「脆弱性攻略コード仲介業者Zerodium、Tor Browserゼロデイに100万ドルの賞金を設定」

www.bleepingcomputer.com

先日の件の、言ってみれば続きです。

mokake.hatenablog.com

ゼロデイ脆弱性の攻撃コードを買い上げるZerodiumは、Tor Browserに対する期間限定キャンペーン（2017年11月末まで）を設定しました。「総額」100万ドル（役1.2億円）です。

「ZERODIUM - Tor Browserゼロデイ攻略コード懸賞金(2017)」

zerodium.com

Tor BrowserはFirefoxを改造し、Torが簡単に使えるよう設定されたもので、Windows, macOS, Linux向けに提供されていますが、今回のキャンペーンで対象となるのはWindows向けと、Tails Linux向けだけです。Tailsはプライバシーと匿名性を特に重要視したLinuxディストリビューションで、通常は外部デバイス（USBメモリやDVD）から起動し、元のPCに何の痕跡も残さず、全てのインターネットアクセスをTor経由で行います。

賞金（最高額）の規定はZerodiumのサイトの通りですが、次の要素により金額が違うところがミソです。

• 対象OS：「Tails 3.x AND Windows10 RS3/RS2」「Tails 3.x OR Windows10 RS3/RS2」（両方か片方か）
• セキュリティ設定：「高（JavaScript無効）」「低（JavaScript有効）」
• 攻略度合い：「リモートコード実行＋管理者権限奪取」「リモートコード実行のみ」

この組み合わせにより、75,000～250,000ドルの賞金が出るそうです。いずれもTor Browserの利用者は特定のページを閲覧するだけで、他の操作は一切前提となりません。

ちなみにFAQによれば今回のキャンペーンは「（Tor Browserは）多くの場合、邪悪な人々にってドラッグ輸送や子供の虐待に使われている。今回の報奨金は我々の顧客である各国政府機関が犯罪と戦い、この世界をよりよく安全な場所にするため設定された」そうです。

ちなみに、Bleeping Computerの記事では、ルーマニアのバグハンターのコメントが掲載されています。

確かに賞金は高額だが、クラックは難しい。個人的見解では、Tails上でのリモートコード実行はほとんど不可能だ。もしそれができるなら、（Zerodiumなしでも）自分で売っても100万ドル得られると思う。