KADOKAWA Technology Review
×
中国のハッキング・コンテスト「優秀作」、ウイグル弾圧に利用
MS TECH | GETTY
コンピューティング Insider Online限定
How China turned a prize-winning iPhone hack against the Uyghurs

中国のハッキング・コンテスト「優秀作」、ウイグル弾圧に利用

中国のハッキング・コンテスト「天府杯」で最優秀賞を獲得したアイフォーン向けエクスプロイト(ソフトの脆弱性を悪用して攻撃するプログラム)が、中国政府のウイグル弾圧に使われていたことが明らかになった。米国当局は、コンテストと中国軍との結び付きについて懸念を深めている。 by Patrick Howell O'Neill2021.05.14

2017年3月、「世界で最もよく使われているテクノロジーの隠れた弱点を見つける」という1つの目標を掲げて、中国からハッカーの一団がバンクーバーに到着した。

グーグルのクロム (Chrome) ブラウザー、マイクロソフトのウィンドウズ・オペレーティングシステム、アップルのアイフォーン(iPhone)などがすべて標的となっていた。しかし、法律に違反する者は誰ひとりいなかった。彼らは、世界的権威があるハッキング・コンテストのひとつである「Pwn2Own(ポウンツーオウン)」の出場者だったからだ。

Pwn2Ownでは、未知のソフトウェア脆弱性(「ゼロデイ」と呼ばれる)を発見し、侵入に成功すると高額賞金が与えられる。それが魅力となって、世界中のエリートハッカーを引き付けている。2017年は記念すべき10回目の開催の年だった。コンテストで不具合が発見されると、詳細は関係する企業に渡され、修正する時間が与えられる。一方、不具合を発見したハッカーは、金銭的な報酬と一生自慢できる権利を手にしてコンテストを後にする。

何年にもわたって、中国人ハッカーはPwn2Ownのようなイベントで最も支配的な勢力として君臨してきた。数百万ドルの賞金を獲得し、エリートハッカーたちの間で地位を確立してきた。しかし、2017年ですべて途絶えた。

中国で特に重要なテクノロジー企業の一つに挙げられるサイバーセキュリティ大手「奇虎360(チーホー)」の創業者兼最高経営責任者(CEO)の億万長者が突然声明を出し、ハッキング・コンテスト出場のために海外に渡った中国国民を公然と批判したのだ。中国のニュースサイト「新浪(シンラン)」とのインタビューで周鴻琳(ジョウ・ホンリン)CEOは、イベントで良い成績を残すのは「架空の」成功にすぎないと述べた。周CEOは、中国人ハッカーが海外のコンテストで脆弱性を見せびらかすと、「もはや使えなくなる」と警告し、ハッカーがソフトウェアの脆弱性の真の重要性と「戦略的価値」を認識できるよう、彼らとその知識は「中国にとどまる」べきだと主張した。

中国政府は周CEOの主張に同意し、まもなくサイバーセキュリティ研究者が海外のハッキングコンテストに参加することを禁止した。そのわずか数カ月後、海外コンテストに代わる新しいコンテストが中国国内で発表された。「天府杯」と呼ばれるそのコンテストには、100万ドル以上の賞金が用意された。

天府杯の第1 回は2018年11月に開催された。賞金20万ドルの最優秀賞は、奇虎360の研究者であるキクスン・チョウの手に渡った。チョウは、最新かつ最先端のアイフォーンでさえも簡単かつ確実に制御できる、驚くべき一連のエクスプロイト(ソフトウェアなどの脆弱性を悪用して攻撃するプログラム)を披露した。チョウは、アップルのブラウザー「サファリ」内の開始点から、アイフォーンのオペレーティングシステムのコアであるカーネルの弱点を発見した。つまり、チョウのエクスプロイトを組み込んだWebページにアイフォーンでアクセスすると、遠隔の攻撃者に乗っ取られてしまうわけだ。このタイプのハックは、犯罪者や政府が多数の人々をスパイする目的で、一般市場において数百万ドルで買い取る可能性がある。チョウはこのエクスプロイトを「カオス」と名付けた。

その2カ月後の2019年1月、アップルはチョウの見つけた不具合を修正するアップデートを公表した。大々的な発表はなく、不具合を発見した人々に対する短い謝意が添えられただけであった。

しかし、同年8月、グーグルの研究チームはハッキング活動に関する緊急分析を発表し、「アイフォーンのセキュリティ上の弱点を突く大掛かりな攻撃がされている」と伝えた。研究チームは、「野放し状態で」発見した5つの異なるエクスプロイト・チェーンを詳細に分析。中にはチョウが天府杯で最優秀賞を獲得したエクスプロイトも含まれており、不特定の「攻撃者」によるものも発見されたというものだった。

グーグルの研究チームは、発見された攻撃で実際に使われているエクスプロイトと、カオスに類似点があることを指摘した。詳細な説明の中では、被害者と攻撃者が誰であるかということは省かれていたが、被害者はウイグル人イスラム教徒で、攻撃者は中国政府であった。

弾圧

過 …

こちらは有料会員限定の記事です。
有料会員になると制限なしにご利用いただけます。
有料会員にはメリットがいっぱい!
  1. 毎月120本以上更新されるオリジナル記事で、人工知能から遺伝子療法まで、先端テクノロジーの最新動向がわかる。
  2. オリジナル記事をテーマ別に再構成したPDFファイル「eムック」を毎月配信。
    重要テーマが押さえられる。
  3. 各分野のキーパーソンを招いたトークイベント、関連セミナーに優待価格でご招待。
10 Breakthrough Technologies 2024

MITテクノロジーレビューは毎年、世界に真のインパクトを与える有望なテクノロジーを探している。本誌がいま最も重要だと考える進歩を紹介しよう。

記事一覧を見る
気候テック企業15 2023

MITテクノロジーレビューの「気候テック企業15」は、温室効果ガスの排出量を大幅に削減する、あるいは地球温暖化の脅威に対処できる可能性が高い有望な「気候テック企業」の年次リストである。

記事一覧を見る
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る