中国政府がコンテストで入賞した脆弱性を用いてiPhoneをハッキングしウイグル人用の監視ツールを開発していたことが明らかに

ハッキングコンテストに参加した中国人ホワイトハッカーが、ゼロデイ脆弱性を発見し、コンテストで入賞し賞金を獲得しました。通常、こういった脆弱性は開発企業に報告され、修正されたのちに公開されます。しかし、中国政府はこの脆弱性を応用したエクスプロイトを作成し、ウイグル人をスパイするための監視ツールを開発したと報じられました。

Report: China Turned Prize-Winning iPhone Hack into a Surveillance Tool Against Uyghur Muslims
https://www.iphonehacks.com/2021/05/china-prize-winning-iphone-hack-uyghur-muslims.html

iPhone hack used by China to spy on Uyghur Muslims - 9to5Mac
https://9to5mac.com/2021/05/06/iphone-hack/

Chinese Government Reportedly Used Prize-Winning iPhone Hack to Spy on Uyghur Muslims | iPhone in Canada Blog
https://www.iphoneincanada.ca/news/china-hack-uyghur/

ハッキングコンテストのPwn2Ownは、世界中から何百万人ものセキュリティ研究者が参加するイベントです。こういったイベントに参加する中国人セキュリティ研究者に対して、中国のサイバーセキュリティ大手・Qihoo360でCEOを務めるZhou Hongyi氏は、「発見した脆弱性が使用できなくなってしまう」と警告しました。こういった発見が中国にとどまり続けるようにすることで、同国は「戦略的価値」が得られるようになるとHongyi氏は主張したわけです。

こういった発言を受けてか、2017年に中国政府はセキュリティ研究者が世界的なハッキングイベントに参加することを禁止しました。さらに、中国主催のハッキングコンテストである「The Tiafu Cup」を発表し、参加者に100万ドル(約1億1000万円)以上の賞金を授与しています。

The Tiafu Cupが初めて開催されたのは2018年11月のことで、最優秀賞に輝いたエクスプロイトには20万ドル(約2200万円)が授与されました。

最優秀賞を受賞したエクスプロイトを開発したのはQihoo360の研究者であるQixun Zhao氏で、最新のiPhoneを簡単かつ確実に制御できるものとなっているとのこと。Apple純正のウェブブラウザであるSafariから、悪意のあるコードが埋め込まれたウェブページにアクセスしたiPhoneに攻撃を仕掛けることで、端末を乗っ取ることが可能になるそうです。

エクスプロイトを開発したZhao氏は、世界中のiPhoneをスパイできてしまうため、自身の開発したエクスプロイトは「カオスです」と警告していました。

Appleはエクスプロイトが発表されてから2か月後の2019年1月に脆弱性を修正しました。しかし、2019年後半にGoogleがZhao氏の発見した脆弱性を用いた大規模なハッキングが行われていることを発見し公表しています。

Googleによると、中国政府はZhao氏がエクスプロイトを発表してからすぐに、同エクスプロイトを用いてウイグル人を監視するためのツールを構築。Appleが脆弱性を修正する前に、ウイグル人のiPhoneをターゲットに攻撃を仕掛けていた模様。

なお、Apple関連メディアのiPhone Hacksは、「政府機関がサイバーセキュリティイベントに干渉するべきではありません。Appleのような企業は、バグ報奨金プログラムをさらに強化するよう努めるべきです」と述べています。