Pwn2Own Ireland 2025の初日、セキュリティ研究者たちは34件のユニークなゼロデイ脆弱性を悪用し、合計52万2,500ドルの賞金を獲得しました。
この日のハイライトは、Team DDOSのBongeun Koo氏とEvangelos Daravigkas氏、STARLabs、Team PetoWorks、Team ANHTUD、Ieraeの研究者たちがCanon imageCLASS MF654Cdw多機能レーザープリンターを4回ハッキングしたことです。また、STARLabsはSonos Era 300スマートスピーカーをハッキングして5万ドルを獲得し、Team ANHTUDはPhillips Hue Bridgeを悪用して4万ドルの賞金を手にしました。
Summoning TeamのSina Kheirkhah氏とMcCaulay Hudson氏は、2つのゼロデイを組み合わせたエクスプロイトチェーンを使用し、Synology ActiveProtect Appliance DP320でroot権限を獲得してさらに5万ドルを獲得しました。
Summoning Teamは大会初日に合計10万2,500ドルを獲得し、Master of Pwnリーダーボードのトップに11.5ポイントで立っています。
Zero Day Initiative(ZDI)は、脅威アクターが悪用する前にターゲットデバイスのセキュリティ脆弱性を特定するためにこのイベントを運営しており、影響を受けるベンダーと責任ある情報開示を調整しています。
Pwn2Ownイベントでゼロデイ脆弱性が悪用された後、ベンダーには90日間のセキュリティアップデート提供期間が与えられ、その後Trend MicroのZero Day Initiativeが公に開示します。
Pwn2Own Ireland 2025ハッキングコンテストは、8つのカテゴリが用意されており、フラッグシップスマートフォン(Apple iPhone 16、Samsung Galaxy S25、Google Pixel 9)、メッセージングアプリ、スマートホームデバイス、プリンター、家庭用ネットワーク機器、ネットワークストレージシステム、監視機器、ウェアラブルテクノロジー(MetaのRay-BanスマートグラスやQuest 3/3Sヘッドセットを含む)が対象です。
今年は、ZDIがモバイルカテゴリの攻撃ベクトルを拡大し、USBポートを利用したモバイル端末への攻撃も含めました。これにより、参加者は物理的な接続を通じてロックされたスマートフォンをハッキングする必要があります。ただし、従来のBluetooth、Wi-Fi、近距離無線通信(NFC)などの無線プロトコルも有効な攻撃ベクトルとして残っています。
2日目には、セキュリティ研究者たちが再びネットワークアタッチトストレージ、プリンター、スマートホーム、監視システムのカテゴリ、そしてモバイルフォンカテゴリのSamsung Galaxy S25をターゲットにします。
8月に発表された通り、今回ZDIは初めて、ユーザー操作なしでコード実行が可能なゼロクリックのWhatsAppエクスプロイトをデモしたセキュリティ研究者に対し、100万ドルの報奨金を提供します。
MetaはQNAPやSynologyとともに、Pwn2Own Ireland 2025ハッキングコンテストの共同スポンサーを務めており、イベントは10月21日から24日までアイルランドのコークで開催されます。
昨年のPwn2Own Irelandイベントでは、セキュリティ研究者たちが70件以上のゼロデイ脆弱性で合計1,078,750ドルを獲得し、Viettel Cyber SecurityはQNAP、Sonos、Lexmarkのバグで20万5,000ドルを手にしました。
2026年1月、ZDIは東京で開催されるAutomotive Worldテクノロジーショーに戻り、第3回Pwn2Own Automotiveコンテストを開催し、Teslaが再びスポンサーとして参加します。
