Pwn2Own Automotive 2026の3日目にして最終日は記録的な結果で幕を閉じ、世界トップクラスのセキュリティ研究者たちが自動車システム全体で76件のユニークなゼロデイ脆弱性を実証しました。
3日間の競技で支払われたバウンティの総額は1,047,000米ドルに達し、自動車サイバーセキュリティの危機的な状況と、コネクテッド車両インフラにおける悪用可能なバグの根強さが浮き彫りになりました。
Fuzzware.ioチームのTobias Scharnowski、Felix Buchmann、Kristian Covicは、28ポイントと215,500米ドルの獲得賞金でMaster of Pwnのタイトルを獲得しました。
彼らの圧倒的なパフォーマンスにはAlpine iLX-F511に対するエクスプロイトの成功が含まれており、競技で標的となったインフォテインメント、充電、ナビゲーションの各プラットフォームにまたがる自動車システム脆弱性に関する深い専門性を示しました。
複数のチームが、特に高度な攻撃チェーンと脆弱性の組み合わせを実証しました。Juurin OyによるAlpitronic HYC50充電ステーションのエクスプロイトは、とりわけ印象的でした。
同チームはtime-of-check-time-of-use(TOCTOU)脆弱性を巧みに利用して任意コード実行を達成し、20,000米ドルとMaster of Pwn 4ポイントを獲得しました。
技術力のデモンストレーションとして、影響を受けたシステム上にクラシックゲーム「Doom」の動作するバージョンをインストールしました。
Viettel Cyber SecurityによるSony XAV-9500ESインフォテインメントシステムの攻略は、ヒープベースのバッファオーバーフロー手法によって任意コード実行に至ることを示し、コネクテッド車両のヘッドユニットにおける重大度の高い発見となりました。
PetoWorksも同様に、Grizzl-E Smart 40A充電ステーションに対するバッファオーバーフローを実証し、この高影響の脆弱性により10,000米ドルを獲得しました。
競技全体を通じて注目すべき傾向が現れました。複数のチームが独立に同一の脆弱性を発見する「コリジョン」事象が複数回発生したのです。
コリジョンに遭遇したチームはバウンティ額が減額されたものの、Master of Pwnポイントは獲得でき、重複の可能性がある発見があっても参加を促すという主催者の姿勢が反映されました。
コリジョンはAlpine iLX-F511、Kenwood DNR1007XR、Grizzl-E Smart 40Aの各システムを含む複数のターゲットプラットフォームで発生しました。
76件の公開された脆弱性は、自動車エコシステムにおける重要な攻撃対象領域を網羅していました。すなわち、インフォテインメントシステム、EV充電インフラ、車載ヘッドユニットです。
一般的な脆弱性の種類には、バッファオーバーフロー(スタックベースおよびヒープベース)、権限割り当ての欠陥、競合状態、リンク追従の脆弱性が含まれ、いずれもroot権限レベルのアクセスや任意コード実行に悪用可能でした。
これらの発見は、コネクテッド自動車システムにおける恒常的なセキュリティギャップを浮き彫りにしています。
充電インフラ、ナビゲーションプラットフォーム、車載エンターテインメントシステムのネットワーク化が進む中で、76件のゼロデイ脆弱性の発見は、厳格なセキュリティ研究の成果を裏付けると同時に、車両接続技術における防御面の不備を痛感させるものでもあります。
Zero Day Initiativeは、標準的な協調的脆弱性開示のタイムラインに従ってこれらの開示を引き続き追跡し、公開前にベンダーがパッチを開発・展開できるよう、重要な情報を提供します。
翻訳元: https://cyberpress.org/hackers-uncover-76-0-day-vulnerabilities-at-pwn2own-automotive-2026/