【ネット/PC】セキュリティ研究者がMacBook Airの侵入に成功--所要時間はわずか2分［08/03/28］

セキュリティ研究者のチームが、セキュリティコンテストでSafariの未公開の脆弱性を利用して2分で
MacBook Airのハッキングに成功し、賞金1万ドルを獲得した。

毎年カナダで開催されるセキュリティカンファレンスCanSecWestがバンクーバーで開催され、
その中で、TippingPoint主催のハッキングコンテスト「Pwn to Own」が行われた。
IDG News Serviceはコンテストの開催中、セキュリティ企業Independent Security Evaluators（ISE）
の研究者である、Charlie Miller氏、Jake Honoroff氏、Mark Daniel氏の3人によるハッキングを
取材した。同チームは、コンテストの2日目にMacBook Airのハッキングに成功した。
このコンテストでは、MacBook Airと、Windows VistaやUbuntu搭載機の間で安全性が競われた。

26日のコンテスト初日には、いずれのシステムでもコードの実行に成功した者はいなかった。その日、
ハッカーたちが使用できる技術は、OS自体に搭載されているネットワークを使用するだけの手法に
限定されていた。しかし、2日目にはルールが変更され、悪意を持って作成されたウェブサイトに
誘導したり、メールを開封させるなどの攻撃も可能になった。またハッカーたちは、ブラウザなど
「デフォルトでインストールされているクライアント側アプリケーション」を標的にすることも
可能になった。

ISEの研究者チームは、あるウェブサイトにあらかじめ攻撃用コードを設定した上で、判定者らを
同サイトに誘導した後、MacBook Airにアクセスし、ファイルを取り出した。TippingPointの
DVLabsブログによると、同チームは、今回新たに発見されたSafariの脆弱性を利用して
MacBook Airのハッキングに成功したという。

同コンテストの規則には、優勝チームのメンバーは彼らが用いたテクニックに関する機密保持契約
（NDA）に即座に署名するよう規定されており、その脆弱性は開発ベンダーにのみ開示される。
TippingPointによると、今回の脆弱性に関する情報はすでにAppleに送られたという。

2007年のコンテスト優勝者は、QuickTimeの脆弱性を突いて優勝した。Appleはコンテスト後
2週間以内に、その脆弱性にパッチを適用した。この本稿掲載時には、まだVistaやUbuntu搭載機の
ハッキングに成功した者はいない。

ソースは
http://japan.cnet.com/news/sec/story/0,2000056024,20370364,00.htm
依頼を受けてたてました。

MacなんてOS自体がスパイウェアみたいなもんだろ

Macはいい人なのよ!

タイムアタックすんなwwwwwww

>>2
詳しく

1.4KgもあるのにMacAirのTVCMは捏造誇大広告、
いかにも軽そうに封筒から取り出すけどありえない、
オレのノートは1Kg切っているがああいう取り出し方できないぞ。

>>6
薄いだ

オレのもほぼ同じ薄さですよ、
2cm切ってるけど指先だけで軽々と持てない。
まして普通のノートと変わらない1.4Kgなんて重すぎ、
指先鍛錬しなければ無理。

３時間くらいしか使えず、USBの穴が１個しかないノートって馬鹿じゃね？

レッツノートとか海外に持っていくと、みんなたまげるよ
R3を現役で使っているが旧くなったという感じが一切しないな・・・

＼(^o^)／

Vistaがいくら実績を示しても評価されないの報告

QuicktimeもSafariもクソな上に脆弱なのか
救えねぇ

俺の持っているノートは1.3kgで、10万円だった。
DVD-ROM/CD-RWコンボも内蔵されている。

MacAirって20万するよね
MacAirとかLet'sノートとか高すぎるんじゃない？

>>13
Macはともかく、Letsは頑丈設計だからなぁ（元ネタのタフブックは軍事警察消防引っ張りだこだから）

>>9
USBが1個しかないと、マウス・USBメモリ・携帯電話。
この3つが同時に使えない

東芝のやつの方が良いよな
ビルマーもそう言っていた

>>13
価格コムとかで買っているからR3も15万くらいだったお！

俺の持ってるノートはジャポニカだ、薄いぞ

ttp://jp.youtube.com/watch?v=Dz5Xhi1oIN8
とりあえず笑っておこうｗｗｗｗｗ

>>14

Macみたいにアホな誇大広告CMしないところがいいよね。

わかる人はわかる･･･みたいな。

でもちょっと高いのがね･･･。

マックなんて誰も使ってないから
ウイルスも目立たないだけだろ

市場で鍛えられてないから
セキュリティホールはWinより多いだろうな

>>21
それを言うとドザ乙とか言われるからなぁｗ

Ubuntuからカキコ

Vistaも落ちとるじゃないか。
残るはUbuntu。
http://dvlabs.tippingpoint.com/blog/2008/03/28/pwn-to-own-final-day-and-wrap-up

