ZERODIUMが各種ゼロデイエクスプロイトの買い取り価格を公表 26
ストーリー by headless
価格 部門より
価格 部門より
iOS 9のリモート脱獄手法を発見した研究者に100万ドルの賞金を支払って話題となったZERODIUMが、各種ゼロデイ脆弱性を使用するエクスプロイトの買い取り価格を公表している(ZERODIUM — Program、
BetaNewsの記事、
WIREDの記事)。
最も高額なのはモバイルOSに対するリモート脱獄で、iOSが最高50万ドル、AndroidおよびWindows Phoneが最高10万ドルとなっている。デスクトップOSではWindowsおよびMac OS Xの特権昇格+サンドボックス迂回、Linuxの特権昇格に最高3万ドルの値が付けられている。最も低額なのはWordPressやvBulletinといったWebアプリに対するリモートからのコード実行で、最高5千ドルとなる。
Webブラウザ(Chrome/IE/Edge/Tor Browser/Firefox/Safari)におけるリモートからのコード実行は最高3万ドル、これにサンドボックス迂回が加わるとIE/EdgeおよびSafariでは最高5万ドル、Chromeでは最高8万ドルとなる。Flash Playerではリモートからのコード実行が最高5万ドル、サンドボックス迂回が加われば最高8万ドルとなっている。
ZERODIUMが買い取るのは研究者が独自に発見した未知のゼロデイ脆弱性を使用するエクスプロイトのみで、エクスプロイトの完成度によって買い取り額は変動する。また、FacebookやGoogle、AppleなどのオンラインサービスやWebサイトに対するエクスプロイトの買い取りは行わないとのこと。
ゼロデイエクスプロイトの買い取り価格が公表されるのは初めてとのことで、セキュリティ研究者が発見したゼロデイ脆弱性に対する正当な価格を知ることができるとの評価がある一方、公然とエクスプロイトを取引するZERODIUMに対する批判も出ているようだ。皆さんのご意見はいかがだろうか。
最も高額なのはモバイルOSに対するリモート脱獄で、iOSが最高50万ドル、AndroidおよびWindows Phoneが最高10万ドルとなっている。デスクトップOSではWindowsおよびMac OS Xの特権昇格+サンドボックス迂回、Linuxの特権昇格に最高3万ドルの値が付けられている。最も低額なのはWordPressやvBulletinといったWebアプリに対するリモートからのコード実行で、最高5千ドルとなる。
Webブラウザ(Chrome/IE/Edge/Tor Browser/Firefox/Safari)におけるリモートからのコード実行は最高3万ドル、これにサンドボックス迂回が加わるとIE/EdgeおよびSafariでは最高5万ドル、Chromeでは最高8万ドルとなる。Flash Playerではリモートからのコード実行が最高5万ドル、サンドボックス迂回が加われば最高8万ドルとなっている。
ZERODIUMが買い取るのは研究者が独自に発見した未知のゼロデイ脆弱性を使用するエクスプロイトのみで、エクスプロイトの完成度によって買い取り額は変動する。また、FacebookやGoogle、AppleなどのオンラインサービスやWebサイトに対するエクスプロイトの買い取りは行わないとのこと。
ゼロデイエクスプロイトの買い取り価格が公表されるのは初めてとのことで、セキュリティ研究者が発見したゼロデイ脆弱性に対する正当な価格を知ることができるとの評価がある一方、公然とエクスプロイトを取引するZERODIUMに対する批判も出ているようだ。皆さんのご意見はいかがだろうか。
悪人との取引でよくあるやつ (スコア:0)
IEのエクスプロイトを売ろうとIEから買い取りフォームに入力して、お褒めの言葉と共に…
少し高すぎる気がする (スコア:0)
サンドボックス迂回無しの価格が少し高すぎる気がします。
今の時代、整数オーバーフローや整数アンダーフローなんて、少し探せばぼろぼろと見つかるわけで。
Re: (スコア:0)
少し探してぼろもうけすればいいじゃないですか。
Re: (スコア:0)
「最高○万ドル」ってのがクセモノ。
中古買い取りショップよりも相場が不透明なので、あちらの言い値で買い叩かれそう。
Re: (スコア:0)
じゃあ結局「高すぎる」ってことは無いんじゃないの。
Re: (スコア:0)
整数アンダーフローってなんだ?
右シフトの結果で値が0になるのを言っているのかな? 割り算の商が0になるとか。
まさか、負方向にオーバーフローするのをアンダーフローと勘違いしてるとか?
Re: (スコア:0)
あたしもそう思ったんだけどさ、ググるとそういう使い方もでてくるみたい。
普通アンダーフローといったら浮動小数点数がとっても小さくなってしまう現象よね。
2の補数表現システムなら正方向だろうが負方向だろうが加算・減算にかかわらず現象としてはオーバーフローなのに…
Re: (スコア:0)
完全にオフトピですが、
某車関連会社のチェックシートなどに出てきて、一瞬悩んだことがあります。
浮動小数点型なんか使えないので、曖昧では無いので良いのですが。
# う〜ん、どうしたものか
Re: (スコア:0)
Googleなんかがかけてる懸賞金よりは高くないと誰も売ってくれないだろ。
言葉ってむずかしい (スコア:0)
研究者として何らかの資格を持っていなくても
ちゃんと機能するエクスプロイトコードを
PGP使ったメールで送ればOKみたい
https://www.zerodium.com/faq.html [zerodium.com]
原文も「Researchers」ってなってるし
興味本位でたまたま見つけてしまった一般個人でも
一応は応募できるんでしょうね
資格があると訴えられたときに「研究」って大義が
気休め程度には働いてくれそうだけれども
賞金買いたたかれて見つけた責任だけ丸投げされる~
なんてことにならないような
保護規定がFAQに載ってないので
自称スパーハカーな方は心して挑まないとあかんかも
アングラが明るみに出るのはよいこと (スコア:0)
>公然とエクスプロイトを取引するZERODIUMに対する批判も出ているようだ。皆さんのご意見はいかがだろうか。
アングラはアングラに居るからアングラなんであって、表に出てしまえば対処の仕方はいくらもあろう。
とどのつまりが金の話になるなら、アングラに流すより得になる高価な市場を形成すればexploitはアングラには流れなくなる。
googleなりMicrosoftなりAppleなり各国政府なりがお金を出し合って買い占めればいいわけだ。
Re: (スコア:0)
それはお花畑過ぎませんかね?
