何年か前から毎年「Pwn2Own」なるハッキングコンテストが行われている。主にブラウザの脆弱性を見つけ出してそれをハッキングしてみせれば、それに賞金もつくというものである。賞金目当てに何やら不気味なハッカーかクラッカーが集結してくるようなイメージを持ちそうだが、実質的にはセキュリティに関連した企業の情報交換のコンファレンスともいえそうだ。

ブラウザハッキングコンテスト「Pwn2Own..」(japan.internet.com)
ハッキングコンペ「Pwn2Own」、今年はFlashやJavaも対象に(ITmedia)
Java最新版に新たな脆弱性情報
Googleが独自のChromeハッキングコンペを開催..(2012.1.25)
Webブラウザのハッキングコンペ、今年も3月に開催(2012.1.25)
10代が6万ドル獲得：『Chrome』ハッキング..(WIRED 2012.3.12)

　今年は昨年はスポンサーから外れて独自開催を行ったGoogleも復帰する。一時期離れた理由は参加者に対してハッキングに利用した脆弱性などの情報をベンダーに全面開示することを義務付けた条項が外されたため、だったとしているが、今回はその条項で折り合いがついたのだろうか。確かにベンダーからすれば脆弱性を見つけたというならば、賞金を出す以上はその内容を全面開示はしてほしいし、その脆弱性を潰すために広く協力を求めている形なのであろうから。

　今年で7回目になるようだから、7年前といえば長かったIE6にようやく陰りが見え、Firefoxはじめとするブラウザの開発競争に火が付いた頃ではなかったか。Google Chromeの登場は2008年である。Webアプリの増加に伴いJavaScriptの高速化に重きが置かれたが、ブラウザ機能の高度化に伴いセキュリティ面でも多くの問題が出てきたと思われる。特に当時はIE6は使わない方がよいとまで言われていた。そうした背景もブラウザハッキングコンテスト開催の動機にあったかもしれない。

　コンテストのテーマはブラウザを中心としながらも毎年話題になっている内容が採り上げられるようだ。そして今年は「Flash」と「Java」の脆弱性が加わった。まさに今現在、我々が日常的に利用しているWebサービスに影響しているものである。Flashなどはしょっちゅうアップデートされている感があるし、Javaの脆弱性にはいまだに対処されていないとされる。対応が本当にパッチ当てというか、泥縄的な対症療法にしかなっていないような感を受ける。そんな中でのコンテストだけに、また新たな脆弱性が多数見つかる懸念もある。通常は穴はないという自信があるから賞金も出すのだろうが、今回はむしろあるだろうと予想されてしまうだけに深刻ではある。Javaに関しては修正最新バージョン後にもすでに新たな脆弱性が見つかったとの情報もある。

　ハッキングコンテストといえば10年くらい前に、旧通産省後援で高校生対象に互いのサーバーへの侵入を競うコンテストを開催する案があった。優勝者は米国のコンピュータサイエンスの有名大学への留学を支援するというものだった。しかしハッキングを推奨するとは何ごとかという批判の前にあっけなく中止になった。今思えばセキュリティに対する明確なポリシーもない時代の話だった。テレビのウルトラクイズのような乗りだったか。当時米国でDoS攻撃の犯人を捕まえたら高校生だったとなどということから、人材育成のヒントを得たようにも思える。個人的には所詮他人が作ったソフトウェアの欠陥を見つけ出すことにモチベーションは湧かないものだが。