セキュリティ研究者らはTeslaのインフォテインメントシステムをハッキングし、Pwn2Own Automotive 2026競技会の初日に37件のゼロデイを悪用して、516,500ドルを獲得しました。
Synacktivチームは、情報漏えいとアウト・オブ・バウンズ書き込みの欠陥を連鎖させ、USBベースの攻撃カテゴリでTeslaインフォテインメントシステム上でroot権限を取得することに成功し、35,000ドルを持ち帰りました。さらに、3つの脆弱性を連鎖させてSony XAV-9500ESデジタルメディアレシーバーでrootレベルのコード実行を達成し、追加で20,000ドルの賞金を獲得しました。
Fuzzware.ioチームは、Alpitronic HYC50充電ステーション、Autelの充電器、Kenwood DNR1007XRナビゲーションレシーバーをハッキングして、さらに118,000ドルを獲得しました。一方、PetoWorksは、3件のゼロデイバグを連鎖させてPhoenix Contact CHARX SEC-3150充電コントローラーでroot権限を取得したとして、50,000ドルを授与されました。
DDOSチームも、ChargePoint Home Flex、Autel MaxiCharger、Grizzl-E Smart 40A車両充電ステーションをハッキングして、72,500ドルを獲得しました。
Pwn2Ownの2日目には、Grizzl-E Smart 40Aが4チームにより標的となり、Autel MaxiChargerは3回標的となる予定です。また、2チームがChargePoint Home Flexのroot化を試み、成功するたびにハッカーは50,000ドルを獲得します。
Fuzzware.ioチームは、70,000ドルの賞金を狙ってPhoenix Contact CHARX SEC-3150車両充電器のハッキングも試みます。
ベンダーには、Pwn2Ownコンテスト中にゼロデイの欠陥が悪用され報告された後、TrendMicroのZero Day Initiativeがそれらを公表する前に、セキュリティ修正を開発してリリースするための90日間が与えられます。
Pwn2Own Automotive 2026ハッキングコンテストは自動車技術に焦点を当てており、日本・東京で今週、1月21日から1月23日まで、Automotive World自動車カンファレンスの期間中に開催されます。
このハッキング競技会を通じて、セキュリティ研究者は、完全にパッチ適用済みの車載インフォテインメント(IVI)システム、電気自動車(EV)充電器、車載OS(例:Automotive Grade Linux)を標的にします。
今年の自動車競技会の完全なスケジュールはこちらで確認できます。また、初日の完全なスケジュールと各チャレンジの結果はこちらで確認できます。
Pwn2Own Automotive 2025競技会は、ハッカーが49件のゼロデイ脆弱性を悪用して886,250ドルを獲得して終了しました。
2024年の第1回Pwn2Own Automotiveコンテストでは、複数の電気自動車システムで49件のゼロデイバグを実証し、Teslaを2回ハッキングした結果、さらに1,323,750ドルの賞金を獲得しました。
