世界最大規模のゼロデイ脆弱性発見コンテスト！「Pwn2Own Automotive 2025」イベントレポート

トレンドマイクロ株式会社の子会社で、自動車向けサイバーセキュリティ分野のリーディングカンパニーであるVicOne 株式会社は、トレンドマイクロが運営する脆弱性発見コミュニティ Zero Day Initiative（ZDI）とともに、世界トップレベルのセキュリティリサーチャーが参加するゼロデイ脆弱性発見コンテスト「Pwn2Own Automotive 2025」を、「第17回 オートモーティブ ワールド -クルマの先端技術展-」内にて、2025年1月22日（水)～24日（金)に共催した。

イベント初日の22日（水）には主催企業代表による挨拶を含むオープニングセレモニーや、VicOne 株式会社 最高責任者（CEO）マックス・チェン氏の個別取材会が開催。イベント最終日となる24日（金）には、特別デモンストレーションや優勝者の表彰を行うクロージングセレモニーと、メディア向けラウンドテーブルが実施された。

■「Pwn2Own Automotive 2025」でゼロデイ脆弱性49件を発見、賞金総額は880,250ドル
本大会では、ZDIのプラットフォームを基盤に、世界トップレベルのセキュリティリサーチャーが最新の自動車技術に対する実環境でのセキュリティ検証を行う。参加者（チーム）は、テスラを含む4つのカテゴリーの中から任意のターゲットを選択し、リサーチデバイスを用いてセキュリティチャレンジに挑む。

ゼロデイ脆弱性（その存在が公表される前や、修正プログラムがリリースされる前に見つかるセキュリティ上の欠陥）を発見するごとにポイントを獲得し、最も多くのポイントを獲得した参加者（チーム）には「Master of Pwn」の称号が与えられる。さらに、ポイントとは別に、新たに発見された脆弱性ごとに賞金が授与される。昨年度は49件のゼロデイ脆弱性が発見され、合計130万ドル（約1億9000万円）以上の報奨金が支払われた。

本大会におけるセキュリティ検証は、ゼロデイ脆弱性がブラックマーケットに出回る前に早期発見と迅速な対策を可能にするものであり、サイバー攻撃による被害を未然に防ぐとともに、製品のセキュリティレベル向上に大きく寄与する。



最終日のクロージングセレモニーに先立ち行われた特別デモンストレーションでは、トレンドマイクロのスタッフにより、昨年の「Pwn2Own Automotive 2024」で発見された脆弱性についての説明とパフォーマンスが実施された。このデモンストレーションでは、Alpine製のカーナビを対象としたセキュリティチャレンジが紹介された。

昨年の大会では、参加チームが二つの脆弱性を利用して、Alpineのデバイス上で古典的なシューティングゲーム『DOOM』を実行することに成功していた。今回の特別デモンストレーションでも、USBメモリをデバイスに差し込むことで、即座にシステムへの侵入が成功していた。

クロージングセレモニーにおいて、3日間で発見されたゼロデイ脆弱性の件数が昨年と同じく49件であると発表された。また、賞金総額は880,250ドルであり、円換算で1億3,800万円以上に達した。



その後、上位10位までの参加者が発表され、イギリスのSina Kheirkhah氏（Summoning Team社）が最多となる30.5ポイントを獲得し、1位に輝いた。これにより、Kheirkhah氏は「Pwn2Own Automotive」の第二代「Master of Pwn」の称号を手にした。セキュリティチャレンジにおいて、最も難しかったターゲットについて問われたKheirkhah氏は、「Teslaのウォールコネクターです。ここを攻略するには非常に多くの努力が必要でした」と語っていた。





■昨年の「Pwn2Own」ではSony製IVIの脆弱性を発見
ラウンドテーブルにて、VicOne株式会社 最高責任者（CEO）であるマックス・チェン氏がスピーチを行った。チェン氏は、「Pwn2Own Automotive 2025」が成功裏に終了したことを報告し、本大会が自動車セキュリティという環境にいかに貢献しているかについて説明した。



チェン氏は次のように述べた。「Sony製IVI（車載インフォテインメント）の脆弱性が昨年の『Pwn2Own』で発見されました。そして、私たちVicOneとSonyが緊密に協力することで、この脆弱性への対応を進めてきました。次のステップとして、Sonyが新しいソフトウェアを公開することになりました。もちろん、こうした脆弱性を発見することは非常に重要ですが、見つけた脆弱性に対して適切な修正を加えなければ、安全な自動車を提供することはできません。

今回のSonyの件について公表できたことを非常に嬉しく思っていますが、世界中には多くのリサーチャーが活躍しています。こうしたリサーチを通じて、いち早く脆弱性を見つけることで、問題が激化する前に先手を打つアクションを取ることが可能です」と述べ、脆弱性の発見とその修正対応の重要性を説いた。





■VicOne CEOチェン氏「Tesla以上の日本発SDVを期待」
VicOneは2022年5月に設立され、台湾で事業を開始した。2023年9月には本社を日本に移設し、日本での事業を本格的に始動させた。質疑応答の中で、日本の政府や企業による自動車のサイバーセキュリティに関する脆弱性への対応や危機感についての感想を問われたチェン氏は、「やはり、この脆弱性という問題にきちんと対応していくためには、私は『チェンジ』と呼んでいますが、日本の中である程度の変化が必要だと思っています」と述べた。



続けてチェン氏は次のように意見を述べた。「自動車業界だけでなく、一般的に日本はクオリティという意味を超えて、これまで非常に進んできたという実績があります。日本車の品質は世界ナンバーワンです。しかし、日本の方々のクリエイティビティが、先行してきた自動車業界の中で、サイバーセキュリティの脅威に関しては、まだ十分に活かされていないと感じています。

サイバーセキュリティの観点から言えば、たとえばTeslaは世界のトップの立ち位置にあります。しかしこれから日本は、Teslaと同等のレベル、またはそれ以上の品質を備えた日本発のSDV（Software Defined Vehicle）を実現することが期待できると考えています」と述べた。

本大会は、自動車セキュリティにおける脆弱性発見の重要性だけでなく、それを修正し安全性を確保するための具体的なアクションの必要性を再認識させる場となった。世界各国のリサーチャーや企業が協力し、未来の安全な自動車社会を築くための礎を築いた大会であったと言える。
テクニカルライター　後藤 響平

■VicOne 株式会社

■ITライフハック
■ITライフハック X（旧Twitter）
■ITライフハック Facebook
■ITライフハック YouTube

■セキュリティに関連した記事を読む
・鍵の管理をもっとスマートに！壁掛け対応の大容量鍵ボックス
・セキュリティ性能が高い！4桁ダイヤル式ワイヤーロック
・オールステンレスで錆びにくい！カメラ設置が簡単＆安全にできる、カメラ用取付金具
・左右からののぞき見をブロックできる！16インチワイド対応プライバシーフィルター
・標準、noble、nanoの3種全てに対応！シリンダ錠タイプのセキュリティワイヤー