同じ exploit を別の買い手に何度も売ることは出来るでしょう。
パッチが出来ない間は何度でも同じ脆弱性を使い回せるわけで。
それに裏の勢力と仰いますが、それは各国政府かもしれませんし。
Re: (スコア:0)
どうかな? exploitの価値は検出されたらほぼ終わりだからな。
裏の側にしても、余計にtrafficに露出して検出機会を増やすのは得策ではなかろう。
自分以外が利用できないよう、他には売らないよう要求するだろうし、裏切ればそれなりの最期が訪れそう。
表に売ってから裏に売ろうとした場合、表の市場は商品(exploit)の入荷を宣伝するから、裏の買い手は付かないだろうね。
裏が各国政府でも同じだね。
Re: (スコア:0)
パッチを作るのは買い手じゃなくベンダーであって、
ということはエクスプロイトは買い手からベンダーに提供されているわけだ。
つまり「また売り」はできないじゃん?
Re: (スコア:0)
Zerodiumの実際の顧客はベンダーじゃなくて各国政府の諜報機関などですよ。
ストーリーのリンクにあるWiredの記事 [wired.com]をご覧あれ。
ベンダーにすぐ穴をふさがれちゃ、Zerediumは儲けられ無くなるじゃないですか。
ふさがるまでは、同じ商品をあちらこちらの諜報機関に売り歩けるわけです。
錬金術 (スコア:0)
お金に困ったプロジェクトはわざと脆弱性いれてここからお金もらえばいいいね!
Re: (スコア:0)
そんなに簡単にシステムの特権をとれるような脆弱性を持つアプリを作れるなら、
そもそも懸賞金がこんなに高額なったりしない。
Re: (スコア:0)
ついでに言うと、Appleユーザーのほうが裕福層が多いので
得られる情報の利用価値が高いと見込める。
iOS,Android,Windows Phoneで賞金が違うのは、
iOSのexploitの相場が反映されてるんだろうね。
Re: (スコア:0)
Windows Phone→数が出てなくて使いにくい
Android→ゼロデイすら断片化しててマルウェアのデバッグコスト(笑)も半端無くて使いにくい
iOS→綺麗に攻撃対象が揃ってるしUAとかで直ぐに対象か判断できるので攻撃しやすい
ゼロデイとしての利便性だけで十分価値が違うんだが……
iOS程度で裕福振って狙われるぅー!って発想は正直きもい。
Re: (スコア:0)
>iOS程度で裕福振って狙われるぅー!って発想は正直きもい。
全世界規模で見たらiOSとAndroidのシェアが1:4だってことを知らないでしょ?
$100で買える格安Androidはあっても、$100でiOS端末は買えないの。
iOS端末はスマホ市場の中では高価なHigh Endで、購買力があるユーザーしか居ないのよ。
Androidにも同クラス帯の端末ユーザーがほぼ同数いるとしても、高級端末のデータだけフィルタする手間がかかるし
どの端末が高級端末なのか、世界中のAndroid製品を追いかけるなんて手間をかけたがる人はまぁいないだろうね。
iOSなら製品一覧なんてすぐできる。
Re: (スコア:0)
> $100で買える格安Androidはあっても、$100でiOS端末は買えないの。
まず当たり前の話ですが中古端末の市場は全世界的に存在します。
また、新興国ではiPhone4Sがいまだに現役でリフレッシュ品として販売されているんですが知らないんですか?
新興国で言えば、iPhoneほしさに犯罪に手を染めるようなもの(実際多いんですが)を除外しても
貧乏人が背伸びすれば買えるものですし、貧乏人ほどそうしたがってます
たいていは即脱獄して割れゲーム満載になります
Re: (スコア:0)
iPhoneは中古でも$10にはなるまい。
Androidは 新品で$10以下 [walmart.com]
Re: (スコア:0)
キモイなんて古典的な煽りに見事にキモイ反論しているのは狙っての行為なのだろうか
スルー力を鍛えよう
Re: (スコア:0)
> ついでに言うと、Appleユーザーのほうが裕福層が多いので
> 得られる情報の利用価値が高いと見込める。
完全な間違いだね
Androidはシェア8割と圧倒的すぎるのでそこには金持ちも当然たくさんいる
Appleは成金と貧乏人が無理して買うのの二極化しているが、金持ちの総数でいえばどう考えてもAndroidのほうが多い
もちろんこれは、ネトゲのガチャとかオンラインカジノにつぎ込むバカだけを母数にしたものではなく
すべてのユーザーの総数の話でね
Re: (スコア:0)
SN比なんて概念は無いんだろうなぁ