はじめに
2026年1月21日、東京で開催された「Pwn2Own Automotive 2026」ハッキングコンテストの初日、セキュリティ研究者らがテスラを含む自動車システムを標的に、合計37件ものゼロデイ脆弱性を悪用しました。この日の成果として、総額51万6,500ドルもの賞金がハッカーたちに授与されました。
Pwn2Own Automotive 2026 初日ハイライト
初日は特にテスラ車が注目を集めました。Synacktivチームは、情報漏洩と境界外書き込みの脆弱性を連鎖させることで、テスラのインフォテインメントシステムに対するルート権限の取得に成功し、3万5,000ドルを獲得しました。同チームはさらに、ソニーのデジタルメディアレシーバー「XAV-9500ES」でも3つの脆弱性を連鎖させ、ルートレベルのコード実行を達成し、追加で2万ドルを手にしました。
他のチームも同様に素晴らしい成果を上げました。Fuzzware.ioは、Alpitronic HYC50充電ステーション、Autel充電器、およびKenwood DNR1007XRナビゲーションレシーバーをハッキングし、11万8,000ドルを獲得。PetoWorksはPhoenix Contact CHARX SEC-3150充電コントローラーで3つのゼロデイバグを連鎖させ、5万ドルの賞金を獲得しました。Team DDOSもChargePoint Home Flex、Autel MaxiCharger、およびGrizzl-E Smart 40A車両充電ステーションをハッキングし、7万2,500ドルの賞金を受け取りました。
イベント概要と対象システム
Pwn2Own Automotive 2026は、1月21日から1月23日にかけて、東京のAutomotive World自動車会議中に開催されています。このハッキングコンテストは、自動車技術に特化しており、以下のシステムが標的となります。
- 完全にパッチが適用された車載インフォテインメント(IVI)システム
- 電気自動車(EV)充電器
- 自動車オペレーティングシステム(例: Automotive Grade Linux)
今後の予定とベンダーの対応
コンテストの2日目には、Grizzl-E Smart 40Aが4チーム、Autel MaxiChargerが3チームによって、ChargePoint Home Flexが2チームによって標的にされる予定で、それぞれの成功報酬は5万ドルです。Fuzzware.ioチームは、Phoenix Contact CHARX SEC-3150車両充電器に対し、7万ドルの賞金をかけたハッキングを試みる予定です。
脆弱性が悪用され、Zero Day Initiativeに報告された後、ベンダーにはセキュリティ修正の開発とリリースに90日間の猶予が与えられます。この期間が過ぎると、TrendMicroのZero Day Initiativeによって脆弱性の詳細が公開されます。
過去のPwn2Own Automotiveイベント
過去のPwn2Own Automotiveコンテストも高い注目を集めてきました。Pwn2Own Automotive 2025では、ハッカーが49件のゼロデイ脆弱性を悪用して88万6,250ドルを獲得しました。また、2024年の第1回Pwn2Own Automotiveでは、複数の電気自動車システムで49件のゼロデイバグが実演され、テスラが2回ハッキングされるなど、132万3,750ドルの賞金が支払われました。