サイバーニュース.jp

世界のサイバーなニュースを配信

Pwn2Own Ireland 2025初日、34件のゼロデイ脆弱性が悪用され50万ドル超の賞金

カテゴリ:

, , , , , , , , ,

Pwn2Own Ireland 2025初日の概要

2025年10月21日、アイルランドで開催された「Pwn2Own Ireland 2025」の初日において、セキュリティ研究者たちは34件ものユニークなゼロデイ脆弱性を悪用し、合計で522,500ドル(約7,800万円)の賞金を獲得しました。このイベントは、脅威アクターが悪用する前に標的デバイスのセキュリティ脆弱性を特定することを目的として、Zero Day Initiative(ZDI)によって運営されています。

注目のエクスプロイトと受賞者

初日のハイライトは、Bongeun Koo氏とEvangelos Daravigkas氏からなるTeam DDOSによるものでした。彼らは8つのゼロデイ脆弱性を連鎖させ、WANインターフェースを介してQNAP Qhora-322イーサネットワイヤレスルーターをハッキングし、QNAP TS-453E NASデバイスへのアクセスに成功しました。この功績により、彼らは100,000ドルを獲得し、Master of Pwnリーダーボードで8ポイントを獲得して2位につけています。

他にも、複数のチームが成果を上げました。

  • Synacktiv Team: Synology BeeStation Plusのルート権限を取得し、40,000ドルを獲得。
  • Summoning TeamのSina Kheirkhah氏: Synology DiskStation DS925+のルート権限を取得し、40,000ドルを獲得。
  • DEVCORE Team: QNAP TS-453Eのルート権限を取得し、40,000ドルを獲得。
  • Rapid7のStephen Fewer氏: Home Assistant Greenのルート権限を取得し、40,000ドルを獲得。

プリンターやスマートホームデバイスも標的となり、STARLabs、Team PetoWorks、Team ANHTUD、Ieraeの研究者たちはCanon imageCLASS MF654Cdw多機能レーザープリンターを4回ハッキングしました。また、STARLabsはSonos Era 300スマートスピーカーをハッキングして50,000ドルを、Team ANHTUDはPhillips Hue Bridgeを悪用して40,000ドルを獲得しています。

Summoning TeamのSina Kheirkhah氏とMcCaulay Hudson氏は、2つのゼロデイ脆弱性を組み合わせたエクスプロイトチェーンを用いてSynology ActiveProtect Appliance DP320のルート権限を取得し、さらに50,000ドルを獲得しました。Summoning Teamは初日で合計102,500ドルを獲得し、11.5ポイントでMaster of Pwnリーダーボードのトップに立っています。

多岐にわたるターゲットデバイス

Pwn2Own Ireland 2025ハッキングコンテストでは、以下の8つのカテゴリが設定されています。

  • フラッグシップスマートフォン(Apple iPhone 16、Samsung Galaxy S25、Google Pixel 9)
  • メッセージングアプリ
  • スマートホームデバイス
  • プリンター
  • ホームネットワーキング機器
  • ネットワークストレージシステム
  • 監視機器
  • ウェアラブルテクノロジー(MetaのRay-Ban Smart Glasses、Quest 3/3Sヘッドセット)

今年は、モバイルカテゴリの攻撃ベクトルが拡大され、物理的な接続を介してロックされた電話をハッキングするUSBポートエクスプロイトも含まれています。Bluetooth、Wi-Fi、NFCなどの従来のワイヤレスプロトコルも引き続き有効な攻撃ベクトルです。

また、ZDIは、ユーザーの操作なしにコード実行を可能にするゼロクリックWhatsAppエクスプロイトに対して、100万ドルの報奨金を提供することを発表しており、注目を集めています。

ゼロデイ脆弱性の重要性と今後の展望

Pwn2Ownイベントでゼロデイ脆弱性が悪用された後、ベンダーにはセキュリティアップデートをリリースするために90日間の猶予が与えられ、その後Trend MicroのZero Day Initiativeが脆弱性を公開します。これにより、悪用される前に脆弱性が修正される機会が提供され、サイバーセキュリティの向上に貢献しています。

昨年のPwn2Own Irelandイベントでは、セキュリティ研究者たちが70件以上のゼロデイ脆弱性に対して1,078,750ドルを獲得しており、Viettel Cyber SecurityがQNAP、Sonos、Lexmarkのバグで205,000ドルを獲得しました。2026年1月には、ZDIは東京で開催されるAutomotive Worldテクノロジーショーで3回目のPwn2Own Automotiveコンテストを開催する予定で、Teslaがスポンサーとして再び参加します。

元記事: https://www.bleepingcomputer.com/news/security/hackers-exploit-34-zero-days-on-first-day-of-pwn2own-ireland/

投稿をさらに読み込む