Androidの脆弱性「Stagefright」を発見したセキュリティ企業Zimperiumは、セキュリティ研究者に対し「Nデイ」ソフトウェアエクスプロイト発見者への報酬支払いを開始すると発表しました。同社はこの取り組みを通じて、ゼロデイエクスプロイトの生存期間を短縮し、マルウェア対策エンジンを改良し、パートナー企業のモバイルデバイスのセキュリティ強化を目指しています。
ゼロデイ脆弱性
ゼロデイ脆弱性(ゼロデイ)とは、セキュリティ研究者や悪意のあるハッカーによって発見され、未だに一般公開されていないソフトウェアのバグのことです。これらのゼロデイ脆弱性は、完全な(公開の)開示、あるいは「責任ある」開示を通じて、影響を受ける企業に明らかになる可能性があります。
責任ある開示には、多くの場合、ゼロデイ脆弱性をバグ報奨金プログラムに提出することが含まれます。このように公開された場合、ゼロデイ脆弱性の価値は数百ドルから数万ドルにまで及ぶ可能性があります。しかし、闇市場では、同じバグでも犯罪者や政府機関からはるかに高い価格で取引される可能性があります。
ゼロデイ脆弱性は、誰かに発見されるまでに何ヶ月、あるいは何年も悪用される可能性があります。これらのバグと、それを武器化するエクスプロイトは、ジャーナリスト、活動家、著名人、政治家などを標的にするために利用される可能性があります。
N-Day脆弱性
「N 日間」の脆弱性とは、影響を受ける企業によってすでに発見されているゼロ日間の脆弱性ですが、パッチがリリースされ、特定のユーザーのデバイスで有効になるまでに「N 日間」かかる場合があります。
公開された脆弱性は、多くの場合、ほとんど価値がありません。攻撃者は、潜在的な標的が修正するまでのソフトウェアの抜け穴に時間を浪費したくないからです。しかし、脆弱性の価値が高い場合、依然として購入される可能性があります。また、ほとんどのユーザーはソフトウェアやデバイスのアップデートを遅らせているため、企業が自ら問題を修正したとしても、依然として標的となる可能性があります。
ZimperiumがN-Daysを買収
Zimperiumは、セキュリティ研究者(あるいはゼロデイ脆弱性を発見した人)が、政府機関など関心を持つ組織にエクスプロイトを売却した後、再びエクスプロイトを売却してくれることを期待している。同社は、ゼロデイ脆弱性の有効期間を大幅に短縮し、標的をハッキングしようとする者にとって、そのコストをさらに高くする狙いがある。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
同社はこれまでにこのプログラムに150万ドルを割り当てており、その資金から複数のNデイ脆弱性を購入する予定です。同社が狙うエクスプロイトの種類は以下のとおりです。
リモートエクスプロイト、ローカルエクスプロイト、情報漏洩の脆弱性、その他の脆弱性も適用できますが、メールに記載する必要があります。
Zimperium にとって何のメリットがあるのでしょうか?
Zimperiumは、事実上すべてのAndroidユーザーに影響を与えたStagefrightバグを発見した後、2015年に「Zimperium Handset Alliance」(ZHA)を設立しました。Samsung、Softbank、Telstra、BlackBerryなど30社を超える企業が、セキュリティ重視のコンソーシアムとしてZimperiumに加盟しました。
Zimperiumは、購入した脆弱性をZHAメンバーと共有する予定です(報酬/メンバーシッププランが用意されている可能性があります)。そして、公開前に30日から90日間の修正期間を設けます。エクスプロイト作成者は、バグを一般公開しないようリクエストできますが、ZHAメンバーとは常に共有され、メンバーはそこから得た知識を自身のデバイスの修正に活用できます。
セキュリティ企業は、購入したエクスプロイトで発見された技術を、自社のマルウェア対策エンジン「Z9」の改良にも活用する予定です。Zimperiumによると、同社のZ9エンジンは、過去数年間に公開されたカーネルエクスプロイトをすべて検出しており、アップデートは不要とのことです。
