Pwn2Own Automotive 2026開催、76件のゼロデイ脆弱性が発見される
2026年1月21日から23日にかけ、東京で開催された「Automotive World」カンファレンスの一環として「Pwn2Own Automotive 2026」が開催されました。このイベントでは、セキュリティ研究者たちが76件ものゼロデイ脆弱性を悪用し、合計で1,047,000ドル(約1億5,000万円超)という巨額の賞金を獲得しました。自動車技術に特化したこのハッキングコンテストは、自動車産業におけるサイバーセキュリティの重要性を改めて浮き彫にしました。
ターゲットシステムと開示ポリシー
今回のPwn2Own Automotiveでは、現代の自動車に不可欠な様々なシステムが標的となりました。具体的には以下のシステムが攻撃対象となりました。
- フルパッチ適用済みの車載インフォテインメント(IVI)システム
- 電気自動車(EV)充電器
- 車載オペレーティングシステム(例:Automotive Grade Linux)
発見されたゼロデイ脆弱性は、TrendMicroのZero Day Initiative(ZDI)によって管理されており、公開される前にベンダーに対して90日間の修正期間が与えられます。これにより、脆弱性が悪用される前に修正される機会が提供され、自動車利用者の安全が確保されます。
主要なハッカーチームと成果
Pwn2Own Automotive 2026で最も活躍したのはTeam Fuzzware.ioで、彼らは215,000ドルの賞金を獲得し、大会のトップに輝きました。彼らは初日にAlpitronic HYC50充電ステーション、Autel充電器、Kenwood DNR1007XRナビゲーションレシーバーをハッキング。さらに2日目には、Phoenix Contact CHARX SEC-3150充電コントローラ、ChargePoint Home Flex EV充電器、Grizzl-E Smart 40A EV充電ステーションで複数のゼロデイ脆弱性をデモンストレーションしました。惜しくも最終日にはAlpine iLX-F511マルチメディアレシーバーのルート化を試みた際に、バグ競合により2,500ドルを追加獲得しました。
その他の主要なチームとその獲得賞金は以下の通りです。
- Team DDOS: 100,750ドル
- Synactiv: 85,000ドル
特に注目すべきは、SynacktivチームがTeslaインフォテインメントシステムをハッキングしたことです。彼らは、USBベースの攻撃を通じて、アウトオブバウンズ書き込みの欠陥と情報漏洩を連鎖させることで、35,000ドルを獲得しました。
自動車サイバーセキュリティの重要性
過去の大会と比較しても、自動車関連のゼロデイ脆弱性発見は活発です。Pwn2Own Automotive 2024では49件のゼロデイバグで1,323,750ドル、Pwn2Own Automotive 2025では49件のゼロデイで886,250ドルが獲得されており、今回も多くの脆弱性が発見されたことは、自動車のコネクテッド化が進む中でサイバーセキュリティが極めて重要であることを示しています。
これらのイベントは、自動車メーカーやサプライヤーが製品のセキュリティを強化するための重要なインセンティブとなり、最終的には私たちの運転する車の安全性を高めることに貢献しています。ハッカーたちの卓越した技術が、より安全なモビリティ社会の実現に向けた一歩となるでしょう。