
KVMは、Kernel-based Virtual Machineです。
Linuxカーネルをハイパーバイザとして機能させるための仮想化モジュールです。
多くの環境のベース部分として活用されています。
CTFは、Capture The Flagです。
そのままの意味としては旗取りゲームです。
砂浜でダッシュして旗を早くとった者が勝ちというゲームです。
ITセキュリティの分野でこの表現をする場合、それは、情報セキュリティの知識を用い、何らかの方法で隠された文字列(Flag)を見つけ出す競争をするような競技のことを指します。
ということで、kvmCTFはKVMを主題として開催されているCTFです。
KVMは多くの環境で重要な部分を構成しているソフトウェアですので、サプライチェーン的に考えた場合、ここに問題が出ると影響は計り知れません。
そのため、脅威アクターが脆弱性を見つけてしまうよりも先に、研究者のチームでどんどん脆弱性をつぶしていこう、という取り組みです。
kvmCTFはGoogleが主導するものです。
Google自身このオープンソースソフトウェアの大規模なユーザであり、そして貢献者でもあります。
これは単なる競技ではなく、前述のような狙いを持ったものとなっていますので、新しい脆弱性情報を見つけることが期待されています。
報奨にはいくつかのグレードがあります。
- VM からの完全脱出: 250,000 ドル
- 任意のメモリ書き込み: 100,000 ドル
- 任意のメモリ読み取り: 50,000 ドル
- 相対メモリ書き込み: 50,000 ドル
- サービス拒否:20,000ドル
- 相対メモリ読み取り: 10,000 ドル
以前からセキュリティ研究の分野では、CTFが盛んに実施されています。
このCTFも大いに盛り上がり、どんどん先行して安全性が高まっていくとよいですね。
google/security-research kvmCTF Overview
https://github.com/google/security-research/blob/master/kvmctf/rules.md
この記事をシェア |
---|
一緒によく読まれている記事
-
サイバー領域
- 脅威インテリジェンス(Threat Intelligence)は本当に活用できているのか?
- 脅威インテリジェンス(Threat Intelligence)はサイバーセキュリティ業界において一つのカテゴリーとして認知されつつあり、今後の成長が見込まれる領域であるのは間違い...
-
サイバー領域
- APIキーや認証情報といった機密情報を
管理・保管するためのベストプラクティス
[クイックリファレンス(PDF形式)付き] - 本記事は、GitHubから流出した機密情報をリアルタイム検知するサービスを提供するGitGuardian社のホームページで公開されたレポートを日本語に翻訳したものです。 (原題)...
- APIキーや認証情報といった機密情報を