トレンドマイクロの子会社で自動車向けサイバーセキュリティ技術を手がけるVicOneは、ゼロデイ脆弱性発見コンテスト「Pwn2Own Automotive 2026」を、トレンドマイクロが運営する脆弱性発見コミュニティ「Trend Zero Day Initiative(ZDI)」と共催した。
「Pwn2Own Automotive」は、ZDIのプラットフォームのもと、車載OSやIVI(車載インフォテインメント)、EV(電気自動車)充電インフラなど実際の自動車関連システムを対象に、ゼロデイ脆弱性の発見と実証に挑む国際的なコンテストだ。
3年目の開催となる今年は、EVメーカーのテスラおよび、ヨーロッパを代表するEV急速充電器メーカーのAlpitronic(アルピトロニック)社がタイトルスポンサーとして参画した。ターゲットは前年の4カテゴリーから6カテゴリーに拡張し、Tesla車両やAlpitronic社製レベル3 EV充電器などを対象に、自動車から周辺インフラまでを横断したより実践的かつ広範な脆弱性のリサーチが行われた。
日本をはじめとする世界16の国や地域から合計38チームが参加し、3日間にわたり競技を行った。コンテストを通じて合計76のゼロデイ脆弱性が確認され、賞金総額は104万7000ドルに達した。
ドイツから参加したチーム「Fuzzware.io」が28ポイントを獲得し、「Pwn2Own Automotive」の三代目チャンピオンとなる「Master of Pwn」の称号を手にした。EV充電器を対象に複数のアテンプトに成功したことが、優勝につながる大きな要因となった。
3日間のコンテストを通じて、前年より27多い合計76のゼロデイ脆弱性が確認された。発見された脆弱性の数は過去最多となり、SDVやIVI、EV充電器など、自動車を取り巻く幅広いエコシステムにおいてセキュリティの重要性が一層高まっていることを示す結果となった。
日本を含む16の国や地域(韓国、ベトナム、イギリス、フランス、ドイツ、アメリカ、オランダ、スイス、ギリシャ、フィンランド、シチリア、中国、シンガポール、カナダ、台湾)から、合計38チーム(個人参加を含む)が参戦し、日本からは「GMO Cybersecurity by Ierae, Inc.」(GMOサイバーセキュリティ byイエラエ)と「Pwn4S0n1c」(パナソニックホールディングス)の2チームが挑んだ。
本コンテストを通じて発見されたゼロデイ脆弱性は各ベンダーに報告され、修正対応が行われる。脆弱性の詳細は、大会終了から120日以降に修正状況などを鑑みて随時発表される予定だ。
