Pwn2Own Automotive 2026の2日目、セキュリティ研究者らは29件のユニークなゼロデイを悪用し、賞金として現金439,250ドルを獲得しました。
Pwn2Own Automotiveハッキングコンテストは自動車技術に焦点を当てており、今週1月21日から1月23日まで日本・東京で、Automotive World自動車カンファレンスの期間中に開催されています。
競技期間中、セキュリティ研究者は、完全にパッチ適用済みの電気自動車(EV)充電器、車載インフォテインメント(IVI)システム、車載OS(例:Automotive Grade Linux)を標的にします。
Fuzzware.ioは、最初の2日間で213,000ドルを獲得しており、現在、競技のリーダーボードで首位に立っています。さらに、Phoenix ContactのCHARX SEC-3150充電コントローラー、ChargePoint Home Flex EV充電器、Grizzl-E Smart 40A EV充電ステーションをハッキングして、追加で95,000ドルを獲得しました。
Summoning TeamのSina Kheirkhahは、Kenwood DNR1007XRナビゲーションレシーバー、ChargePoint Home Flex、Alpine iLX-F511マルチメディアレシーバーをroot化し、さらに40,000ドルを獲得しました。
Technical Debt CollectorsのRob BlakelyとInnoEdge LabsのHank Chenも、それぞれ40,000ドルを受賞しました。Automotive Grade LinuxおよびAlpitronic HYC50充電ステーションを標的とするゼロデイのエクスプロイトチェーンを実証したためです。
コンテスト最初の2日間で、セキュリティ研究者は66件のゼロデイ脆弱性を悪用し、賞金として現金955,750ドルを獲得しました。
Pwn2Ownの3日目には、Qrious SecureのSlow HorsesとPetoWorksチームがGrizzl-E Smart 40Aを再び標的にし、Juurin OyチームはAlpitronic HYC50に挑み、Ryo KatoはAutel MaxiChargerの悪用を試みます。
初日には、Synacktiv Teamが情報漏えいと境界外書き込みの欠陥を連鎖させることに成功し、 root権限を取得して、USBベースの攻撃によりTeslaのインフォテインメントシステム上でroot権限を得たとして35,000ドルを獲得しました。さらに、3つのゼロデイ欠陥を連鎖させてSony XAV-9500ESデジタルメディアレシーバーでrootレベルのコード実行を達成し、追加で20,000ドルの現金賞金を獲得しました。
2日目の全スケジュールと各チャレンジの結果はこちらで確認でき、Pwn2Own Automotive 2026の完全なスケジュールはこちらで確認できます。
昨年のPwn2Own Automotiveコンペティションでは、ハッカーは49件のゼロデイを悪用して886,250ドルを獲得しました。さらにその前年のPwn2Own Automotive 2024コンテストでは、49件のゼロデイバグを実証し、Tesla車を2回ハッキングして、さらに1,323,750ドルを獲得しました。
ベンダーには、Pwn2Ownコンテスト中に悪用され報告されたゼロデイ欠陥について、TrendMicroのZero Day Initiativeが公表する前に、セキュリティ修正を開発してリリースするための90日間が与えられます。
