2024年に東京で初開催された自動車をテーマにした世界有数のゼロデイ脆弱性発見コンテスト「Pwn2Own Automotive」は、自動車サイバーセキュリティ領域の大きな転換点となりました。VicOneとTrend AIのZero Day Initiative(ZDI)が共同主催するこの大会では、世界トップクラスのセキュリティリサーチャーたちがコネクテッドカーとその基盤技術に潜む未知の脆弱性の発見を競い合います。
ゼロデイが示す、拡大し続ける攻撃対象領域
「Pwn2Own Automotive」は競技形式のイベントですが、その意義は賞金やエクスプロイトの技術的巧みさにとどまりません。毎回の開催が、自動車業界における攻撃対象領域(アタックサーフェス)の拡大を映し出す鏡となってきました。
3年間の結果がその進展を明確に示しています。2024年と2025年の大会ではそれぞれ49のユニークなゼロデイ脆弱性が発見されましたが、2026年にはその数が76へと増加し、開催2日目の時点で過去2大会の各年総数(49件)を上回りました。
こうした増加は、コネクテッドカーへの通信機能の統合、ソフトウェア定義コンポーネントの採用、外部依存関係の拡大によるアーキテクチャの複雑化を反映しています。
「Pwn2Own Automotive」の結果分析
2026年大会の詳細な脆弱性開示は今後公表される予定ですが、2024年・2025年大会のデータからすでにいくつかの重要な傾向が浮かび上がっています。
2025年の大会で最も多く確認された脆弱性クラスはOSコマンドインジェクション(CWE-78)で、複数の成功エクスプロイトでは注入されたコマンドがroot権限で実行され、デバイスの完全な制御が可能になりました。これにスタックベースのバッファオーバーフロー(CWE-121)とヒープベースのバッファオーバーフロー(CWE-122)が続きました。
厳格なコードレビュー、自動テスト、ファジング、静的解析といったセキュアな開発プロセスはこれらの脆弱性を防ぐのに十分なほど成熟しており、本来こうした脆弱性は現代の車載プラットフォームではより少なくなっているはずです。それでも依然として多く確認されるという事実は、自動車業界が一貫して高いセキュリティ水準を達成するまでには、まだ長い道のりがあることを示唆しています。
この考察は、VicOneの2026年 自動車サイバーセキュリティレポート『岐路に立つ自動車サイバーセキュリティ −従来型と次世代技術が併存する「オーバーラップ期」のリスク変化−』の主要な分析結果とも一致しています。2025年の脆弱性データの分析からも、低レイヤーのメモリ操作やインジェクション系の脆弱性が依然として広く残存していることが確認されています。
| Pwn2Own Automotive 2024 上位CWE | 件数 | Pwn2Own Automotive 2025 上位CWE | 件数 |
|---|---|---|---|
| CWE-121:スタックベースのバッファオーバーフロー | 17 | CWE-78:OSコマンドインジェクション | 9 |
| CWE-78:OSコマンドインジェクション | 4 | CWE-121:スタックベースのバッファオーバーフロー | 8 |
| CWE-295:不適切な証明書検証 | 4 | CWE-122:ヒープベースのバッファオーバーフロー | 4 |
| CWE-798:ハードコードされた認証情報の使用 | 2 | CWE-1328:旧バージョンへのセキュリティバージョンダウングレード | 3 |
| CWE-416:解放済みメモリの使用(Use After Free) | 2 | CWE-284:不適切なアクセス制御 | 3 |
| CWE-284:不適切なアクセス制御 | 2 |
表1. 「Pwn2Own Automotive 2024・2025」で発見された上位CWE
2年間の比較からはいくつかの変化が読み取れます。
- OSコマンドインジェクションは2024年の4件から2025年には9件へと大きく増加しました。
- スタックベースのバッファオーバーフローは2024年に17件と突出していましたが、2025年はスタックとヒープのオーバーフローを合わせて12件となっています。
- また、ファームウェアやOTAのダウングレードに関する脆弱性が2025年に初めて登場したことは、ファームウェアアップデートの完全性とライフサイクル管理の連鎖に対する関心が高まっていることを示しています。
これらの傾向を総合すると、リスクはコードレベルだけでなく更新メカニズムやシステムのライフサイクル管理にまで広がっていることがわかります。
脆弱性の開示がガバナンスの整備を上回るとき
2024年以降、「Pwn2Own Automotive」では累計174のゼロデイ脆弱性が発見されています。これらは責任ある開示(レスポンシブル・ディスクロージャー)のもとで協調的なプロセスを通じて対処されていますが、すべてのリスクが組織に同時に可視化されるわけではありません。
VicOneの2026年 自動車サイバーセキュリティレポートによると、自動車関連の脆弱性のうち約89%はCVEシステムを通じて追跡可能ですが、残る11%はCVEのエコシステム外に存在し、ゼロデイの発見、独立した研究成果、社内テストで特定された脆弱性などが含まれます。
リスク管理のワークフローがCVEの公開をエスカレーションや報告の主なトリガーとして設計されている場合、まだカタログ化されていない未整理のリスクは経営層のダッシュボードやリスク管理プロセスにすぐに反映されないことがあります。
「Pwn2Own Automotive」が示しているのは、技術的に悪用可能な脆弱性が正式な分類がなされる前から存在し得るという現実です。複数のステークホルダーに責任がまたがる本番環境では、その影響が単一のコンポーネントやベンダーを超えて広がる可能性があります。
図1. 2025年のサイバーインシデントは複数のシステム領域にまたがるケースが増加しており、統合が進む自動車アーキテクチャと断片化したリスク管理体制との間の乖離が拡大していることを示している
この構造は、VicOneの2026年 自動車サイバーセキュリティレポートが示す核心的なテーマとも深く重なります。現代の自動車エコシステムが車両プラットフォーム、充電インフラ、クラウドサービス、組み込みシステムにまたがって広がる中、CVEを中心に据えた可視性に依存したガバナンスモデルはますます負荷が高まり、維持が難しくなりつつあります。
管理されたコンテスト環境から現実の運用リスクへ
「Pwn2Own Automotive」で発見されたゼロデイ脆弱性は、現代のモビリティプラットフォームが直面する運用上のリスクをそのまま反映しています。大会は管理・制御された環境で行われますが、現実の車両プラットフォームはソフトウェア定義コンポーネント、無線インターフェース、バックエンドサービス、充電インフラが分散したサプライヤーネットワーク全体にわたって統合されています。
このような環境では、脆弱性は単独では存在しません。アーキテクチャ上の前提条件、信頼境界、ライフサイクルの依存関係と相互に絡み合い、複数の機能領域にわたって影響を増幅させます。
図2. 現代の車両における主要な機能領域と、それらに重なり合うサイバーリスクの概念図
自動車業界がさらに進化していく中で重要な差別化要因となるのは、脆弱性が発見されるかどうかではありません。アーキテクチャ上のレジリエンス、領域横断的な責任体制、そしてガバナンスの成熟度を開発プロセスとライフサイクル管理にいかに効率的に組み込めるかが組織の真価を左右するでしょう。
自動車業界を形成する設計・運用の傾向、脆弱性パターン、ガバナンスの課題について詳しくは、VicOneの2026年 自動車サイバーセキュリティレポート『岐路に立つ自動車サイバーセキュリティ −従来型と次世代技術が併存する「オーバーラップ期」のリスク変化−』をご覧ください。
