Zerodiumが「ゼロデイ」価格リストを公表

December 2, 2015 12:00

by 『Security Affairs』

Zerodiumが、様々な分野のソフトウェアやデジタル侵入手法の「ゼロデイ」価格表を公表した。

11月18日、Zerodium（ゼロデイのブローカー）が様々な分野のソフトウェアやデジタル侵入手法の「ゼロデイ」価格リストを例外的に公開した。同社はサイバー犯罪者らからこれらを購入し、諜報機関や政府のような顧客に再販する。

このチャートは、多数のオペレーティングシステムやアプリケーションに対して有効である技術に支払う金額の合計を説明している。これは、ハッカーが密かに活動を行っている、活発な地下市場に関して今までで最も分かりやすく示している。

「ゼロデイビジネスの第一原則は、決して価格について公に議論しないことだ。そこで、面白い話がある。我々は、取得価格リストを公開することにする」とZerodiumのCEOChaouki Bekrar氏は言う。

Zerodiumによると、例えばInternet ExplorerやSafariを介したPCへの攻撃、またはリモートからの乗っ取りの場合は、最大で5万ドルの価格で売れるという。また、Google Chromeのようなとても手強いターゲットの場合は、価格は8万ドルとなる。ターゲットがWindows PhoneやAndroidになると、価格は10万ドルにまで上がる。さらに高い価格のものもある。iOSへの攻撃には15万ドルの値がついており、今のところこれがリストの最高価格だ。

下記のZerodiumのチャートをご覧いただきたい。

Zerodiumが購入するゼロデイ脆弱性は、同社以外には極秘でなければならないと同社はブローカーに明確に忠告している。つまり、より利益を上げたい攻撃者でも他の顧客にこれを転売することはできない。また被害者を保護し、ハッキングを実現不可能にするようなパッチを当てる可能性のあるソフトウェアの販売元に報告することもできない。Zerodiumは、支払うのはリストに挙げられた「過去に報告されていない独占的かつオリジナルの脆弱性」価格のみであると明記している。

他の言葉に置き換えると、Zerodiumは同社の手法をユーザーには隠したままにしている。ZerodiumのFAQにある通り、同社の顧客の中には「特定かつ必要に応じた形のサイバーセキュリティ能力が必要な政府組織」もいる。一方で、我々の顧客は脆弱性にアクセスするために最低でも50万ドルの年会費を支払っているとBekrar氏は言う。

「他のオペレーションシステムのようにApple iOSも頻繁に、重大なセキュリティの脆弱性の影響を受けている。しかしセキュリティ改善数の増加や適切なエクスプロイト緩和策の効果により、現在AppleのiOSは最もセキュアなモバイルOSである。しかし騙されてはいけない。セキュアというのは、侵入不能というわけではない。iOSが今のところ最もコストが高く、脆弱性の悪用が難しいというだけだ。そしてZerodiumは、iOS9のバグに100万ドルの報奨金を出す」（9月の発言）

2013年、Muckrockが情報公開を請求したところNSAがVupenの顧客であることが発覚した。反面、秘密の侵入手法を公然と取引することで、ZerodiumのCEOは批判に対して容易に異議を唱えることができるようになった。GoogleのJustin Schulは、Bekrarのことを「倫理観に欠けた日和見主義者」と呼ぶ。一方で技術者のChris SoghoianはBekrarのVupenのことを「サイバー戦争の銃弾」を販売する「現代の死の商人」と表現した。

Zerodiumのリストにもあるように、iOSの脆弱性はいまだにチャートのトップに置かれている。 Appleの顧客がこれを聞くとがっかりするかもしれないが、私的なデバイスが攻撃される可能性は他の製品への攻撃手法と同じである。しかしそうであっても手法は独自のものだ。

執筆者：SecurityGladiators.comの創業者兼編集長Ali Qamar

Ali Qamar

著者情報：Ali Qamarは熱心なインターネットセキュリティ研究者で、セキュリティ業界で最新の発見をするために「ディープ」な研究を行うことを楽しんでいる。彼は、サイバーセキュリティの比類なきソースであるSecurity Gladiatorsの創業者兼編集長だ。率直かつ正直に言うと、Aliはオンラインでフリーランサーとして働き始めたが、生活のために知識を共有している。彼は人との情報共有に熱心で、常に最高のものだけを提供できるよう努めている。Twitterアカウント @AliQammar57にてAliをフォローできる。

（敬称略）

翻訳：編集部

原文：Zerodium price list for secret Hacking methods

※本記事は『Security Affairs』の許諾のもと日本向けに翻訳・編集したものです