マイキー・キャンベル
· 2分で読めます
ソフトウェア脆弱性ブローカーは、最近のiPhoneのゼロデイ脆弱性の「氾濫」により、Androidへの侵入を狙った同様の攻撃に比べてバグの価値が低くなったとして、iOSの脆弱性攻撃に対する支払い率を引き下げた。
エクスプロイト再販業者の Zerodium は火曜日、Android の脆弱性に対する相場価格の引き上げを発表し、同社は現在、いわゆるゼロクリックゼロデイに対して最大 250 万ドルの支払いをしている、とMotherboardが報じている。
Androidの脆弱性攻撃の価値が上昇するにつれ、iOSの保護を突破するように設計されたゼロデイ脆弱性の市場の健全性は、供給過剰とも言える状況により停滞しています。例えば、ZerodiumはiPhoneを標的としたゼロクリック攻撃に対して200万ドルの賠償金を支払い、ワンクリック攻撃に対する賠償金は150万ドルから100万ドルに減額されたと報告書は述べています。
ゼロクリックエクスプロイトとは、ユーザーの介入なしにデバイスをハッキングするために利用できる脆弱性を指します。一方、ゼロデイエクスプロイトとは、プラットフォーム運営者がまだ把握していないバグ、エクスプロイト、その他の欠陥を指します。ゼロデイエクスプロイトは、iPhoneのようなロックダウンされたデバイスへの侵入を狙う、合法・悪意を問わずハッカーにとって特に貴重な資産です。
「ゼロデイ市場はiOSエクスプロイト、主にSafariとiMessageチェーンで溢れています。これは主に、多くのセキュリティ研究者がiOSエクスプロイトに注力し始めたことが原因です」と、Zerodiumの創設者Chaouki Bekrar氏は述べています。「彼らはiOSのセキュリティと緩和策を完全に破壊しました。iOSエクスプロイトがあまりにも多く存在するため、私たちはその一部を拒否し始めています。」
エクスプロイトバイヤーCrowdfenseのディレクター、アンドレア・ザッパローリ・マンゾーニ氏は、ベクラー氏の市場評価に同意しているものの、全てのiOSチェーンが「インテリジェンスレベル」ではないと指摘している。それでも、脆弱性の供給は需要を上回っているようだ。
ベクラー氏は、Androidは断片化もあって、クラックがますます困難になっていると付け加えた。GoogleのOSの複数バージョン、複数デバイス対応という性質は、一貫性と安定性の面で長らく弱点と考えられてきたが、この「機能」こそが、広範囲にわたる攻撃から身を守る上で役立つ可能性があると報告書は述べている。
「Androidは非常に断片化された環境であるため、『ユニバーサルチェーン』を見つけるのはほぼ不可能だ。これは『単一文化』であるiOSよりもはるかに難しい」とザッパローリ・マンゾーニ氏は語った。
ベクラー氏はさらに詳しく述べ、Androidのセキュリティが絶えず向上しているため、研究者にとってバグ発見が困難になっていると述べた。彼は、AppleがiOSの取り組みに追いついていないことを示唆しているようだ。
「しかし、Androidのセキュリティは新しいOSがリリースされるたびに向上しています。Androidの完全なエクスプロイトチェーンを開発するのは非常に困難で時間がかかりますが、ゼロクリックベクター(ユーザー操作を一切必要としないもの)の場合はさらに困難です」とベクラー氏は述べた。「AppleがSafariやiMessageといったiOSコンポーネントのセキュリティを再度強化するまで、Androidのエクスプロイトには最高額のバグ報奨金を支払うべき時が来たと考えています。」
Motherboardが指摘しているように、ZerodiumやCrowdfenseのようなブローカーは、ソフトウェアの脆弱性を扱うより広範な市場の一部に過ぎません。他のプレーヤーには、法執行機関や政府機関、地域の調査会社、そして不正行為者とのみ取引を仲介する企業が含まれます。
Zerodiumの新しい報奨金価格は、GoogleのProject Zeroが大規模なiPhoneハッキング作戦の発見を発表した数日後に発表されました。数年にわたるとみられる期間にわたり、ハッキングされた一連のウェブサイトが複数の脆弱性を悪用し、最新バージョンのiOSを搭載したiPhoneの機密ユーザー情報を盗み出し、位置情報を追跡できるソフトウェアインプラントを拡散していました。
その後の報道では、中国政府がこのハッキングをウイグル族のイスラム教徒を監視するために利用したと主張している。
