Pwn2Own Automotive 2026、76件のゼロデイ脆弱性を暴露し閉幕

「Pwn2Own Automotive 2026」の最終日は、ハッキングの卓越した技術を見せつけ、世界のエリートセキュリティ研究者たちがゴールラインを迎えました。3日間にわたる熾烈な競争の中で、研究者たちは自動車システム全体で76件ものユニークなゼロデイ脆弱性を特定し、悪用することに成功。これにより、合計1,047,000米ドルの賞金を獲得しました。Fuzzware.ioのTobias Scharnowski氏、Felix Buchmann氏、Kristian Covic氏のチームが「Master of Pwn」チャンピオンに輝き、複数の車両インフォテインメントシステムと充電システムを標的とした高度なエクスプロイトで28ポイントと215,500米ドルという驚異的な金額を手にしました。

主要な脆弱性とその手口

ZeroDay Initiativeの研究者たちは、今回の大会を通じて多岐にわたる種類の脆弱性を実証しました。その中でもバッファオーバーフロー（スタックベースおよびヒープベースの両方）が支配的であり、任意のコード実行を成功させました。特に注目すべき事例は以下の通りです。

• Viettel Cyber Securityは、Sony XAV-9500ESにおけるヒープベースのバッファオーバーフローを悪用し、システム制御を獲得しました。
• DDOSチームは、Alpineのインフォテインメントシステムでスタックベースのオーバーフローを実証しました。
• Juurin Oyチームは、Alpitronic HYC50 EV充電器に対してTime-Of-Check-Time-Of-Use（TOCTOU）競合状態の脆弱性を用いた非常に独創的なエクスプロイトを披露しました。このチームは20,000米ドルと4ポイントを獲得し、なんと侵害したシステムに人気ゲーム「Doom」をインストールして、完全なコード実行能力を誇示しました。

脆弱性は、Alpine、Kenwood、Sonyのインフォテインメントシステム、Grizzl-E、AutelのEV充電ステーション、特殊な自動車インターフェースなど、主要な自動車コンポーネント全体で発見されました。従来のメモリ破損バグに加えて、権限割り当ての欠陥や競合状態も重要な攻撃ベクトルとして浮上しています。

自動車業界への影響と今後の課題

今回明らかになった76件の脆弱性は、自動車セキュリティの改善を推進するための極めて重要な発見です。インフォテインメントのパイオニアからEV充電の専門企業に至るまで、多様なメーカーが影響を受けていることは、コネクテッドカーエコシステムにおけるセキュリティ強化の必要性が広範にわたることを浮き彫りにしています。この大会は、自動車システムが高度な研究者にとって魅力的な標的であり続けていることを示し、多額の報酬が継続的なセキュリティ研究と責任ある脆弱性開示を促進することを証明しました。これらの発見は、協調的な脆弱性管理とパッチ適用イニシアチブを通じて、自動車部門の防御体制を強化することに繋がるでしょう。

元記事: https://gbhackers.com/76-zero-day-vulnerabilities-exposed-at-pwn2own-automotive/