サイバーニュース.jp

世界のサイバーなニュースを配信

Pwn2Own Ireland 2025初日、34件のゼロデイ脆弱性が悪用され52万ドル超の賞金

カテゴリ:

, , , , , , , , ,

Pwn2Own Ireland 2025初日の成果

2025年10月21日、アイルランドで開催された「Pwn2Own Ireland 2025」の初日において、セキュリティ研究者たちは34件ものユニークなゼロデイ脆弱性を悪用し、合計で522,500ドル(約7,800万円)の賞金を獲得しました。このイベントは、脅威アクターが悪用する前に標的デバイスのセキュリティ脆弱性を特定することを目的として、Zero Day Initiative (ZDI) によって開催されています。

主要なエクスプロイトと受賞者

初日のハイライトは、Bongeun Koo氏とEvangelos Daravigkas氏からなるTeam DDOSが、8つのゼロデイ脆弱性を連鎖的に悪用し、QNAP Qhora-322 EthernetワイヤレスルーターをWANインターフェース経由でハッキングし、QNAP TS-453E NASデバイスへのアクセスを獲得したことです。この成功により、彼らは100,000ドルを獲得し、Master of Pwnリーダーボードで2位につけています。

  • Synacktiv Team、Summoning TeamのSina Kheirkhah氏、DEVCORE Team、Rapid7のStephen Fewer氏はそれぞれ40,000ドルを獲得。Synology BeeStation Plus、Synology DiskStation DS925+、QNAP TS-453E、Home Assistant Greenのルート権限を奪取しました。
  • STARLabs、Team PetoWorks、Team ANHTUD、Ieraeの研究者たちは、Canon imageCLASS MF654Cdw多機能レーザープリンターを4回ハッキングしました。
  • STARLabsはSonos Era 300スマートスピーカーもハッキングし、50,000ドルを獲得。
  • Team ANHTUDはPhillips Hue Bridgeを悪用し、40,000ドルを獲得しました。
  • Summoning TeamのSina Kheirkhah氏とMcCaulay Hudson氏は、2つのゼロデイ脆弱性を組み合わせたエクスプロイトチェーンを使用し、Synology ActiveProtect Appliance DP320のルート権限を奪取して50,000ドルを獲得。Summoning Teamは初日に合計102,500ドルを獲得し、リーダーボードのトップに立っています。

Pwn2Ownの目的と今後の注目点

ZDIは、Pwn2Ownイベントで悪用されたゼロデイ脆弱性について、ベンダーがセキュリティアップデートをリリースするために90日間の猶予を与えています。その後、Trend MicroのZero Day Initiativeが脆弱性を公開します。

Pwn2Own Ireland 2025では、以下の8つのカテゴリが対象となっています。

  • フラッグシップスマートフォン(Apple iPhone 16、Samsung Galaxy S25、Google Pixel 9)
  • メッセージングアプリ
  • スマートホームデバイス
  • プリンター
  • ホームネットワーキング機器
  • ネットワークストレージシステム
  • 監視機器
  • ウェアラブルテクノロジー(MetaのRay-Ban Smart Glasses、Quest 3/3Sヘッドセット)

今年は、モバイルカテゴリの攻撃ベクトルが拡張され、USBポートを介したモバイルハンドセットの悪用(物理接続によるロックされた電話のハッキング)も含まれています。Bluetooth、Wi-Fi、NFCなどの従来のワイヤレスプロトコルも引き続き有効な攻撃ベクトルです。

2日目には、ネットワークアタッチトストレージ、プリンター、スマートホーム、監視システム、そしてSamsung Galaxy S25が再び標的となります。また、ZDIは、ユーザーの操作なしにコード実行を可能にするゼロクリックWhatsAppエクスプロイトに対して100万ドルの報奨金を提供しています。

イベント概要と過去の記録

Pwn2Own Ireland 2025は、Meta、QNAP、Synologyが共同スポンサーとなり、10月21日から10月24日までアイルランドのコークで開催されます。昨年のPwn2Own Irelandイベントでは、セキュリティ研究者たちが70以上のゼロデイ脆弱性に対して1,078,750ドルを獲得し、Viettel Cyber SecurityがQNAP、Sonos、Lexmarkのバグで205,000ドルを集めました。

2026年1月には、ZDIは東京で開催されるAutomotive World技術ショーで3回目のPwn2Own Automotiveコンテストを開催する予定で、Teslaが再びスポンサーを務めます。

元記事: https://www.bleepingcomputer.com/news/security/hackers-exploit-34-zero-days-on-first-day-of-pwn2own-ireland/

投稿をさらに読み込む