>>15
USBが2個あっても、マウス・USBメモリ・携帯電話。
この3つは同時に使えない

>>15
・Macでは青歯対応のMighty Mouseがある
・USBメモリは普通は常時繋がないと思う。
・携帯電話？？？

イーモバ、ウィルコムユーザならUSB必要だと思うけど。

うぶんつんでれ

Win/Mac/Linux侵入コンテストはMacBook Air陥落で終了、所要時間2分
http://japanese.engadget.com/2008/03/28/win-mac-linux-macbook-air-pwnd/


この記事見るとコンテスト内容がわかるけどMacBook Air狙いすぎwww

？

脆弱性だらけのセキュリティー最弱ブラウザsafariを
無責任にも他人に勧めてしまう様な最低の人間にはなりたくない。
アップル信者は他人を騙すことしか考えてないのだろうか？

Mac easiest to hack, says $10,000 winner
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9072959

>"It was the easiest one of the three," said Charlie Miller, an analyst at Independent Security Evaluators (ISE), a Baltimore-based security consultancy.
>"We wanted to spend as little time as possible coming up with an exploit, so we picked Mac OS X."

「Macが一番簡単だったよ。」メリーランド州バルチモアにあるセキュリティコンサルタント、Independent Security Evaluators (ISE) の
専門家チャーリー・ミラー氏は次のように語った。
「出来るだけ短い時間で脆弱性を突破したかった、だからMac OS Xを選んだ。」

Sadly, Apple's Safari isn't that safe | Computerworld Blogs
http://blogs.computerworld.com/sadly_apples_safari_security_safe?page=1

>People who say that the hackers went after the MacBook Air because it was the best prize aren't considering the $10,000 in prize money that was won.
>If the Sony or Fujitsu were easier, they would have been hacked first. the money can buy 5 MacBook Airs.

「ハッカーたちはMacBook Airが欲しくてMacを狙ったんだ」という人たちもいるが、(二日目の)1万ドルの賞金のことを考慮していない。
もし他のほうが簡単だったら、彼らはそっちを選んだだろう。その賞金で5つもMacBook Airが買えるのだから。

じつはＵＳＢあるんだぜ

MacBook Airに隠しUSBコネクタ x3
http://www.engadget.com/media/2008/03/3-23-08-usb-macbook-air.jpg

厚さ4mmのフチが突きだした超薄型＆可動式ポートドアという美学のおかげで
USBポートがひとつしかなく、代わりに無線LANを使うスタイルを提案してくれる
MacBook Airですが、実はさらに3つのUSBコネクタを隠していたようです。

　 /'　　　　　　　　　 　!　　　━━┓┃┃
-‐'―ニ二二二二ニ＞ヽ､　　　　┃　　　━━━━━━━━
ァ　　 /,,ｨ=-;;,,, , ,,＿　ト-､ ）　 　 ┃　　　　　　　　　　　　　　　┃┃┃
'　　 Y　　ｰ==j 〈,,二,ﾞ !　　)　　　　｡　　　　　　　　　　　　　　　　　　┛
ゝ.　 {､　　-　,.　ヾ "^ }　　}　ﾟ　｡
　　　）　　,. ‘-,,'　　　≦　三
ゞ,　∧ヾ　 ゝ'ﾟ　　　　　　　≦　三　ﾟ｡　ﾟ
'=-/　ヽﾟ ｡≧　　　　　　　　　三　＝=-
/　|ヽ　 ＼-ｧ,　　　　　　　　　　≧=-　。
　　!　＼　　ｲﾚ,､　　　　　　　　　＞三　　｡ﾟ　･　ﾟ
　　|　　 ＞≦｀Vヾ　　　　　　　　ヾ　≧
　　〉　,く　｡ﾟ　/｡･ｲﾊ ､､　　　　　｀ミ　｡ ﾟ　｡ ･

