コネクテッドカーの潜在的な脆弱性を特定して開発者や製造業者に報告するセキュリティリサーチャーが腕を競い合うコンテスト「Pwn2Own Automotive(ポウントゥオウン オートモーティブ)2025」が、2025年1月22日~24日に開催された。
左:トレンドマイクロ脅威研究部門 バイスプレジデント ブライアン・ゴレンク氏
右:VicOne最高経営責任者(CEO) マックス・チェン氏
ゼロデイ攻撃を未然に防げ
2年目となる今年は、米国、日本をはじめ、韓国、オーストラリア、英国、カナダ、フランス、ドイツ、ベトナム、スイス、オランダ、ハンガリー、フィンランドの世界13か国から合計21チーム(個人参加を含む)のサイバーセキュリティリサーチャーが参加し、3日間の開催期間中に合計49個のゼロデイ脆弱性が発見された。
*第一回の記事はこちら
「ゼロデイ脆弱性」とは、まだ見つかっていないシステム上の欠陥や、修正プログラムリリース前の欠陥を指す。修正プログラムが公開された日を「ワンデイ」とし、それより前に行われるサイバー攻撃が「ゼロデイ攻撃」と呼ばれている。もしも悪意ある攻撃者に先に見つかってしまうとサイバー攻撃のターゲットとなってしまう。
このようなゼロデイ攻撃を未然に防ぐために、世界トップクラスのセキュリティリサーチャーたちが集まり、その手腕を競い合うコンテストが「Pwn2Own Automotive」なのだ。この大会を通じて発見された脆弱性は各ベンダーに報告され、サイバー攻撃による被害を未然に防ぐとともに、製品のセキュリティレベル向上に寄与する。
緊張感漂う会場
車載インフォテインメント(IVI)システム、電気自動車(EV)充電器、オペレーティングシステム(OS)の3つのカテゴリーそれぞれに設定されているターゲット機器/OSから制限時間内に未知、未公開および未報告の脆弱性を発見し、サイバー攻撃が成功すればポイント獲得、失敗した場合にはペナルティとなる。
トップバッターは、昨年Pwn2Own Automotiveの初代「Master of Pwn」に輝いたフランスのSynacktiv。電気自動車(EV)充電器カテゴリーのターゲットに対し、見事試みを成功させ、会場を大いに盛り上げた。
Synacktivによる第一回チャレンジの様子 *詳細は公式ブログから
制限時間のカウントが刻々と進む中、リサーチャーチームが真剣な表情でデバイスを取り囲んでいる様子はスパイ映画さながらの緊張感が漂っていた。リサーチャーたちの技術の高さを目の当たりにすると、感心すると共に「こんなに短時間で攻略されてしまうものなのか」と、やや背筋が寒くなる。
彼らに先に発見してもらえてよかった…。
今回優勝し第二代「Master of Pwn」の称号を手にしたのは、最多となる30.5ポイントを獲得したイギリスのSina Kheirkhah(Summoning Team社)だ。
また、3日間を通して発見された合計49個のゼロデイ脆弱性に対し、総額約100万ドルの賞金が授与された。本コンテストを通じて発見されたゼロデイ脆弱性の詳細は、大会終了後90日以降に状況を鑑みて発表されるとのことなので、詳細が気になる人はぜひ公式ブログをチェックしてほしい。
公式ブログ:https://vicone.com/jp/blog
■Pwn2Own Automotive 2025の主な結果
ひとつ最後に強調したいのは、この大会で脆弱性が発見された製品の品質に疑いの目を向けることは間違っているということだ。
どれほど細心の注意を払って製品を作っても、日々進化していくデジタル技術の領域においては、完璧なものはあり得ない。だからこそ、脆弱性の存在を否定するのではなく、積極的に改善に取り組んでいく姿勢が大切なのである。
そういった意味でも、自動車メーカーと世界トップクラスのセキュリティリサーチャーが最新の知見を共有するPwn2Own Automotiveは、自動車業界はもちろん、IT業界にとっても今後ますます注目に値するイベントだと言えるだろう。
Pwn2Own Automotive 2025
https://vicone.com/jp/pwn2own-automotive
トレンドマイクロ株式会社
https://www.trendmicro.com/ja_jp/business.html
VicOne株式会社
https://vicone.com/jp/company
