Pwn2Own Ireland 2025での発表中止

サイバーセキュリティ研究チーム「Team Z3」は、Pwn2Own Ireland 2025ハッキングコンテストで予定されていたWhatsAppのゼロクリックリモートコード実行（RCE）脆弱性のデモンストレーションを中止し、代わりにMetaへの非公開かつ協調的な開示を選択しました。

この脆弱性は、記録的な100万ドルの報奨金が期待されており、10月21日から23日までアイルランドのコークで開催された3日間のイベントで最も注目されるデモンストレーションの一つでした。発表の中止は、WhatsAppの脆弱性がコンテストの「目玉」であり、Pwn2Own史上最大の単一報奨金となる可能性があったため、現場の観客や競合他社を失望させました。

非公開開示の背景と意義

イベント主催者であるZero Day Initiative（ZDI）によると、Team Z3は彼らの研究がライブ公開デモンストレーションの準備ができていないと感じたとのことです。公開デモンストレーションは行われなかったものの、ZDIは「肯定的なセキュリティ成果」を強調し、アナリストが初期評価を行った後、Metaのエンジニアに調査結果を引き渡し、検証された欠陥に対する構造化された対応を保証すると述べました。

WhatsAppの親会社であり、SynologyおよびQNAPと共にPwn2Own Irelandの共同スポンサーであるMetaは、調査結果への継続的な関心を示し、高度な脅威に対するアプリの防御を強化するコミットメントを再確認しました。ゼロクリックエクスプロイトは、デバイスを侵害するためにユーザーの操作を必要とせず、特に深刻なリスクをもたらし、過去には高位の個人を標的としたスパイウェアキャンペーンで悪用されてきました。

ZDIは、この非公開開示チャネルを促進することで、Metaにイベント後最大90日間のパッチ適用期間を与え、公開前に問題を修正することを目的としており、これは倫理的なハッキングの規範と責任ある開示慣行に沿ったものです。

Pwn2Own Ireland 2025の成果

WhatsAppのデモンストレーションは実現しなかったものの、Pwn2Own Ireland 2025では最終的に、さまざまなデバイスで発見された73のユニークなゼロデイ脆弱性に対して、合計1,024,750ドルの賞金が授与されました。成功したエクスプロイトは、Samsung Galaxy S25スマートフォン、Philips Hue Bridgeスマートホームデバイス、LexmarkおよびCanonプリンター、QNAPネットワークアタッチトストレージシステム、Ubiquiti監視カメラなどを標的としました。

このイベントは、サイバーセキュリティにおけるバグバウンティと協調的開示の進化する状況を示しており、ベンダーは悪意のあるアクターが脆弱性を悪用する前に特定するために、セキュリティ研究者との連携を強化しています。

WhatsAppユーザーへの影響と今後の展望

今回のWhatsAppの件は、世界中で30億人が利用するユビキタスなコミュニケーションアプリに潜む隠れたリスクを再認識させるものです。サイバーセキュリティコミュニティがMetaの対応を待つ中、Team Z3が公開のスペクタクルよりも責任ある開示を優先した決定は、現代の脆弱性研究の成熟度を示しており、WhatsAppユーザーへの広範な被害を未然に防ぐ可能性を秘めています。

元記事: https://gbhackers.com/whatsapp-0-click-exploit-disclosed-to-meta/