3月23、24日の二日間、シンガポールで開催されるコンテストで、ハッキング対象になる端末は、iPhone 6S、Galaxy S6、Nexus 6といったスマホ。賞金総額50万ドル(約5,700万円)のうち、優勝賞金10万ドルを受け取ることができるのは、アップル社のiOS、iPhone6の最深部のカーネルのバグを見つけられた者だけだ。そこへ到達するには、まずSafariを攻略しなくてはならない。
また、ユーザーの介入が皆無な状態で、ターゲット携帯端末のセキュリティー上の脆弱性を見つけ出した場合も10万ドルが支払われることになっている。昨年はマルチメディア・メッセージング・サービス(Multimedia Messaging Service、MMS)を介してほぼ全てのアンドロイド端末に不正プログラムのインストールを可能にする脆弱性、「Stagefright」が発見された。
だが、脆弱性を発見したハッカーたちが直ちに対応策を考えようにも、それが出来ないという問題点がある。コンテストの主催者で、シンガポールのITセキュリティー企業COSEINCは、コンテストの半年後まで、アップルやグーグルに対し、発見されたバグに関する情報を公開しないと言うのだ。
これについて、COSEINCにはそれなりの理由があるらしい。COSEINCのチーフ、トーマス・リム氏によると、これはバグを見つけ出したハッカーたちが、情報を他者に売る行為を防ぐのが目的だとしている。
「ハッカーが情報を他者に売り渡してしまうのを防ぐため、当社は賞金を6回に分割して毎月支払うことにしています」とリム氏は述べた。また、コンテスト結果について社内で集中的なリサーチを行えば、パブリシティーへの貢献にもつながると付け加えた。
米セキュリティー関連企業Zerodiumが、iPhoneiOS 9のリモート完全脱獄手法を発見したチームに100万ドル(約1億1,400万円)の褒賞金を支払うとして話題になったが、この時もZerodium社は、発見された脆弱性についてアップル社には報告しなかった。Zerodium社の創立者ChaoukiBekrar氏は、米政府の国家安全保障に関わる各種機関や、様々な国の政府(NATO加盟国に限るとしている)を相手にセキュリティー情報を提供するビジネスを行っていた。
ヒューレット・パッカード(HP)社のセキュリティー事業の一部TippingPointを買収したトレンドマイクロは、ゼロデイ攻撃の脆弱性発見を推進する「ゼロデイイニシアティブ(ZDI)」の一環として、シンガポールのPWNoRAMAの前の週に、Webブラウザのハッキングコンテスト「Pwn2Own」を開催する。このコンペでは、携帯端末ではなく、マイクロソフトのWindowsとアップルのMac OS Xの仮想PCソフトの脆弱性を探し出す。
VMwareの仮想PCソフト「VMware Workstation」のセキュリティーを破り、「Google Chrome」、「Microsoft Edge」、「Adobe Flash」を使ってホストシステムを攻撃することに成功したチームには、賞金7万5,000ドル(約850万円)が支払われる。Mac OS X に搭載されたアップルのブラウザSafariのセキュリティーを突破すれば賞金は4万ドル(約455万円)だ。
