Pwn2Own Automotive 2026 概要と2日目の成果
2026年1月21日から23日まで東京で開催されている「Pwn2Own Automotive 2026」の2日目、セキュリティ研究者たちは29件のユニークなゼロデイ脆弱性を悪用し、合計439,250ドルの賞金を獲得しました。このハッキングコンテストは自動車技術に焦点を当てており、EV充電器、車載インフォテインメント(IVI)システム、およびAutomotive Grade Linuxなどの車載OSがターゲットとなっています。
2日目終了時点で、コンテスト全体の賞金総額はすでに955,750ドルに達し、66件のゼロデイ脆弱性が悪用されています。
主要なハッカーチームとその成果
- Fuzzware.ioは、最初の2日間で213,000ドルを獲得し、リーダーボードを牽引しています。2日目にはさらに95,000ドルを追加し、Phoenix Contact CHARX SEC-3150充電コントローラー、ChargePoint Home Flex EV充電器、Grizzl-E Smart 40A EV充電ステーションのハッキングに成功しました。
- Summoning TeamのSina Kheirkhahは、Kenwood DNR1007XRナビゲーションレシーバー、ChargePoint Home Flex、Alpine iLX-F511マルチメディアレシーバーをルート化し、40,000ドルを獲得しました。
- Technical Debt CollectorsのRob BlakelyとInnoEdge LabsのHank Chenは、Automotive Grade LinuxとAlpitronic HYC50充電ステーションに対するゼロデイエクスプロイトチェーンを実証し、それぞれ40,000ドルを獲得しました。
競技初日の注目すべき成果
競技初日には、Synacktiv TeamがTesla Infotainment SystemをUSBベースの攻撃でハッキングし、情報漏洩と境界外書き込みの脆弱性を組み合わせてルート権限を取得し、35,000ドルを獲得しました。また、Sony XAV-9500ESデジタルメディアレシーバーに対して3つのゼロデイ脆弱性を連鎖させ、ルートレベルのコード実行を実現し、追加で20,000ドルを獲得しています。
過去のPwn2Own Automotiveと今後の見通し
昨年のPwn2Own Automotiveでは、ハッカーが49件のゼロデイを悪用し、886,250ドルを獲得しました。その前年のPwn2Own Automotive 2024コンテストでは、49件のゼロデイバグを実演し、Tesla車を2度ハッキングして1,323,750ドルを獲得しています。
コンテストの3日目には、Grizzl-E Smart 40Aが再びSlow Horses of Qrious SecureとPetoWorksチームによって、Alpitronic HYC50がJuurin Oyチームによって、Autel MaxiChargerがRyo Katoによってターゲットとされる予定です。
悪用され報告されたゼロデイ脆弱性については、ベンダーに90日間の修正期間が与えられ、その後TrendMicroのZero Day Initiativeによって一般に公開されることになります。