世界的なサイバーセキュリティの脆弱性実証コンテストPwn20wnの自動車版であるPwn20wn Automotiveがこのほど東京ビッグサイトで開催され、世界中から参加したセキュリティ研究者たちによって新たに76件のゼロデイ脆弱性が実証されたということです。
車載システムや充電インフラも対象
トレンドマイクロが運営する世界最大規模の脆弱性コミュニティ「Zero Day Initiative」が開催しているハッキングコンテストPwn20wnから派生したコネクテッドカーを対象としたPwn20wn AutomotiveはZero Day Initiativeとトレンドマイクロの子会社で自動車向けサイバーセキュリティを手がけるVicOne株式会社の共催で2024年に東京で初めて開催され、3回目となる今大会は今年1月21日から23日の3日間にわたり東京ビッグサイトで開催されました。
SDV(ソフトウエア・デファインド・ビークル)やEV(電気自動車)の充電インフラが自動車サイバーセキュリティの重要な対象として認識される中、アメリカのEVメーカーのTeslaがスポンサーを務め、DC(直流)急速充電器の開発・製造を手掛けるイタリアのAlpitronicとEVの充電インフラの通信規格を策定する国際非営利コンソーシアムのOpen Charge Allianceがパートナーとして大会を支援、検証対象を車載システムから充電ネットワーク、バックエンドの運用インフラまで拡大し、参加者はTesla車両、車載インフォテインメント(IVI)システム、レベル3 EV充電器、レベル2 EV充電器、Open Charge Alliance/OCPPツール、車載オペレーティングシステム(OS)の6つのカテゴリーから任意のターゲットを選択、脆弱性検証手法を記載したホワイトペーパーを提出し審査を通過したチームが3日間に渡る今大会で実際に設定された環境のもとゼロデイ脆弱性を実行して検証に挑みました。
授与された賞金の総額は104万7000米ドル
会場の3つブースでは、審査を通過してエントリーした世界中のサイバーセキュリティの研究者たちが観覧者に見守られながら、30分という限られた時間の中で3回のチャンスが与えられて実証に挑戦、成功すると賞金が獲得できるルールです。開始早々に成功してクールに決めるチームもあれば、2回失敗し3回目は準備に時間をかけて制限時間ぎりぎりに成功して思わずガッツポーズを決めるチーム、3回とも失敗して首を傾げるチームと悲喜こもごもな光景が繰り広げられました。最先端の自動車サイバーセキュリティの大会は人間味に溢れている印象です。
今大会のブログによると3日間で76件の脆弱性が実証され、104万7000米ドルが授与されたということです。また脆弱性の実証と合わせてMaster of Pwnの称号が与えられ、今大会のMaster of PwnにはFuzzware.ioチームが輝きました。トレンドマイクロによると実証されたゼロデイには、USBベースのアタックカテゴリにおいてTeslaのインフォテインメントシステムを悪用することに成功したケースや2つの脆弱性を連鎖させることでEV充電機器上でのコード実行を達成したケースなどがあったということです。
大会を通じて実証されたゼロデイ脆弱性はメーカーやサプライヤーに非公開で通知され、メーカーはその情報をもとにセキュリティパッチを開発し、リリースすることでゼロデイ攻撃のリスクを軽減することができます。また、トレンドマイクロは「Pwn20wnを通じて開示された情報を活用し、業界他社に比べて平均で71日早く、ゼロデイ攻撃から顧客を保護している」ということです。
【出典】
https://www.trendmicro.com/ja_jp/about/newsroom/press-releases/2025/pr-20251204-01.html