Pwn2Own Automotive 2026の2日目は競争が劇的に加速し、セキュリティ研究者が自動車システムおよびEV充電インフラにおける重大な脆弱性を数十件発見しました。
本イベントでは現在、37件のユニークなゼロデイ脆弱性に対して合計516,500ドル超が授与されており、自動車セキュリティの開示における画期的な年となっています。
2日目はEV充電ステーションが主要な攻撃対象領域として浮上し、Grizzl-E Smart 40A、Alpitronic HYC50、ChargePoint Home Flexの各システムを狙った成功したエクスプロイトが複数確認されました。
Charging Connector Protocol/Signal Manipulationのアドオンは特に人気を集め、認証バイパス、コマンドインジェクションの欠陥、バッファオーバーフロー脆弱性を露呈させる成功攻撃が多数生まれました。
Fuzzware.ioは序盤のラウンドを席巻し、Phoenix Contact CHARX SEC-3150における重大なバグ3件の悪用で50,000ドルを獲得しました。
同チームの複数脆弱性チェーンは、認証バイパスと権限昇格を組み合わせたもので、単一システム内に複数の欠陥が存在する場合にリスクが複合的に増大することを示しました。
その後、同チームはChargePointインフラにおけるコマンドインジェクション脆弱性により、さらに30,000ドルを獲得しました。
車載インフォテインメントシステムは二次的ではあるものの、依然として重要な攻撃ベクトルでした。
Team MAMMOTHはAlpine iLX-F511システムにおけるコマンドインジェクション脆弱性の悪用に成功して10,000ドルを獲得し、Neodyme AGはSony XAV-9500ESをバッファオーバーフロー(CWE-120)で狙い、10,000ドルを獲得しました。
Kenwood DNR1007XRには複数チームから継続的な攻撃が加えられ、n-dayおよびゼロデイのコマンドインジェクションのエクスプロイトにより、成功したデモ1件あたり2,500〜5,000ドルが支払われました。
注目すべきブレークスルーとして、Technical Debt CollectorsがAutomotive Grade Linux(AGL)を悪用し、範囲外読み取り、メモリ枯渇、ヒープオーバーフローという3つの異なる脆弱性を連鎖させ、40,000ドルとMaster of Pwnポイント4点を獲得しました。
この攻撃は、コネクテッドカーにおけるオープンソースプラットフォーム推進にとって、自動車業界に重大な懸念を突きつけるものです。
複数チームが同一の欠陥を発見する「脆弱性の衝突」が高頻度で発生したことは、特定の攻撃ベクトルの取り組みやすさを浮き彫りにしています。
Alpine iLX-F511システムでは少なくとも4件の衝突事例が発生し、研究者は脆弱性の満額ではなく、衝突1件あたり2,500ドルの減額報奨金を獲得しました。
この傾向は、複数のセキュリティ研究者が類似の手法によって特定した、予測可能な弱点が存在することを示唆しています。
2日目の順位では、Fuzzware.ioが複数の6桁規模の成果で首位に立つ一方、独立研究者やSummoning Teamのような小規模チームも、狙いを定めたエクスプロイトにより競争力を示しました。
複数バグのチェーンに対する50,000ドルの支払いは、単一脆弱性の単純なデモではなく、高度なエクスプロイト技術の開発を研究者に促しています。
Pwn2Own Automotive 2026が進行するにつれ、自動車メーカーは孤立した脆弱性だけでなく、多段階攻撃を可能にするシステム的な弱点にも対処するよう、ますます強い圧力に直面しています。
認証バイパス、コマンドインジェクションの欠陥、メモリ安全性の問題が広く見られることは、複数ベンダーにまたがる設計および実装上の根本的な不備を示しています。
これらの発見は、自動車セキュリティ標準を再構築し、今後数四半期にわたって業界全体のパッチ管理施策を推進する可能性が高いでしょう。
この競技は、現実世界の脅威アクターが間違いなく強い関心をもって注視している、自動車サイバーセキュリティ態勢の重大なギャップを引き続き露呈させています。
翻訳元: https://cyberpress.org/zero-day-bugs-at-pwn2own/