コミュニティの力ジョン・フン・リーは世界最高のハッカーではないとしても、壇上の頂点に君臨することは間違いない。ロキハートという名でよく知られているこの22歳の韓国人は、世界で最も普及し、最も安全なシステムでゼロデイ脆弱性を見つける類まれな才能の持ち主だ。
リー氏はPwn2OwnやPwnFestなどの世界的なハッキングコンテストの常連で、そこでライバルの脆弱性テスト担当者とともに、Google ChromeからApple Safari、Windows 10に至るまでのシステムのゼロデイ脆弱性を見つけて悪用している。
リー氏が定期的なコンテストで考案する新しいハックごとに、スポンサーのテクノロジー企業から10万ドル以上を稼ぎ、各コンテストで2~3個のゼロデイ脆弱性を突くことも珍しくない。
彼は通常、コンテストの数週間前にエクスプロイトを開発し、ライブデモを行います。彼は優れたエクスプロイトを作る必要があります。優勝するには、最新のパッチ適用済みのブラウザ、オペレーティングシステム、そしてスマートフォンで、ユーザーによる操作なしに動作し、数分以内に最悪の事態を起こさなければなりません。ほとんどの場合、数秒で終わります。
ソウルで開催されたセキュリティカンファレンス「Power of Community」でThe Registerの取材に応じたこの控えめなハッカーは、コンテストでの賞金を披露したがらないものの、数百万ドルを稼いだことは間違いないと語った。
「仕事がないんです」とリー氏は笑いながら言った。「少しの間サムスンで働いていたんですが、もう辞めました」
リー氏の成功は、高額なハッキングコンテストや非公開のバグ発見報奨金制度の急増により、世界中の才能豊かな若手ハッカーたちが発見した成功の一つだ。
彼は、ここソウルで開催されたPwnFestハッキングコンテストで、Microsoft EdgeとVMWare Workstationの2つのゼロデイ脆弱性を突いて、約30万ドルを獲得した。VMWare Workstationのアプリケーションが侵害されたのは今回が初めてである。
リー氏がレドモンドの最新版Edgeを侵害したことは、彼がいかに優れたハッカーであるかを如実に示しました。Qihoo 360のVulcan PCハッキングチームに続いてブラウザのハッキングを競い合ったリー氏は、偶然にもライバルたちと同じゼロデイ脆弱性を利用していました。
これにより、ハッカーは14万ドルの賞金を獲得する資格を失った。もし彼がその場で新たなゼロデイ脆弱性を発見し、それを利用していなければ、賞金を獲得していただろう。彼はマイクロソフトのパッチから1行のコードを削除することで、その脆弱性を発見したのだ。
ソウルでWindows Edgeをハッキングするイ・ジョンフン氏(左)。写真:ダレン・パウリ/The Register
記者がこのスタントについて話すと、ハッカーたちは笑いながら首を振った。
彼は、中国のQihoo 360、Tencent、Baiduなどのライバル企業や、Pinkie Pie、GeoHot、MWR Labsといった英国、米国、ロシア、ヨーロッパ各地の有能なハッカーたちから尊敬を集めている。
リー氏は2012年、18歳でバグ探しを始め、その後4年間で世界最高のプラットフォームに侵入するまでになった。
しかし、数十億ドル規模の企業が構築したシステムを破壊したにもかかわらず、リー氏はそのセキュリティ状態を称賛している。
「多くのベンダーはセキュリティ強化に尽力しています」とリー氏は語る。「マイクロソフトは、バグが発見されても悪用されにくくする新たな緩和策の追加に多大な努力を払っています。」
同氏は、Google は多くのメモリ破損やその他の脆弱性を解消する Chrome のサンドボックスの開発に優れた取り組みを行っていると述べている。
どのプラットフォームが失敗しているのでしょうか?
「もちろん、フラッシュだよ」とリーはくすくす笑いながら言う。
しかし、何でもハッキングできる能力を持っているように見える男だが、リーはセキュリティのスパイではない。
彼はMacとiPhoneを使っているが、それはこれらのプラットフォームの方が安全だからではなく、デザインとフォームファクタが気に入っているからだ。「どれがどれだけ安全かとか、ハッキングされやすいかとか、そういうことにこだわりはありません。ただOS Xが好きなんです。」
「でも、時々ハッキングされたのではないかと心配になるんです」と彼は言う。®
