Pwn2Own Ireland 2025ハッキングコンテストが終了し、セキュリティ研究者たちは73件のゼロデイ脆弱性を悪用し、合計1,024,750ドルの賞金を獲得しました。
Pwn2Own Ireland 2025では、参加者は8つのカテゴリの製品を標的にしました。これにはプリンター、ネットワークストレージシステム、メッセージングアプリ、スマートホームデバイス、監視機器、ホームネットワーク機器、フラッグシップスマートフォン(Apple iPhone 16、Samsung Galaxy S25、Google Pixel 9)、ウェアラブルテクノロジー(MetaのRay-BanスマートグラスやQuest 3/3Sヘッドセットを含む)が含まれます。
今年のコンテストでは、攻撃対象が拡大され、モバイル端末のUSBポートを介した攻撃も含まれました。研究者は物理的な接続を通じてロックされたデバイスをハッキングする必要がありました。しかし、従来のBluetooth、Wi-Fi、NFC(近距離無線通信)などのワイヤレスプロトコルも有効な攻撃経路として残りました。
このハッキングコンテストはMetaがQNAPやSynologyとともに共催し、2025年10月21日から10月23日までアイルランドのコークで開催されました。
Summoning Teamは今年のPwn2Own Irelandで優勝し、3日間でSamsung Galaxy S25、Synology DiskStation DS925+ NAS、Home Assistant Green、Synology ActiveProtect Appliance DP320 NASドライブ、Synology CC400Wカメラ、QNAP TS-453E NASデバイスをハッキングし、22ポイントのMaster of Pwnと187,500ドルを獲得しました。
Team ANHTUDは76,750ドルと11.5ポイントで2位を獲得し、Team Synactivは90,000ドルと11ポイントで3位となりました。
Pwn2Own Ireland初日には、ハッカーたちが34件のユニークなゼロデイを悪用し、522,500ドルの賞金を獲得しました。イベント2日目には、さらに22件のユニークなゼロデイ脆弱性をデモし、267,500ドルを獲得しました。
最終日のハイライトは、Interrupt LabsのチームによるSamsung Galaxy S25のハッキングで、不適切な入力検証バグを利用し、位置情報追跡やカメラの有効化も実現し、5ポイントのMaster of Pwnと50,000ドルを獲得しました。
本日、Team Z3もWhatsAppのゼロクリックリモートコード実行ゼロデイのデモを予定しており、100万ドルの報酬の対象でしたが、コンテストから撤退しました。彼らはMetaのエンジニアリングチームと研究を共有する前に、ZDIのアナリストに調査結果を非公開で開示することを選びました。
Zero Day Initiative(ZDI)は、このハッキングコンテストを主催し、攻撃者による悪用前にセキュリティ脆弱性を特定し、影響を受けるベンダーと責任ある情報開示を調整しています。
Pwn2Ownでゼロデイが悪用された後、ベンダーはTrend MicroのZero Day Initiativeが公表する前に90日間のパッチリリース猶予が与えられます。
2026年1月、ZDIは再び東京・日本で開催されるAutomotive World技術展示会にて、第3回Pwn2Own AutomotiveコンテストをTeslaの協賛で開催します。
