Pwn2Own Automotive 2026 2日目の概要

2026年1月22日、セキュリティコンテスト「Pwn2Own Automotive 2026」の2日目が開催され、セキュリティ研究者たちが自動車のインフォテインメントシステム、EV充電器、ゲートウェイを標的にしました。初日の勢いを引き継ぎ、チームは合計37件のユニークなゼロデイ脆弱性を実証し、516,500ドル以上の賞金を獲得しました。

このZero Day Initiative (ZDI) イベントは、コマンドインジェクションからバッファオーバーフローに至るまで、車両技術における重大な欠陥を浮き彫りにし、実世界での悪用が発生する前にベンダーがパッチを適用することの重要性を示しています。特に注目されたのは、連鎖攻撃手法（chaining techniques）や、充電コネクタプロトコル/信号操作といったアドオンです。Master of Pwnのポイント集計では、Fuzzware.ioが複数のバグ連鎖を通じてリードしています。

主要なエクスプロイトと賞金

• Team MAMMOTHは、Alpine iLX-F511ヘッドユニットにおけるコマンドインジェクションで$10,000を獲得し、不正アクセスを実証しました。
• FuzzingLabsのJulien Cohen-Scaliは、Phoenix Contact CHARX SEC-3150 EV充電器で認証バイパスと権限昇格を連鎖させ、リモートコード実行を達成し$20,000を獲得しました。
• Fuzzware.ioは、Automotive Grade Linuxでアウトオブバウンドリード、メモリ枯渇、ヒープオーバーフローの3つのバグ連鎖を悪用し、$40,000を獲得。また、ChargePoint Home Flexでコマンドインジェクションを成功させ、$30,000を獲得しました。
• Neodyme AGは、Sony XAV-9500ESでCWE-120のバッファオーバーフローを悪用し、特権実行を実現して$10,000を獲得しました。
• Hank Chen (InnoEdge Labs)は、Alpitronic HYC50の危険なメソッドを露呈させ、$40,000を獲得。Xilokarも同じターゲットでルートアクセスを獲得し、$20,000を獲得しました。
• 他にも、BoredPentester、Team DDOS、BoB::Takedown、PHP Hooligans/Midnight Blue、Synacktiv、Summoning Team、ZIEN, Inc.など、多数の研究者やチームが様々なターゲットに対して脆弱性を悪用し、高額の賞金を獲得しました。

自動車セキュリティへの影響

これらのデモンストレーションは、コネクテッドカーエコシステムにおける永続的な問題を露呈しています。インフォテインメントシステム（Alpine、Kenwood、Sony）ではコマンドインジェクションが支配的であり、リモート制御を可能にすることが示されました。ChargePoint、Grizzl-E、PhoenixなどのEV充電器は、プロトコル操作やオーバーフローによって物理的な改ざんやグリッド攻撃のリスクにさらされています。

連鎖攻撃は影響を増幅させ、しばしばルート権限や特権実行を達成しました。ZDIは開示を調整し、Alpine、Sony、ChargePointなどのベンダーへのパッチ適用を確実にしています。総額516,500ドルという賞金は、自動車ハッキングの収益性の高まりを示唆しています。

イベントの教訓としては、入力検証の優先、認証の強化、およびメモリ境界操作の重要性が挙げられます。Fuzzware.ioやSummoning Teamのような研究者は、体系的な連鎖攻撃を通じて優位に立っています。

元記事: https://gbhackers.com/researchers-score-516k-zero-days/