2017年3月、「世界で最もよく使われているテクノロジーの隠れた弱点を見つける」という1つの目標を掲げて、中国からハッカーの一団がバンクーバーに到着した。
グーグルのクロム (Chrome) ブラウザー、マイクロソフトのウィンドウズ・オペレーティングシステム、アップルのアイフォーン(iPhone)などがすべて標的となっていた。しかし、法律に違反する者は誰ひとりいなかった。彼らは、世界的権威があるハッキング・コンテストのひとつである「Pwn2Own(ポウンツーオウン)」の出場者だったからだ。
Pwn2Ownでは、未知のソフトウェア脆弱性(「ゼロデイ」と呼ばれる)を発見し、侵入に成功すると高額賞金が与えられる。それが魅力となって、世界中のエリートハッカーを引き付けている。2017年は記念すべき10回目の開催の年だった。コンテストで不具合が発見されると、詳細は関係する企業に渡され、修正する時間が与えられる。一方、不具合を発見したハッカーは、金銭的な報酬と一生自慢できる権利を手にしてコンテストを後にする。
何年にもわたって、中国人ハッカーはPwn2Ownのようなイベントで最も支配的な勢力として君臨してきた。数百万ドルの賞金を獲得し、エリートハッカーたちの間で地位を確立してきた。しかし、2017年ですべて途絶えた。
中国で特に重要なテクノロジー企業の一つに挙げられるサイバーセキュリティ大手「奇虎360(チーホー)」の創業者兼最高経営責任者(CEO)の億万長者が突然声明を出し、ハッキング・コンテスト出場のために海外に渡った中国国民を公然と批判したのだ。中国のニュースサイト「新浪(シンラン)」とのインタビューで周鴻琳(ジョウ・ホンリン)CEOは、イベントで良い成績を残すのは「架空の」成功にすぎないと述べた。周CEOは、中国人ハッカーが海外のコンテストで脆弱性を見せびらかすと、「もはや使えなくなる」と警告し、ハッカーがソフトウェアの脆弱性の真の重要性と「戦略的価値」を認識できるよう、彼らとその知識は「中国にとどまる」べきだと主張した。
中国政府は周CEOの主張に同意し、まもなくサイバーセキュリティ研究者が海外のハッキングコンテストに参加することを禁止した。そのわずか数カ月後、海外コンテストに代わる新しいコンテストが中国国内で発表された。「天府杯」と呼ばれるそのコンテストには、100万ドル以上の賞金が用意された。
天府杯の第1 回は2018年11月に開催された。賞金20万ドルの最優秀賞は、奇虎360の研究者であるキクスン・チョウの手に渡った。チョウは、最新かつ最先端のアイフォーンでさえも簡単かつ確実に制御できる、驚くべき一連のエクスプロイト(ソフトウェアなどの脆弱性を悪用して攻撃するプログラム)を披露した。チョウは、アップルのブラウザー「サファリ」内の開始点から、アイフォーンのオペレーティングシステムのコアであるカーネルの弱点を発見した。つまり、チョウのエクスプロイトを組み込んだWebページにアイフォーンでアクセスすると、遠隔の攻撃者に乗っ取られてしまうわけだ。このタイプのハックは、犯罪者や政府が多数の人々をスパイする目的で、一般市場において数百万ドルで買い取る可能性がある。チョウはこのエクスプロイトを「カオス」と名付けた。
その2カ月後の2019年1月、アップルはチョウの見つけた不具合を修正するアップデートを公表した。大々的な発表はなく、不具合を発見した人々に対する短い謝意が添えられただけであった。
しかし、同年8月、グーグルの研究チームはハッキング活動に関する緊急分析を発表し、「アイフォーンのセキュリティ上の弱点を突く大掛かりな攻撃がされている」と伝えた。研究チームは、「野放し状態で」発見した5つの異なるエクスプロイト・チェーンを詳細に分析。中にはチョウが天府杯で最優秀賞を獲得したエクスプロイトも含まれており、不特定の「攻撃者」によるものも発見されたというものだった。
グーグルの研究チームは、発見された攻撃で実際に使われているエクスプロイトと、カオスに類似点があることを指摘した。詳細な説明の中では、被害者と攻撃者が誰であるかということは省かれていたが、被害者はウイグル人イスラム教徒で、攻撃者は中国政府であった。
弾圧
過 …