アラブ首長国連邦に拠点を置く新興企業が、政府がテキストメッセージを使ってあらゆるスマートフォンに侵入するのを助けるハッキングツールを最大2,000万ドルで提供している。
Advanced Security Solutionsは今月サービスを開始し、現在、ゼロデイ市場全体で、少なくとも公開されているものの中では最高価格帯となっています。ゼロデイとは、発見時点では影響を受ける開発者が認識していなかったソフトウェアの欠陥のことです。これらのツールは、特に法執行機関や諜報機関に所属するハッカーにとって非常に価値のあるものとなり得ます。
あらゆるモバイルオペレーティングシステムに適用される最高額の2,000万ドルの報奨金とは別に、同社はさまざまなソフトウェアの脆弱性に対する報奨金も用意している。AndroidデバイスとiPhoneの同じタイプのゼロデイ脆弱性には1,500万ドル、Windowsには1,000万ドル、Chromeには500万ドル、AppleのSafariおよびMicrosoft Edgeブラウザには100万ドルなど。
この会社とその顧客の背後に誰がいるのかは不明だ。
「当社は、政府機関、情報機関、そして法執行機関がデジタル戦場において精確な活動を行うための支援を提供しています」と、同社のウェブサイトには記されている。「当社は世界25以上の政府機関および情報機関と継続的な協力関係を維持しています。お客様は常に新たなサービスを求めて当社にご依頼いただいており、これはテロ対策や麻薬取締りといったハイリスクな作戦環境において当社が提供する信頼と戦略的価値を反映しています。」
また、ウェブサイトには、同社は新興企業ではあるものの、「エリート諜報部隊や民間軍事請負業者で20年以上の運用経験を持つ専門家のみが勤務している」とも記されている。
アドバンスト・セキュリティー・ソリューションズは、誰が同社に資金を提供し、所有し、運営しているのか、顧客は誰か、また同社がどの政府に販売するかに関して自ら課している倫理的または法的制約があるかどうかなど、一連の質問には回答しなかった。
お問い合わせ
Advanced Security Solutionsやその他のゼロデイ攻撃プロバイダーについて、さらに詳しい情報をお持ちですか?仕事用デバイス以外から、Signal(+1 917 257 1382)、Telegram、Keybase(@lorenzofb)、またはメールでLorenzo Franceschi-Bicchieraiまで安全にご連絡いただけます。また、SecureDrop経由でTechCrunchにご連絡いただくことも可能です。
ゼロデイの世界で経験を積んだセキュリティ研究者は、TechCrunchに対し、Advanced Security Solutions が提供する価格は現在の市場価格とほぼ一致していると語った。
「通常、広告されている価格は概算です」と、匿名を条件にゼロデイ業界について率直に語った人物は、TechCrunchに対し、2000万ドルという報奨金は「どれだけ悪質かにもよりますが、低額です」と付け加えた。
研究者はまた、個人的には今回のケースのように、背後に誰がいるのかを明かさない企業とは取引しないと警告した。「身元を隠そうとしているような企業には、バグを売るべきではないと思います」と彼は述べた。
ゼロデイ市場は、参加企業数と提示価格の両面で過去 10 年間で大幅に拡大しました。
2015年、Advanced Security Solutionsと同様に研究者からゼロデイ脆弱性を入手し、政府機関に転売するブローカーであるZerodiumは、価格表を公表した最初の企業の一つでした。当時、ベテランのエクスプロイトブローカーであるChaouki Bekrar氏によって設立された同社は、iPhoneをハッキングするためのツールを最大100万ドルで提供していました。そして3年後、Crowdfenseが同じタイプのゼロデイ脆弱性を300万ドルで提供しました。
最近では、ゼロデイ脆弱性の価格は急騰しているが、これは需要が高まっていることと、大手テクノロジー企業がセキュリティを強化したことにより、最新のデバイスやソフトウェアをハッキングすることがより困難になっているためである。
昨年、Crowdfenseは新たな価格表を公開しました。iPhoneへのゼロデイ攻撃は最大700万ドル、Android向けの同様のエクスプロイトは最大500万ドルとなっています。また、WhatsApp(最大800万ドル)やTelegram(最大400万ドル)といったメッセージングアプリなど、特定のアプリ向けのゼロデイ攻撃も購入可能です。
一方、Advanced Security Solutionsは、Telegram、Signal、WhatsAppのゼロデイ攻撃に対して200万ドルの賞金を提供すると述べている。
ロシアのゼロデイ攻撃企業Operation Zeroは、市場で異端児的な存在でした。Advanced Security Solutionsが探しているのと同じ種類のエクスプロイトに対し、最大2,000万ドルの報奨金を提示したのです。Operation Zeroは、ロシア政府とのみ提携しているという点で特異な立場にあります。欧米の多くの研究者にとって、ロシアへのハッキングツールの販売は違法であるため、Operation Zeroが探しているものを見つけるのは困難かもしれません。
私たちは常に進化を目指しています。TechCrunchや私たちの取材、イベントに関する皆様のご意見やご感想をお聞かせいただければ、私たちの活動に大きく貢献できます。 アンケートにご回答いただく と、賞品が当たるチャンスがあります!
Lorenzo Franceschi-Bicchierai 氏は TechCrunch のシニアライターであり、ハッキング、サイバーセキュリティ、監視、プライバシーなどをカバーしています。
ロレンゾからの連絡を確認したり連絡を受けたりする場合は、[email protected]にメールを送信するか、Signal の +1 917 257 1382 に暗号化されたメッセージを送信するか、Keybase/Telegram の @lorenzofb にメッセージを送信してください。
バイオを見る
