Pwn2Own Automotive 2026の2日目は高い緊張感の中で幕を開け、セキュリティ研究者たちは車載インフォテインメントシステム、EV充電器、ゲートウェイを標的にしました。
1日目の勢いを受けて、各チームは37件のユニークなゼロデイ脆弱性を実証し、報奨金として合計516,500ドル超を獲得しました。
Zero Day Initiative(ZDI)のイベントは、コマンドインジェクションからバッファオーバーフローに至るまで、車両技術における重大な欠陥を浮き彫りにし、現実世界での悪用が出現する前にベンダーへパッチ適用を促しています。
注目のハックでは、連鎖(チェーン)手法や、Charging Connector Protocol/Signal Manipulation(充電コネクタプロトコル/信号操作)といったアドオンが披露されました。
Master of Pwnのポイントは早い段階から集計され、Fuzzware.ioが複数バグのチェーンで首位に立ちました。ZDIのソーシャルチャンネルで、#Pwn2Own と #P2OAuto の更新を追ってください。
2日目の主なエクスプロイトと報奨金
Team MAMMOTH(Inhyung Lee、Seokhun Lee、Chulhan Park、Wooseok Kim、Yeonseok Jang)は、Alpine iLX-F511ヘッドユニットに対するコマンドインジェクションで口火を切りました。
このエクスプロイトにより不正アクセスが可能となり、10,000ドルとMaster of Pwn 2ポイントを獲得しました。
その後、同じ標的に対するNguyen Thanh Dat(Viettel Cyber Security)、Kazuki Furukawa(GMO Cybersecurity)、Slow Horses(Qrious Secure)、Sina Kheirkhah(Summoning Team)によるコリジョンは、各チームが2,500ドルと1ポイントを獲得し、Alpineのファームウェアに繰り返し存在する弱点を示しました。
FuzzingLabsのJulien Cohen-Scaliは、Phoenix Contact CHARX SEC-3150 EV充電器に対して認証バイパスと権限昇格をチェーンしました。この2つの組み合わせによりリモートコード実行が可能となり、20,000ドルと4ポイントの価値となりました。
Fuzzware.io(Tobias Scharnowski、Felix Buchmann、Kristian Covic)は、Automotive Grade Linuxに対して、範囲外読み取り、メモリ枯渇、ヒープオーバーフローの3バグチェーンで攻撃をエスカレートし、40,000ドルと4ポイントを獲得しました。
さらに、ChargePoint Home Flex(CPH50-K)をコマンドインジェクションで攻略(30,000ドル、5ポイント)し、Grizzl-E Smart 40Aでも複数のコリジョンが発生しました。
バッファオーバーフローも人気でした。Neodyme AGは、Sony XAV-9500ESにおけるCWE-120を悪用して特権実行を達成(10,000ドル、2ポイント)しました。
Hank Chen(InnoEdge Labs)は、Alpitronic HYC50 – Lab Modeにおける危険な手法を明らかにし(40,000ドル、4ポイント)、Xilokarの単一バグによるrootアクセス(20,000ドル、4ポイント)も同様に評価されました。
コリジョンはさらに複雑さを加えました。BoredPentesterはGrizzl-E Smart 40Aで2つのバグをチェーン(20,000ドル、3ポイント)し、その後Kenwood DNR1007XRにコマンドインジェクション(5,000ドル、2ポイント)を行いました。
Team DDOS(Bongeun Koo、Evangelos Daravigkas)は、Kenwoodに対するn-dayのコマンドインジェクション(4,000ドル、1ポイント)と、Phoenix CHARXに対するコリジョンを伴う6バグチェーン(19,250ドル、4.75ポイント)を成功させました。
BoB::TakedownはGrizzl-Eでコリジョンとゼロデイを組み合わせ(15,000ドル、3ポイント)、一方でPHP Hooligans/Midnight Blueは2バグのAutel MaxiChargerチェーンを完全にコリジョンさせました(20,000ドル、3ポイント)。
SynacktivはAutel MaxiChargerに対するバッファオーバーフローに信号操作を組み合わせました(30,000ドル、5ポイント)。Summoning TeamのSina Kheirkhahは二重の成果を挙げ、ChargePointで2つのバグ(30,000ドル、5ポイント)と、Alpineで2つの脆弱性によるroot獲得(5,000ドル、2ポイント)を達成しました。
ZIEN, Inc.(Hyeonjun Leeほか)は、コリジョンがあるにもかかわらず、ChargePointでシンボリックリンク追従とコマンドインジェクションをチェーンしました(16,750ドル、3.5ポイント)。
Evan GrantはGrizzl-Eでコリジョンの報奨金を獲得(15,000ドル、3ポイント)し、PetoWorks/78ResearchLabはKenwoodのコリジョンを獲得しました(各2,500ドル、1ポイント)。
失敗例としては、AutocryptがGrizzl-EおよびAutelの標的でタイムアウトしたこと、そしてPetoWorksがAlpineで失敗したことが挙げられます。
自動車セキュリティへの示唆
これらのデモは、コネクテッドカーのエコシステムにおける根強い問題を露呈しています。コマンドインジェクションはインフォテインメント(Alpine、Kenwood、Sony)で支配的で、リモート制御を可能にします。
ChargePoint、Grizzl-E、PhoenixといったEV充電器は、プロトコル操作やオーバーフローにより陥落し、物理的な改ざんや電力網への攻撃のリスクを伴います。チェーン型エクスプロイトは影響を増幅し、しばしばrootまたは特権実行に到達しました。
ZDIは情報公開を調整し、Alpine、Sony、ChargePointといったベンダーにパッチが届くようにしています。
総賞金は高まる重要性を示しており、37件のゼロデイが示す516,500ドルという額は、自動車ハッキングの収益性を物語っています。Master of Pwnレースが続く中、サプライチェーンリスクやファジング主導の発見について、さらなる暴露が期待されます。
イベントの要点:入力検証、認証の強化、メモリ操作の境界管理を優先してください。
Fuzzware.ioやSummoning Teamのような研究者は、体系的なチェーン化によって優位に立っています。最終順位と完全なアドバイザリの公開をお待ちください。
翻訳元: https://gbhackers.com/researchers-score-516k-zero-days/
