「ハッキング」という言葉は通常、犯罪活動と関連付けられるが、いわゆる「ホワイトハットハッカー」は、バグや潜在的な脆弱性を特定して開発者や製造業者に報告することで、悪意のある攻撃のリスクを軽減する重要な役割を果たしている。
先日開催された「Pwn2Own Automotive 2024(ポウントゥオウン オートモーティブ ニーマルニーヨン)」は、そんなホワイトハッカーたちが腕を競い合う史上最大のハッキングコンテストである。
Pwn2Own Automotive 2024
2024年1月24日から26日まで東京ビッグサイトで行われていた「第16回 オートモーティブ ワールド -クルマの先端技術展-」 内で開催された「Pwn2Own Automotive 2024」は、自動車に特化したハッキングコンテストとしては史上初でありながら、日本を含む9カ国から17のホワイトハッカー・チームが参加。132万3,750ドル(約1億9,570万円)相当の賞金と賞品が用意されるなど、2007年から続く「Pwn2Own」全体の中でも過去最大級の規模となった。
「Pwn(ポウン)」という言葉は、元々は「own(所有する)、owned(乗っ取られた)」の誤字から派生したネットスラングで、ハッカー用語としては、他のデバイスを制御または侵害することを差し、広い意味では相手を圧倒したり、打ち負かしたときなどにも使用されている。つまりPwn2Ownは「 Pwn (ハックして/ 勝って) to Own(手に入れろ)」ということだ。
その名の通りPwn2Ownは、2007年にデバイスを「Pwn」したハッカーがそのデバイスを賞品として所有できる競技として控えめに始まった。しかし今や世界中のさまざまな場所で年に数回開催され、複数の国からの研究者を引き付け、成功した侵害に対する実質的なコストを賞金として提供している。
ネオンライトに照らされたステージには、ドラマチックな音楽と共に輝くテスラモデルYが展示されており、観客の目の前で「テスラ」「車載インフォテインメント(IVI)」「EV充電装置」「オペレーティングシステム」の4つのカテゴリーに対してハッキングが行われた。
利便性とリスク
今や自動車も家電と同様にスマートデバイスと化している。BluetoothやWi-Fiなどを介した相互接続は、利便性を高めると同時にセキュリティ面での脆弱性をも高めることになる。広範なネットワークに接続されたデバイスと同様に、自動車は個人データの盗難から車両の重要な動作に影響を与える制御機能まで、悪意のある活動の対象になる可能性がある。
トレンドマイクロ株式会社の子会社で、自動車向けサイバーセキュリティ分野のリーディングカンパニーであるVicOne(ビックワン)と、同じくトレンドマイクロ社が運営する脆弱性発見コミュニティ団体Zero Day Initiative(ZDI)が共催するこのイベントは、コネクテッドカーと周辺装置のセキュリティ脆弱性を悪用される前に発見し修正すること、ホワイトハッカーコミュニティと自動車関連ベンダーをつなげること、そして自動車産業の主要国である日本から自動車のセキュリティ課題解決に貢献することを目的としている。
それにしても、ホワイトハッカーが犯罪に手を染めてしまうことはないのだろうか。
スポークスパーソンであるダスティン・チャイルズによると、時にそうしたことも起こるが、実際には逆がより一般的であり、ダークサイドのハッカーがホワイトハッカーに移行することが多いという。ダスティンはまた、時間と資金さえあればあらゆるものをハックできると言う。絶対にハッキングされない製品を作ることは不可能だが、非常に手間のかかるものにすることで、悪意あるハッカーの目を他のより簡単なターゲットに向かうようにすることが有効な防衛手段となるのだそうだ。
“Master of Pwn”
今回のPwn2Own Automotiveでは、フランスのハッキングチームSynacktivが、1日目にテスラモデムに対して3つのバグチェーンを実行し、2日目には2つのバグチェーンを使用してテスラのインフォテインメントシステムへの攻撃に成功。さらにNCC Group EDGが2つのバグチェーンを使用し、オーディオユニット上でDOOMというゲームをプレイ可能にしたデモンストレーションで観客を湧かせるなど、大きな盛り上がりを見せた。
ZDI ブログより : https://www.zerodayinitiative.com/blog
そして競技の三日目、Synacktivが「Master of Pwn」を獲得し、トロフィーと合計45万ドルの報酬を手にした。日本からはKatsuhiko Sato氏が個人で出場し、全体で9位となり4万1250ドルの賞金を獲得した。
今回の大会では、3日間で合計49個の未知のセキュリティ脆弱性(ゼロデイ脆弱性)が明らかにされた。本大会を通じて発見されたゼロデイ脆弱性は各ベンダーに報告され、今後修正に向けて対応が進められる。
次回のPwn2Ownは、誕生地であるカナダ・バンクーバーのCanSecWest Applied Digital Security Conferenceにて2024年3月20日〜22日に開催予定。2025年には再びPwn2Own Automotiveが日本で開催される予定となっている。
日本では長らく若者の自動車離れが嘆かれていたが、これを機にテックギークな若い世代が再び自動車に興味を抱くかもしれない。
来年日本で再び開催された際には、ぜひ現地で驚異のハッキングスキルと興奮を味わって欲しい。
Pwn2Own Automotive
https://vicone.com/jp/pwn2own-automotive