東京ビッグサイトで開催されたAutomotive World 2025の初日、Pwn2Own Automotive 2025はフルスロットルでスタートしました。世界最大のゼロデイ脆弱性発見コンテストで名を馳せようと、世界中から集まったトップクラスのサイバーセキュリティ・リサーチャーたちが、トレンドマイクロのZero Day Initiative(ZDI)と共同で主催するVicOneのコンテストに期待を寄せる中、広大な会議場は熱気に包まれました。
3日間のイベントの幕開けとして、VicOneのCEOであるMax Cheng(マックス・チェン)氏とトレンドマイクロの脅威リサーチ担当副社長であるBrian Gorenc(ブライアン・ゴレンク)氏が、日本の伝統的なオープニング行事である「くす玉」を割り、3日間のコンテストの幕開けを飾りました。
写真1. トレンドマイクロの脅威研究部門バイスプレジデント Brian Gorenc(左)と、VicOneのCEO Max Cheng。Pwn2Own Automotive 2025の開会式にて
初日だけで16件の自動車固有のゼロデイ脆弱性が発見されたこのイベントは、また新たな記録を打ち立てるものとなりそうです。
何か新しいことと馴染みのあること
初日には、前日のランダム抽選により延べ18回のセキュリティチャレンジがスケジュールされました。その中には、オートモーティブ ワールドの会場閉会後にも時間外に実施される「Pwn2Own After Dark」の3回のアテンプト(試行)も含まれています。
Pwn2Own Automotiveの初代「Master of Pwn」に輝いたSynacktivチームのリサーチャーは、電気自動車(EV)充電器カテゴリーのターゲットのひとつ、ChargePoint Home Flex(Model CPH50)で発見したスタックベースのバッファオーバーフローバグを使用した最初のアテンプトを成功させました。さらに、Open Charge Point Protocol(OCPP)の既知のバグを利用して、充電器のコネクタを介した信号の改ざんも実演しました。
今年のコンテストにもSummoning Team社のSina Kheirkhah氏が参加しました。彼はUbiquiti Connect EV Station充電器にハードコードされた暗号化キーのバグを発見し、画面にイギリスの歌手リック・アストリーの踊る動画を表示しました。昨年、Ubiquiti充電器を「リックロール」したこのリサーチャーは、ユーモアを交えたエクスプロイトの披露に関しては、お手のもので、この充電器を手放すつもりはないようです。今年も期待を裏切らないパフォーマンスを見せてくれました。
写真2. ハードコードされた暗号化キーを使用して、Sina Kheirkhah氏はUbiquiti Connect EV Station充電器を再び「リックロール」しました。
おなじみの名前以外にも、GMOサイバーセキュリティ株式会社(株式会社イエラエ)など、今年新たにPwn2Own Automotiveに参加したチームもありました。同チームは、ケンウッドの車載インフォテインメント(IVI)システム「DMX958XR」に対して、スタックベースのバッファオーバーフローをわずか数秒で発現させるアテンプトを成功させました。この素晴らしいパフォーマンスは、昨年デトロイトで開催されたAutomotive CTFで同チームが鮮烈なデビューを飾ったことを考えれば、驚くにはあたりません。
| アテンプト(試行) | カテゴリー | 結果 |
|---|---|---|
| チーム:Synacktiv ターゲット:ChargePoint Home Flex (追加チャレンジ:Charging Connector Protocol/Signal Manipulation) | EV充電器 | 成功/コリジョン |
| チーム:Viettel Cyber Security ターゲット:Kenwood DMX958XR | 車載インフォテインメント | 成功 |
| チーム:PCAutomotive ターゲット:Alpine iLX-507 | 車載インフォテインメント | 成功 |
| チーム:Sina Kheirkhah ターゲット:Phoenix Contact CHARX SEC-3150 | EV充電器 | 成功/コリジョン |
| チーム:ANHTUD ターゲット:Sony XAV-AX8500 | 車載インフォテインメント | 成功 |
| チーム:PHP Hooligans ターゲット: Autel MaxiCharger AC Wallbox Commercial | EV充電器 | 成功 |
| チーム:GMO Cybersecurity by Ierae, Inc. ターゲット: Kenwood DMX958XR | 車載インフォテインメント | 成功 |
| チーム:Viettel Cyber Security ターゲット:Alpine iLX-507 | 車載インフォテインメント | 成功 |
| チーム:Sina Kheirkhah ターゲット:Ubiquiti Connect EV Station | EV充電器 | 成功 |
