KVMは、Kernel-based Virtual Machineです。
Linuxカーネルをハイパーバイザとして機能させるための仮想化モジュールです。
多くの環境のベース部分として活用されています。
CTFは、Capture The Flagです。
そのままの意味としては旗取りゲームです。
砂浜でダッシュして旗を早くとった者が勝ちというゲームです。
ITセキュリティの分野でこの表現をする場合、それは、情報セキュリティの知識を用い、何らかの方法で隠された文字列(Flag)を見つけ出す競争をするような競技のことを指します。
ということで、kvmCTFはKVMを主題として開催されているCTFです。
KVMは多くの環境で重要な部分を構成しているソフトウェアですので、サプライチェーン的に考えた場合、ここに問題が出ると影響は計り知れません。
そのため、脅威アクターが脆弱性を見つけてしまうよりも先に、研究者のチームでどんどん脆弱性をつぶしていこう、という取り組みです。
kvmCTFはGoogleが主導するものです。
Google自身このオープンソースソフトウェアの大規模なユーザであり、そして貢献者でもあります。
これは単なる競技ではなく、前述のような狙いを持ったものとなっていますので、新しい脆弱性情報を見つけることが期待されています。
報奨にはいくつかのグレードがあります。
- VM からの完全脱出: 250,000 ドル
- 任意のメモリ書き込み: 100,000 ドル
- 任意のメモリ読み取り: 50,000 ドル
- 相対メモリ書き込み: 50,000 ドル
- サービス拒否:20,000ドル
- 相対メモリ読み取り: 10,000 ドル
以前からセキュリティ研究の分野では、CTFが盛んに実施されています。
このCTFも大いに盛り上がり、どんどん先行して安全性が高まっていくとよいですね。
google/security-research kvmCTF Overview
https://github.com/google/security-research/blob/master/kvmctf/rules.md
| この記事をシェア |
|
|---|
