Zero Day Initiativeは、次回開催されるPwn2Own Ireland 2025ハッキングコンテストにおいて、ゼロクリックのWhatsApp脆弱性を実演するセキュリティ研究者に対し、100万ドルの報酬を提供しています。
この過去最高額の賞金は、世界中で30億人以上が利用するメッセージングプラットフォーム上で、ユーザーの操作なしにコード実行を可能にするゼロクリックのセキュリティ脆弱性を対象としています。
MetaはSynologyおよびQNAPとともに、2025年10月21日から24日までアイルランド・コークで開催されるPwn2Own Ireland 2025コンテストを共催します。
「タイトルからもお分かりの通り、今年のイベントをMetaが共催することを発表できて非常に嬉しく思います。Metaは素晴らしいWhatsAppの脆弱性が見られることを期待しています。彼らは非常に楽しみにしており、0クリックでコード実行につながるWhatsAppのバグに対して100万ドルを用意しています」とZero Day Initiativeは木曜日に発表しました。
「他のWhatsAppの脆弱性に対しても、少額の賞金を用意していますので、詳細はメッセージング部門をご確認ください。このカテゴリは昨年導入しましたが、挑戦者はいませんでした。2つのカンマが入った数字(100万ドル)が、必要なモチベーションになるかもしれません。」
このコンテストでは、携帯電話、メッセージングアプリ、ホームネットワーク機器、スマートホームデバイス、プリンター、ネットワークストレージシステム、監視機器、ウェアラブル技術など8つのカテゴリがあり、MetaのRay-BanスマートグラスやQuest 3/3Sヘッドセット、Samsung Galaxy S25、Google Pixel 9、Apple iPhone 16などのフラッグシップスマートフォンも対象となっています。
ZDIはまた、モバイルカテゴリの攻撃ベクトルを拡大し、USBポートを利用したモバイルデバイスの脆弱性も対象としました。これにより、参加者は物理的な接続を通じてロックされた携帯電話を侵害する必要があります。従来の無線プロトコル(Wi-Fi、Bluetooth、近距離無線通信)も有効な攻撃手法として認められています。
登録締切は10月16日午後5時(アイルランド標準時)で、コンテストの順番は抽選で決定されます。Zero Day Initiativeは、悪意ある攻撃者が悪用する前に脆弱性を特定し、影響を受けるベンダーと責任ある情報公開を調整するためにこのイベントを運営しています。
Pwn2Ownイベントで脆弱性が実証された後、ベンダーはTrend MicroのZero Day Initiativeによる公表前に90日以内にセキュリティアップデートをリリースする必要があります。
昨年のPwn2Own Irelandイベントでは、70件以上のユニークなゼロデイ脆弱性に対して1,078,750ドルが授与され、Viettel Cyber SecurityはQNAP NAS、Sonosスピーカー、Lexmarkプリンターで実証した脆弱性により205,000ドルを獲得しました。