　 /'　　　　　　　　　 　!　　　━━┓┃┃
-‐'―ニ二二二二ニ＞ヽ､　　　　┃　　　━━━━━━━━
ァ　　 /,,ｨ=-;;,,, , ,,＿　ト-､ ）　 　 ┃　　　　　　　　　　　　　　　┃┃┃
'　　 Y　　ｰ==j 〈,,二,ﾞ !　　)　　　　｡　　　　　　　　　　　　　　　　　　┛
ゝ.　 {､　　-　,.　ヾ "^ }　　}　ﾟ　｡
　　　）　　,. ‘-,,'　　　≦　三
ゞ,　∧ヾ　 ゝ'ﾟ　　　　　　　≦　三　ﾟ｡　ﾟ
'=-/　ヽﾟ ｡≧　　　　　　　　　三　＝=-
/　|ヽ　 ＼-ｧ,　　　　　　　　　　≧=-　。
　　!　＼　　ｲﾚ,､　　　　　　　　　＞三　　｡ﾟ　･　

ワロタ

ってか、話しおかしくね？
ＡｉｒというよりはOSXの話だろ？

うん

なんかAAの書き込みが反映されないな
と思ってたらあぼーんしてた

厳顔開けたら2分で呉班

あれ Macって安全なんじゃなかったの？

まあ何にもわかってない奴が無理に記事書くから。

ハッキングしやすいようにいろいろと条件付けてやっているのだから、
仕方がないでしょ。

Macの場合、電源つけているだけじゃ、何も起こらないのだから。

フリーソフトに商用ソフトが負ける時代が来つつあるんだな。

ハッキングしやすいようにしてんのはどれも一緒だろ

>>24
それってさ、adobe flashのせいで落ちたって書いてない？

日本でもこういうのやればいいのにな
すげえ楽しそう

>>44
記事よめ。
1日目：電源入れてるだけの各OSに対してハッキングを試みるも、全員失敗
2日目：プリインストールのソフトを動かしたところ、OSXは簡単に陥落

つまり、このコンテストにおいて、電源入れてるだけのときの脆弱性については、
WindowsもOSXも変わらなかった、ということ。

サイトにアクセスしないと落ちないのか

Macはウイルスが少ないからセキュリティが高いみたいなＣＭあったけど
単にマイナーＯＳだという事か
プロが本気出せば簡単？

うん
簡単

脆弱性だらけのセキュリティー最弱ブラウザsafariを
無責任にも他人に勧めてしまう様な最低の人間にはなりたくない。
アップル信者は他人を騙すことしか考えてないのだろうか？

>>51

ということだな。
元々わかってたことだが、間違った印象を広めた点では詐欺に近いな。

Macはブスがレイプされないのと同じ理論で安全らしい。

とりあえずSafariからFireFoxにのりかえてInternet Security Barrier X入れた

今の為替だと英語版の方が２０００円ぐらい安いんでそっちにしたけど
中身は日本語化されてたよ。

Win＝都会の住宅
Mac＝田舎の住宅

Macユーザーってまともなセキュリティソフトを入れてる人すくないよね
安全じゃないのに

ゼロデイじゃなくて既知のセキュリティホールついてOKならwinってどうなの？既知の穴は全部塞がってるの？

>>57
Macユーザーは高学歴・高収入が多いんでは？

>>55
今は違うらしいお。

嘘もたいがいにしろと

>>24
AdobeのFlashが原因みたいですね。

このAdobeのFlash使ったやり方はMacにも通用するらしいね。

AdobeFlashなんて入れてるやついるか？

え？

Apple売れてるらしいよ！

え？

>>68
>>67は食べ物のリンゴの事を言ってるんだよ

>>14
タフブックは米軍でも使われてます。

あとLet'sNoteは日本製なので、高いのは仕方ない。

マック売れてるらしいよ！

マクドナルドのことか

こないだAirのまわり人だかり出来てた

>>9
Macはカタログスペックの80？%くらい電池もつよ
酷いと50%以下の他と違って

一時期ハッタリかましすぎて問題になってたからなアップルは。

一時期?
WIN95が出た後は常にハッタリかまして来てると思うが。

>>59
Winはプリエンプティブなので既知の穴というのはそんなに多くない。
発表=セキュリティアップデート。
あと穴が見つかるとかなり速く対処する。
で、OSXについては以下のような感じ。

