroに対してどういった動きを見せるのか、今後の展開に注目です。

この記事のタイトルとURLをコピーする

・関連記事
Microsoft Wordにセキュリティホールが発見され、ゼロデイ攻撃が実行されていたことも明らかに - GIGAZINE

Androidアプリの暗号化キーに関する脆弱性をIBMが指摘、修正パッチはAndroid4.4にのみ配布され全体の約86%は依然危険にさらされたまま - GIGAZINE

「ITmedia」に何者かが不正侵入、ページを書き換えて不正コード設置 - GIGAZINE

iOSユーザーは判明済みの深刻な脆弱性を数週間放置されていたと元社員がAppleを批判 - GIGAZINE

Microsoft Security Essentialsがテストで認定を得られなかった件について自社検証の結果を発表 - GIGAZINE

Android端末の99%が影響を受ける「マスターキー」脆弱性を悪用した実例が登場 - GIGAZINE

・関連コンテンツ

in メモ,   ソフトウェア,   ネットサービス, Posted by darkhorse_log

You can read the machine translated English article here.