コンテスト概要
オープンソースのクラウドおよびAIツールに焦点を当てた新しいハッキングコンテスト「Zeroday Cloud」が、総額450万ドルの報奨金を提供すると発表しました。このコンテストは、クラウドセキュリティ企業Wizの研究部門がGoogle Cloud、AWS、Microsoftと提携して立ち上げたものです。開催は、2025年12月10日と11日にロンドンで開催されるBlack Hat Europeカンファレンスで行われます。
ターゲットと報奨金
Zeroday Cloudには、研究者が参加できる6つの異なるカテゴリがあり、報奨金は1万ドルから30万ドルの範囲で設定されています。
- AI: Ollama ($25,000)、Vllm ($25,000)、Nvidia Container Toolkit ($40,000)
- Kubernetesとクラウドネイティブ: Kubernetes API Server ($80,000)、Kubelet Server ($40,000)、Grafana ($10,000 認証済みRCE、$40,000 認証前RCE)、Prometheus ($40,000)、Fluent Bit ($10,000)
- コンテナと仮想化: Docker ($40,000 ユーザー提供イメージ、$60,000 任意イメージ)、Containerd ($40,000 ユーザー提供イメージ、$60,000 任意イメージ)、Linux Kernel ($30,000 Ubuntu上でのコンテナエスケープ)
- Webサーバー: nginx ($300,000)、Apache Tomcat ($100,000)、Envoy ($50,000)、Caddy ($50,000)
- データベース: Redis ($25,000 認証済みRCE、$100,000 認証前RCE)、PostgreSQL ($20,000 認証済みRCE、$100,000 認証前RCE)、MariaDB ($20,000 認証済みRCE、$100,000 認証前RCE)
- DevOps & 自動化: Apache Airflow ($40,000)、Jenkins ($40,000)、GitLab CE ($40,000)
応募要件とルール
コンテストのルールでは、提出されるエクスプロイトはターゲットの完全な侵害をもたらす必要があるとされています。Wizは、これは「仮想化カテゴリでは完全なコンテナ/VMエスケープ、その他のターゲットでは0クリックのリモートコード実行(RCE)脆弱性」を意味すると説明しています。主催者は、各ターゲットの条件、指示、および技術リソース(デフォルト設定のターゲットを含むDockerコンテナ)を提供し、セキュリティ研究者がエクスプロイトをテストできるようにしています。
HackerOneプラットフォームを通じて登録し、11月20日までにID確認と税務フォームを完了した研究者は、好きなだけ多くのターゲットにエクスプロイトを提出できますが、各ターゲットにつき1つのエントリーに制限されます。承認されたエクスプロイトの提出者は、イベント中に単独または最大5人のチームでライブデモンストレーションを行うよう招待されます。
ロシア、中国、イラン、北朝鮮、キューバ、スーダン、シリア、リビア、レバノン、およびクリミアとドネツクの地域など、禁輸措置または制裁対象国に居住する人々は、Zeroday Cloudコンテストへの参加が制限されています。コンテストの完全なルールはzeroday.cloudで確認できます。
Pwn2Ownとの類似性に関する論争
しかし、このイベントの発表は、長年にわたり成功を収めてきたPwn2Ownハッキングコンテストの主催者からは好意的に受け止められませんでした。Trend Microは公開投稿で、WizがPwn2Own Irelandのルールをコピーしたと非難しました。Trend Microのサイバーセキュリティ戦略&テクノロジー担当ディレクターであるフアン・パブロ・カストロ氏は、両イベントのルールを比較したGeminiの出力が「一字一句」コピーされていると述べました。Wizはこれに対し、「信頼できる成熟したフレームワークからインスピレーションを得た」と認め、事態を沈静化させる声明を発表しました。