487 名刺は切らしておりまして sage 2008/03/27(木) 15:29:56 ID:zCeDeyOS
    >>442
    OSだけの比較だとMacOSXのほうが危険度の高い脆弱性が多かったり
    ttp://plusd.itmedia.co.jp/pcupdate/articles/0405/25/news016.html
    ttp://japan.cnet.com/news/sec/story/0,2000056024,20097507,00.htm

    MacOSXでいやなところは、BSD/Linux界隈で穴の通り方まで即日報告される脆弱性に対して、
    パッチ提供が月一程度のインターバルしかない点。
    オープンソースに乗っかってるんだから、ゼロデイアタック対策はしっかりしてもらいたいものです。

それでも売れるマック

>>55
うまいな。レイプじゃなく痴漢なら。

>>9
> ３時間くらいしか使えず、USBの穴が１個しかないノートって馬鹿じゃね？
>
> レッツノートとか海外に持っていくと、みんなたまげるよ
> R3を現役で使っているが旧くなったという感じが一切しないな・・・


レッツノートはまじで、まだ頭ひとつ以上抜きん出て世界一だと思う。

>>80
これは企業文化の違いだろうなあ。
パナは客からの要望を長年かけて汲み取ってできた。
アップルはあくまで企業の方から提案する。

レッツは安っぽくて液晶タコでキーボードもトラックパッドもいまいちと
俺基準でいいところが一つもないな。俺基準だとTrackpointもキーボード
ライトもあるX61のほうがずっといい。勿論俺のほうが少数派なんだろうけど。

液晶とキーボードはAirも糞だよな。

CEOの人格が部分的に糞

>>77
ラーメンズのＣＭでは、MACにウイルスはない、安全だとか言ってたけどな。

米でそんなCMやったら数百億裁判でむしりとられるだろｗ

>>85
実際これウイルスじゃないだろ。

>>85
実際、MacOSX用ウィルスは、過去5年間で見ても1つか2つくらいしか出回っていないよ
それもCMの後の話だけど
ウィルスベンダは、その派生形まで対応しなくちゃいけないから、DBではもうちょっと増えるけどね

Winに比べてシェア圧倒的に少ないから、作る人が居ないのかもね

>>89
シェアは関係ない。問題はウイルスが作りやすいかOSかどうかだけ。

カップラーメン作るまで持たないのか

ムスカ大佐もびっくりだな

>>90
大いに関係あるだろwww

>>90
アフォがおるｗ

シェアの低いＯＳはウイルスも少ないだろうと言ってるだけなのに
なんでそんな事も認めたがらないんだ？

漢字Talk７．５が最強。これ豆知識な。

>>96
7.5だとAutostartに感染しねえか？

>>24
ttp://japanese.engadget.com/2008/03/30/pwn-2-own-vista-linux/
>翌日に Windows Vistaを"PWN"したのは昨年の勝利チームにも名を連ねていた
>Shane Macaulay氏(Security Objectives)と協力者。

>3日目になったのはFlashの最新版をインストールする必要があったからとされています。
つまり、MacOSXとVistaは同じくらい脆弱ということ
だが
>「Javaを利用してプロテクトを回避する手法」「LinuxやMac OS Xにも影響する可能性がある」。
なので、Mac2個、Vista1個でMac最弱ってことか

今回macが侵入されたのはSafariの脆弱性
去年はQuickTimeの脆弱性
全部併せて4つか

>>99
>去年はQuickTimeの脆弱性
あれって埋められたっけ

>>77
ソース古すぎワロス＞記事は2004年と2006年

…Linux入ってるVAIOが選ばれなかったからって、
そんな古いソースコピペしなくてもイイのにw

>>97
自動実行機能切れば意味がない、これ常識なw

>>101
未だに7.5（7.5.5ではなく！）使ってる奴にそんな常識期待してないしw

>>82
全面的に賛成します。
lenovoのロゴだけが許せない。

ウイルスソフト会社がウイルス作っているって妹が言っていたけど、本当か？

確か何かのウィルス開発者がシマンテックに採用されたはず

>>104
妹がかわいいならほんと。ブスなら嘘。

実は30秒だったらしい。

Leopardに30秒で侵入--PWN to OWNコンテスト
http://japan.cnet.com/news/sec/story/0,2000056024,20370460,00.htm
　「席に座ってコンピュータを開けるのに8分かかったかもしれないが、
コンテストが始まってから30秒後には終わっていた」（Miller氏）

