Pwn2Own Ireland 2025 2日目のハイライト
Pwn2Own Ireland 2025ハッキングコンテストの2日目において、セキュリティ研究者たちは56件ものユニークなゼロデイ脆弱性を悪用し、合計792,750ドルの賞金を獲得しました。
注目すべきエクスプロイトと受賞者
この日の最大の注目は、Mobile Hacking LabのKen GannonとSummoning TeamのDimitrios ValsamarasによるSamsung Galaxy S25のハッキングでした。彼らは5つのセキュリティ欠陥を連鎖させることで、50,000ドルと5ポイントのMaster of Pwnポイントを獲得しました。
また、PHP Hooligansはわずか1秒でQNAP TS-453E NASデバイスをハッキングしましたが、悪用された脆弱性はすでにコンテストで使用済みでした。CyCraft TechnologyのChumy Tsai、Verichains Cyber ForceのLe Trong PhucとCao Ngoc Quy、そしてSynacktiv TeamのMehdi & Matthieuも、QNAP TS-453E、Synology DS925+、Phillips Hue Bridgeへの侵入でそれぞれ20,000ドルを授与されました。
その他にも、参加者たちは以下のデバイスでゼロデイバグを悪用しました。
- Canon imageCLASS MF654Cdwプリンター
- Home Automation Green
- Synology CC400Wカメラ
- Synology DS925+ NAS
- Amazon Smartプラグ
- Lexmark CX532adweプリンター
Master of Pwnリーダーボード
Summoning Teamは、イベントの最初の2日間で167,500ドルを獲得し、18ポイントでMaster of Pwnリーダーボードのトップに立っています。
コンテストの全体像と今後の予定
Pwn2Own Irelandの初日には、研究者たちが34件のユニークなゼロデイ脆弱性をデモし、522,500ドルの賞金を獲得しました。コンテスト終了後、ベンダーにはZDIが脆弱性を公開する前にパッチをリリースするための90日間が与えられます。
3日目となる最終日には、再びSamsung Galaxy S25、複数のNASデバイス、プリンターがターゲットとなります。また、Team Z3のEugeneは、100万ドルの報酬がかけられたWhatsAppのゼロクリックリモートコード実行バグのデモンストレーションを試みる予定です。
スポンサーとカテゴリ
MetaはSynologyとQNAPと共にPwn2Own Ireland 2025を共同後援しており、ハッキングコンテストは10月21日から10月24日までコークで開催されています。
今年のコンテストでは、以下の8つのカテゴリが設定されています。
- フラッグシップスマートフォン(Samsung Galaxy S25、Apple iPhone 16、Google Pixel 9)
- プリンター
- ネットワークストレージシステム
- ホームネットワーキング機器
- メッセージングアプリ
- スマートホームデバイス
- 監視機器
- ウェアラブルテクノロジー(Meta Quest 3/3Sヘッドセット、Ray-Ban Smart Glassesを含む)
今年は、モバイルハンドセットでのUSBポート悪用を含む攻撃ベクトルが拡大され、研究者たちは物理的な接続を介してロックされた電話をハッキングすることが求められます。ただし、Wi-Fi、Bluetooth、NFCなどの従来のワイヤレスプロトコルも引き続き有効な攻撃ベクトルです。
過去のPwn2Own Ireland
Pwn2Own Ireland 2024イベントでは、ハッカーたちは70件以上のゼロデイ脆弱性で1,078,750ドルを獲得し、Viettel Cyber SecurityがQNAP、Sonos、Lexmarkの欠陥を悪用して205,000ドルを持ち帰りました。
今後のイベント
2026年1月には、ZDIが東京で開催されるAutomotive World技術ショーに戻り、Teslaが再びスポンサーとなる第3回Pwn2Own Automotiveコンテストが開催される予定です。