1月24日に東京ビッグサイトで開幕したオートモーティブワールド2024にて、自動車セキュリティに特化したハッキングコンテスト「Pwn2Own Automotive」が開催。コンテストは26日までの3日間で行われ、ハッキング成功者には脆弱性の重要度に応じた報奨金が支払われる。
企業に製品の脆弱性を報告して報奨金をもらうハッカーを「バグバウンティ(バグ賞金稼ぎ)」という。セキュリティ業界では一般的であり、グーグルやアップル他テック企業は積極的に取り入れているしくみだ。自動車業界ではテスラ、米国トヨタ、日産USA、メルセデスなども「バグ報奨金プログラム」として実施している。
賞金稼ぎという名前がついているが、違法やグレーな活動ではない。報告またはコンテストで発見された脆弱性は各企業によって国際的に標準化された公開手順(脆弱性ハンドリング)に従い、解決策・アップデートプログラムとともに公開され、製品に反映されるようになっている。そして、攻撃者より先に未知の脆弱性を発見して製品のセキュリティ向上に貢献するハッカーをエシカルハッカー(倫理的ハッカー)という。
Pwn2Ownは、2007年にカナダで始まったハッキングコンテストで、過去に東京でも開催されたことがある。ハッキングの対象は一般的なソフトウェア製品からIoT機器まで、サイバー攻撃に対する脆弱性が存在するものならすべて。Pwn2Ownは、近年、IoT機器や家電製品などのハッキングに特化し、ハードウェアハッキングを得意とする研究者やエンジニアがこぞって参加するイベントになっている。EVやコネクテッドカーは自然とその対象となっている。