「3機種のどれでも選べたのだが、最も簡単なのはどれなのか判断
しなければならず、Leopardだろうと考えた」（Miller氏）

「わたしが（Leopardの脆弱性を）探すと、そのたびに必ず見つかる。
LinuxやWindowsではそうはいかない。1年前にはiPhoneのバグを見つけたが、
それは同時にSafariのバグでもあった。わたしは『Quicktime』でもその他の
バグを見つけている」（Miller氏）

弱っwww

世界中のハッカーが目を皿のようにして穴を探しているＯＳと
そうでないＯＳ

このへんの違いでないか

>>109
誰もシェア低いOSなんて狙わないから

アップルボム・iPod nanoの次はiPod touchが発火

http://www.engadget.com/media/2008/03/ipod-touch-fire-1.jpg
http://www.engadget.com/media/2008/03/ipod-touch-fire-2.jpg
国内でiPod nanoが過熱・火花をあげた事故について、
経産省への報告を怠っていたアップルジャパンが厳重注意と
原因究明を命じられた件が話題となっていますが、
今度はiPod touchでも過熱事故があったという報告が届きました。
画像は「ガラスの下の液晶と部品が焦げたiPod touch」とされるもの。
所有者のMax S氏いわく、過熱したtouchは机も焦がした上に
もちろん使用不能になったとのこと。

アップルは良品との交換に応じたうえでこの個体について
調べているとされるものの、詳しい状況や原因などは分かっていません。
同氏によれば、アップルの担当者は「ちょうど発火した部分にある
アンテナに何か問題があり、バッテリーにスパークして
火が付いた可能性を考えているようだった」。
アップルからは現時点でコメントを貰えていません。
「続きを読む」に写真をもう一枚掲載。
はげしくボケているのは撮影者の動揺と解釈しておきます。

http://japanese.engadget.com/2008/03/12/ipod-touch-burn/

瞬殺ってこのことを言うんだな。

　

マックは使われてない分狙われないだけで穴は空きまくり

>>110
たまにMac使ってる会社あるけど
アホかと思う

>>116
オンラインDOS環境、古いPC98を　まだ使い続けている会社とどっちがアホですか？

>>117
それって逆に何か特殊な理由がありそうだね。
その時代のソフトで外せないものがあるとかで。

無償アンチウイルス“avast! Home”にスパイウェア・ルートキット対策が追加
http://www.forest.impress.co.jp/article/2008/03/31/avast48.html

>ALWIL Softwareは29日、ウイルス対策ソフト「avast! 4 Home Edition」の
>最新版v4.8.1169を公開した。
>Windows 95/98/Me/NT 4.0/2000/XP/Vista/XP x64/Vista x64に対応しており、
>個人かつ非商用に限り無償で利用できる。

モバイルノートねぇ・・・・
この分野じゃLet'sどころかVAIOですらMacの遥か先を行ってるよなぁ

普通にセキュリティの勉強会でこういう事できるのが、うらやましいな。
賞金1万ドル出せる環境だったら、日本でもこの手の人材は育成できる。

日本じゃ、「セキュリティを破る」という行動自体が悪になってる。
1万ドルなんて賞金出したら、クレームが殺到するだろうな。

本来なら、経産省が音頭とってやらんといかんのだがな。

CanSecWestは、世界中からセキュリティ業界の人間が集る一大イベントだぞ。

>>121
日本でも以前にハッキング大会は開催されていたはず

Macは大丈夫

↓2分後

あべし

ひでぶ

たわば

　

　

　

Macはセキュリティーザルだなあ

ウイルスとの戦闘経験さえほとんど無いマック隊か　

BSD系だから無いって事はないだろう、一応。
オープンソースで速やかに公開されるセキュリティーホールにOS Xのパッチが間に合わないという悩みはあるらしいが。

何か実際の被害報告ってあったの？

Mac版ノートンなんかWindowsウイルスの配布阻止に力入れてるらしいしな