| チーム:Confused ターゲット:Sony XAV-AX8500 | 車載インフォテインメント | 成功 |
| チーム:fuzzware.io ターゲット:Autel MaxiCharger AC Wallbox Commercial | EV充電器 | 成功 |
| チーム:Synacktiv ターゲット:Kenwood DMX958XR | 車載インフォテインメント | 成功 |
| チーム:SK Shieldus ターゲット:Alpine iLX-507 | 車載インフォテインメント | コリジョン |
| チーム:Technical Debt Collectors ターゲット:Automotive Grade Linux | オペレーティングシステム | 成功/コリジョン |
| チーム:Sina Kheirkhah ターゲット:Sony XAV-AX8500 | 車載インフォテインメント | 失敗 |
| チーム:fuzzware.io ターゲット:Phoenix Contact CHARX SEC-3150 | EV充電器 | 成功 |
| チーム:Quarkslab ターゲット:Autel MaxiCharger AC Wallbox Commercial | EV充電器 | 失敗 |
| チーム:STEALIEN Inc. ターゲット:Alpine iLX-507 | 車載インフォテインメント | コリジョン |
表1. Pwn2Own Automotive 2025 初日のコンテスト結果の全結果
注:他のリサーチャーによって発見済、または既知の脆弱性を用いた攻撃は「コリジョン(重複)」と分類されます。「成功/コリジョン」と判定されたチャレンジは、新たに発見されたゼロデイ脆弱性と既知の脆弱性の組み合わせによるものです。
この日の最後のセキュリティチャレンジは、新しいものと馴染みのあるものの混合であり、デジャヴ感がありました。STEALIEN社のBongeun Koo氏は、Alpine iLX-507 IVIシステムに存在する脆弱性を応用しましたが、そのバグはすでに昨年発見されていました。ISO/SAE 21434では、ベンダーは脆弱性を「リスクの共有」と分類し、残存リスクを受け入れることを決定し、パッチをリリースしないことを選択しました。しかし、STEALIENのリサーチャーは、このデバイス上で象徴的なキャラクターであるニャン・キャットを表示することで、計り知れないほどのスタイルポイントを獲得しました。
写真3. 以前に発見されたバグを利用したものの、STEALIENのアテンプトは、初日から創造性を発揮し、Alpine IVIシステム上に象徴的なニャン・キャットを表示することで、多くのスタイルポイントを獲得した。
写真提供:ZDI
自動車のセキュリティと脆弱性についてのデモ
コンテストが盛り上がるにつれ、サブステージではVicOneとZDIのリサーチャーが、一連のデモンストレーションで観客を魅了しました。
仮想デモでは、VicOneの主任セキュリティリサーチャーであるJay Turla(ジェイ・ターラ)氏が、インストルメント・クラスターとIVIシステムを搭載したプラグアンドプレイのテストベンチを披露しました。同氏はこのセットアップを使用して、CANバス インジェクション、リプレイ攻撃、およびスプーフィングといった攻撃について解説・実演しました。
VicOneの脅威リサーチャーであるShin Li(シン・リー)氏は、攻撃者が超広帯域無線(UWB)を利用して標的を妨害し、位置追跡を混乱させたり、認証済みデバイスとの通信を妨害したりする方法を実演しました。
初日のデモ3本目は、ZDIのシニアマネージャー兼セキュリティリサーチャーであるJonathan Andersson(ジョナサン・アンダーソン)氏でした。同氏は、NCCグループによるセキュリティチャレンジで昨年注目を集めた「Doom」のデモを行い、デバイスのルートアクセスが取得された場合のさまざまな可能性(より深刻な脅威を含む)にスポットライトを当てました。
写真4. ZDIのJonathan Andersson氏は、昨年NCCグループが発表した人気の高い「Doom」の脆弱性を実演した。
これらのデモは、特に業界がSDV(ソフトウェア デファインド ビークル)の時代へと突き進む中、ゼロデイ脆弱性発見が不可欠であることを強調しています。 Pwn2Own Automotiveのようなイベントは、トップクラスのセキュリティ リサーチャーが未知、未公開、未報告の脆弱性を発見することを可能にし、複雑化する自動車サイバーセキュリティの状況下にある自動車業界に早期のリスク特定やリスク緩和についての重要性を示す役割を果たすことが期待されます。
Pwn2Own Automotive 2025のキックオフのハイライトをまとめたビデオは、以下のソーシャルリンクからご覧いただけます。
Pwn2Own Automotive 2025の2日目の最新情報は、VicOne(LinkedIn、X、ブログ)とZDI(LinkedIn、X、ブログ)をフォローしてご覧ください。
記事寄稿:ZDI、Dustin Childs(ダスティン・チャイルズ)
