Pwn2Own Automotive 2026は終了し、セキュリティ研究者らは1月21日から1月23日にかけて76件のゼロデイ脆弱性を悪用し、合計1,047,000ドルを獲得しました。
Pwn2Own Automotiveハッキングコンテストは自動車関連技術に焦点を当てており、今週、日本・東京で開催されたAutomotive World自動車カンファレンスの期間中に実施されました。
コンテスト期間中、ハッカーは完全にパッチ適用済みの車載インフォテインメント(IVI)システム、電気自動車(EV)充電器、そして車載OS(例:Automotive Grade Linux)を標的にしました。
TrendMicroのZero Day Initiativeがそれらを公に開示する前に、ベンダーにはPwn2Ownコンテスト中に悪用され報告されたゼロデイに対するセキュリティ修正を開発・リリースするための90日間が与えられます。
Team Fuzzware.ioが優勝し、現金215,000ドルを獲得しました。続いてTeam DDOSが100,750ドル、Synactivが85,000ドルでした。
合計で、Fuzzware.ioはAlpitronic HYC50充電ステーション、Autel充電器、Kenwood DNR1007XRナビゲーションレシーバーを初日にハッキングし、118,00ドルを獲得しました。
また、Phoenix Contact CHARX SEC-3150充電コントローラー、ChargePoint Home Flex EV充電器、Grizzl-E Smart 40A EV充電ステーションで複数のゼロデイを2日目に実証したことでさらに95,000ドルが授与され、コンテスト最終日にはAlpine iLX-F511マルチメディアレシーバーのroot化を試みる中でバグ衝突が発生し、追加で2,500ドルを獲得しました。
Synacktiv Teamも、範囲外書き込みの欠陥と情報漏えいを連鎖させ、Pwn2Own初日にUSBベースの攻撃でTeslaのインフォテインメントシステムをハッキングしたことで35,000ドルを獲得しました。
3日目の全スケジュールと各チャレンジの結果はこちらで、Pwn2Own Automotive 2026の完全なスケジュールはこちらで確認できます。
Pwn2Own Automotive 2024コンテストでは、ハッカーは49件のゼロデイバグを実演し、Tesla車を2回ハッキングして、さらに1,323,750ドルを獲得しました。昨年は、セキュリティ研究者がPwn2Own Automotive 2025.で49件のゼロデイを悪用し、さらに886,250ドルを獲得しました。
