Pwn2Own Ireland 2025の概要
2025年10月21日から23日にかけてアイルランドのコークで開催された「Pwn2Own Ireland 2025」ハッキングコンテストが閉幕し、セキュリティ研究者たちは73件のゼロデイ脆弱性を悪用し、合計で102万4,750ドルの賞金を獲得しました。このイベントはMeta、QNAP、Synologyが共同で後援しました。
標的となった製品と新たな攻撃経路
今年のPwn2Own Irelandでは、以下の8つのカテゴリの製品が標的となりました。
- プリンター
- ネットワークストレージシステム
- メッセージングアプリ
- スマートホームデバイス
- 監視機器
- ホームネットワーキング機器
- 主要スマートフォン(Apple iPhone 16、Samsung Galaxy S25、Google Pixel 9)
- ウェアラブルテクノロジー(MetaのRay-Ban Smart GlassesおよびQuest 3/3Sヘッドセット)
特に注目すべきは、モバイルハンドセットのUSBポート悪用が攻撃対象に加わったことです。これにより、研究者は物理的な接続を介してロックされたデバイスをハッキングすることが求められました。従来のワイヤレスプロトコル(Bluetooth、Wi-Fi、NFC)も引き続き有効な攻撃ベクトルでした。
コンテストのハイライトと勝者
今年のPwn2Own Irelandでは、Summoning Teamが22 Master of Pwnポイントと18万7,500ドルを獲得し、優勝しました。彼らはSamsung Galaxy S25、Synology DiskStation DS925+ NAS、Home Assistant Green、Synology ActiveProtect Appliance DP320 NASドライブ、Synology CC400Wカメラ、QNAP TS-453E NASデバイスをハッキングしました。
その他の主要な勝者は以下の通りです。
- Team ANHTUD: 2位、7万6,750ドル、11.5 Master of Pwnポイント
- Team Synactiv: 3位、9万ドル、11 Master of Pwnポイント
日ごとの成果と注目すべきエクスプロイト
コンテスト初日には、ハッカーが34件のユニークなゼロデイ脆弱性を悪用し、52万2,500ドルを獲得しました。2日目には、さらに22件のユニークなゼロデイ脆弱性がデモされ、26万7,500ドルが授与されました。
最終日のハイライトは、Interrupt LabsのチームによるSamsung Galaxy S25のハッキングでした。彼らは不適切な入力検証のバグを介してデバイスを攻略し、5 Master of Pwnポイントと5万ドルを獲得しました。このプロセスで、位置情報追跡とカメラの有効化にも成功しました。
また、Team Z3はWhatsAppのゼロクリックリモートコード実行ゼロデイ(100万ドルの報酬対象)をデモする予定でしたが、コンテストから撤退しました。彼らは、Metaのエンジニアリングチームと研究結果を共有する前に、ZDIアナリストに調査結果を非公開で開示することを選択しました。
Pwn2Ownの目的と情報開示
Zero Day Initiative (ZDI) が主催するこのハッキングコンテストは、脅威アクターが悪用する前にセキュリティ脆弱性を特定し、影響を受けるベンダーとの責任ある情報開示を調整することを目的としています。
Pwn2Ownでゼロデイ脆弱性が悪用された後、ベンダーにはTrend MicroのZero Day Initiativeが公開する前に90日間のパッチリリース期間が与えられます。
今後のイベント
2026年1月には、ZDIは再び東京で開催されるAutomotive World技術ショーで、Teslaが後援する第3回Pwn2Own Automotiveコンテストを実施する予定です。